Entra Application Governance

Rss

In letzter Zeit wird viel über Application Governance in Entra gesprochen, vor allem im Zusammenhang mit der Zero Trust-Initiative von Microsoft. Die Idee von Zero Trust in der Application Governance ist, den registrierten Unternehmensapplikationen immer nur die geringstmöglichen Graph-API-Berechtigungen zu geben. Und dies sowohl für privilegierte als auch nicht privilegierte Berechtigungen. Die Identitäten der zugewiesenen Konten für die Applikationsnutzung (Eigentümer und Nutzer) genau zu überprüfen und immer davon auszugehen, dass ein Sicherheitsverstoß vorliegen könnte. Die Implementierung von Zero Trust ist nicht einfach und erfordert eine gute Planung.

Hinzu kommt, dass viele Unternehmen von On-Premises Active Directory Federation Services (AD FS) Implementierungen hin zu Entra ID wechseln, um für ihre Software-as-a-Service (SaaS) Anwendungen und selbst erstellten Webanwendungen eine bessere Authentifizierungsplattform zu nutzen.

Die Gründe für den Wechsel von AD FS zu Entra als Authentifizierungsplattform sind u.a.

  • Reduzierung von Kosten, Komplexität und (in den meisten Fällen) Windows-Systemen, auf denen ältere Versionen von Windows Server und somit auch ältere AD FS-Versionen betrieben werden
  • Nutzung von automatischer Skalierung und Flexibilität, um die organisatorischen Anforderungen an Software-as-a-Service (SaaS)-Anwendungen zu erfüllen
  • Nutzung von Funktionen zur Identitätserkennung und Bedrohungsabwehr, die integraler Bestandteil der erworbenen Microsoft 365-Lizenzen sind
  • Verbesserung der Benutzerfreundlichkeit und Anmeldeperformance für Mitarbeitende, die in anderen Regionen tätig sind als in der Region, in der die zentralen AD FS-Dienste bereitgestellt werden
  • Bereitstellung von Self-Service-Optionen zum Zurücksetzen von Kennworten und zur kennwortlosen Authentifizierung

Schauen wir uns das Thema Application Governance etwas genauer an.

Die Verwaltung von Unternehmensanwendungen in Entra ID ist komplex, denn sie gliedert sich in zwei getrennte Konfigurationspunkte. Es gibt zum einen die Unternehmensanwendungen (Enterprise Applications) und zum anderen die App-Registrierungen (App Registrations). Die Tatsache, dass nicht jede Unternehmensanwendung automatisch über eine App-Registrierung verfügt, macht eine Compliance-konforme Verwaltung nicht leichter.

Das Authentifizierungsmodell für die sog. Service Principals, API-Berechtigungen und weitere Einstellungen für moderne Authentifizierungsprotokolle, ist nicht vergleichbar mit der traditionellen Bereitstellung des Anwendungszugriffs im On-Premises Active Directory. Dort nutzen wir meist nur einfache Gruppenmitgliedschaften, um den Zugriff für Dienstkonten oder Anwenderkonten zu steuern.

Wegen der Komplexität der Konfiguration von Unternehmensanwendungen sind diese meist nicht nur missverstanden, sondern stellen in vielen Unternehmen einen blinden Fleck in Entra-Konfiguration dar, der nicht mit der nötigen Aufmerksamkeit wahrgenommen wird. Erschwerend kommt hinzu, dass Entra ID die Neuregistrierung von Unternehmensanwendungen standardmäßig allen AnwenderInnen erlaubt. Die Hemmschwelle zur Nutzung soll so gering als möglich sein.

Selbst Microsoft hat Schwierigkeiten, seine Unternehmensanwendungen oder administrativen Entra-Rollen vollständig korrekt zur konfigurieren.

Ökosystem Entra Application Governance

Die korrekte und sichere Konfiguration von Unternehmensanwendungen und App-Registrierungen ist eine sich stetig verändernde Herausforderung. Der Evergreen-Ansatz von Microsoft 365 macht es Unternehmen schwer, hier Schritt zu halten. AdministratorInnen müssen nicht nur die richtigen Konfigurationen für bestehende und neue Applikationen umsetzen, sie müssen sich auch mit den fast täglich durchgeführten Änderungen in Entra auseinandersetzen.

Bei der Absicherung der Anwendungskonfigurationen und der Umsetzung der Compliance-Anforderungen zeigt sich, dass die meisten Unternehmen vor den gleichen drei zentralen Herausforderungen stehen.

