名前 | 説明 | 深刻度 |
---|---|---|
AD (ハイブリッド) と同期された特権 Entra アカウント | ハイブリッドアカウント (Active Directory から同期されたアカウント) が Entra ID の特権ロールを持っていると、AD を侵害した攻撃者が Entra ID にピボットできてしまうので、セキュリティリスクが発生します。Entra ID の特権アカウントは、クラウド専用アカウントでなければなりません。 | High |
認証情報を持つファーストパーティサービスプリンシパル | ファーストパーティサービスプリンシパルは強力なアクセス許可を持っていますが、表示されない、Microsoft 所有である、数が多いということから見過ごされています。攻撃者はそれらに認証情報を付加して、権限昇格や永続性などの権限の恩恵を密かに受けることができます。 | High |
既知のフェデレーションドメインのバックドア | Microsoft Entra ID は、フェデレーションを通じて別のプロバイダーへの認証の委任を可能にします。しかし、昇格された権限を持つ攻撃者は、悪意のあるフェデレーションドメインを追加することで永続性と権限昇格を取得し、この機能を悪用することができます。 | Critical |
非特権アカウントに MFA がない | MFA は、弱いパスワードや漏洩したパスワードに対する、強力な保護をアカウントに提供します。セキュリティのベストプラクティスや業界標準では、非特権アカウントであっても MFA を有効にすることを推奨しています。MFA 方式を登録していないアカウントはその恩恵を受けることはできません。 | Medium |
テナントに影響を与える危険な API アクセス許可 | Microsoft は、Microsoft Entra ID で API を公開して、サードパーティアプリケーションが Microsoft サービスでアクションを実行できるようにします。特定のアクセス許可は、Microsoft Entra ID テナント全体に深刻な脅威をもたらす可能性があります。したがって、そのようなアクセス許可の割り当ては注意深く確認する必要があります。 | High |