Zuweisung der geringsten administrativen Berechtigungen für Anwendungen von Drittanbietern schlägt fehl

Es gibt bestimmte Kombinationen von API-Berechtigungen und Zugriffsrollen, die dazu führen können, dass Unternehmensanwendungen dazu missbraucht werden, globale Administratorrechte zu erlangen. Das Entfernen dieser riskanten Anwendungs- und Rollenberechtigungen kann dazu führen, dass die Anwendung nur eingeschränkt nutzbar ist oder gar bei jedem Nutzungsversuch abstürzt. Dies ist meist dem Umstand geschuldet, dass Anwendungsentwickler sich während der Programmierung keine ausreichenden Gedanken über die Sicherheit machen. Der Fokus liegt auf der Implementierung einer bestimmten Funktion.

Ein Beispiel ist Veeams Backup for Microsoft 365 v7. Das Hauptproblem, in diesem Fall, ergibt sich aus der Kombination der Rolle Cloud Application Administrator, die der Unternehmensanwendung zugewiesen ist, und den API-Berechtigungen EWS.AccessAsUser.All und EWS.full_access_as_app, die der App-Registrierung zugewiesen sind. Durch diese Kombination kann ein Angreifer bei einem sog. Supply Chain-Angriff globale Administratorrechte erlangen.

Nutzung der Windows Azure Active Directory API

Ein weiteres Problem, das man bei Anwendungen von Drittanbietern sieht, ist die Verwendung der inzwischen veralteten Azure Active Directory API und der User.Read.All-Berechtigungen anstelle der modernen Microsoft Graph API-Berechtigungen zum Lesen von Entra-Objekten.

Bereits im Mandanten registrierte Anwendungen diese veraltete API problemlos weiter nutzen können, kommt es seit dem 30. Juni 2024 standardmäßig zu einer http 403-Fehlermeldung. Allerdings gibt es eine Ausnahme. Mit einer speziellen Konfiguration ist auch weiterhin eine Registrierung möglich.

Der Zugriff auf die Azure Active Directory-API unterstützt hauptsächlich die sog. People Picker-Funktion in Unternehmensanwendungen. Diese Funktion ermöglicht die Suche und Anzeige von Benutzerkonten im Mandanten. Eine Unterbrechung dieses Zugriffs kann erhebliche Folgen für diese Anwendungen haben. Trotzdem nutzt etwa jede achte Anwendung weiterhin die User.Read.All-Berechtigungen für den Zugriff auf die Windows Azure Active Directory-API. Es ist nun mal auch eine für Entwickler bequeme Berechtigung.

Aber warum reagieren die Software-Hersteller, die solche Lösungen entwickeln, nicht auf die veränderten Sicherheitsfunktionen in Entra ID? Und was bedeutet das für Kunden?

Im einfachsten Falle erreichen Informationen zu den Veränderungen in Entra ID, die Microsoft regelmäßig bereitstellt, einen Software-Hersteller nicht. Es ist also schlichtweg Unkenntnis, die zu einem Risiko-Produkt führt. Im schlimmsten Falle kennt ein Software-Hersteller die Änderungen, aber man weiß nicht, wie man diese Änderungen umsetzen soll, weil sie schwerwiegende Auswirkungen auf die Anwendung hat.

Für Kunden bedeutet dies, dass sie weiterhin mit einer technisch veralteten und risikobehafteten Anwendung arbeiten müssen.

Wie auch immer, als Unternehmen muss man in den Dialog mit dem Software-Hersteller gehen und auf eine neue, sicherere Produktversion drängen. Man darf nicht vergessen, dass eine Produktweiterentwicklung erst dann stattfindet, wenn es „sich rechnet“.

Software-Hersteller halten sich nicht an das Prinzip des geringstmöglichen Zugriffs

Obwohl User.Read.All als das geringste Privileg für die Unterstützung der People-Picker-Funktionalität erscheinen mag, ist es das in Wirklichkeit nicht. Im Januar 2024 führte Microsoft die Berechtigung User.BasicRead.All sowohl für den delegierten Zugriff als auch für den direkten Anwendungszugriff ein. Über diese spezielle neue API-Berechtigung können Informationen wie userPrincipalName, displayName, Vor- und Nachnamen, E-Mail-Adresse und Foto der Personen in Ihrer Organisation abgefragt werden. Für die meisten Anwendungsfälle sollte dieser eingeschränkte Zugriff auf die Personen-Informationen ausreichen.

Die am wenigsten privilegierte Berechtigung User.BasicRead.All ist seit über einem halben Jahr verfügbar. Dennoch gibt es nur wenige von Softwareanbietern, die diese Berechtigung inzwischen in ihren Produkten nutzen.   

Community- Ressourcen

In den letzten anderthalb Jahren habe ich ENow Software regelmäßig Feedback zu ihrer Application Governance-Lösung gegeben, um sie weiterzuentwickeln und den Funktionsumfang zu erweitern.

Ein Grundsatz war immer, dass Wissen rund um Microsoft 365, Entra ID und gerade Entra Application Management für alle zugänglich sein sollte. ENow stellt Community-Ressourcen bereit, die sich ganz auf Entra ID und Application Governance fokussieren.

Community-Forum für Application Security
Für viele Unternehmen sind Application-Governance und Application-Sicherheit noch relativ neue Themen. Oft mangelt es an internen Experten, die sich mit diesen Themen auskennen. Man kann nicht oft genug betonen, wie wichtig es ist, dass das Wissen rund um Entra ID nicht zu 100% durch externe Dienstleister geleistet werden sollte.  

Erschwerend kommt hinzu, dass viele Unternehmen immer noch in der Klärung sind, wem die Verantwortung der Application Governance innerhalb des Unternehmens zukommen sollte. Wie viele andere Themen der Microsoft 365-Landschaft scheint auch dies in der Twilight Zone der Zuständigkeiten festzustecken.

Das AppGov Community-Forum ist ein kostenloses Angebot und wird von Microsoft Identity & Security MVPs moderiert. Das Forum soll dir helfen, deine Fragen zu Entra ID-Anwendungen zu beantworten. Identitäts-AdministratorInnen, EntwicklerInnen und andere Fachleute können im Forum ihre persönlichen Entra-Erfahrungen teilen oder Hilfe bei der Problemlösung erhalten.

AppGov Score – die kostenlose Application Governance Scorecard
Wenn du unsicher bist, wo du beim Thema Application Governance anfangen sollst, dann ist die AppGov-Scorecard ein guter Startpunkt. Die AppGov-Scorecard und die AppGov-Bewertung sind ein sinnvoller erster Schritt, um sich einen Überblick über die aktuelle Situation der Unternehmensanwendungen und App-Registrierungen zu verschaffen. Denn nur wenn man den Ist-Zustand im eigenen Mandanten, im direkten Vergleich zu den Security Best Practices, kennt, kann man auch Verbesserungen umsetzen.

AppGov Score überprüft und bewertet die Sicherheit deiner Unternehmensanwendungen, Anwendungsregistrierungen und die zugehörigen Einstellungen in deinem Microsoft 365-Mandanten. Eine Hunting-Analyse identifiziert, ob deine Anwendungen anfällig für Angriffe bekannter Bedrohungsakteure sind und ob es Lücken bei den zugewiesenen Berechtigungen gibt.

Rich Entra ID Application Security Blog Site
Zusätzlich zur Community-Website und AppGov-Score kooperiert ENow wöchentlich mit mehreren Microsoft MVPs, um qualitativ hochwertige Blog-Inhalte bereitzustellen. In ihren Blogs finden sich praktische Tipps, die sowohl auf Risiken hinweisen als auch deren Lösungen erläutern.

Hier sind ein paar aktuelle Artikel als Referenz:

Hinweis

Die Application Governance-Lösung von ENow ist komplett unabhängig von der Microsoft Application Governance-Funktion und benötigt keine teuren Microsoft 365-Lizenzen. Ebenso unterscheidet sich der AppGov Score von ENow grundlegend von Microsofts Identity Secure Score.

Mit den Daten aus der Scorecard haben Administratoren die Möglichkeit, mit ihren bevorzugten Skript- oder Entwicklungstools zu arbeiten, um identifizierte Fehlkonfigurationen zu entdecken und zu korrigieren. Alternativ können sie auf den kostenpflichtigen App Governance Accelerator upgraden, um diese Informationen sofort zu erhalten und kontinuierlich die Entwicklung des AppGov Score zu überwachen, Warnungen einzurichten und wiederkehrende Probleme mithilfe automatisierter Workflows zu lösen.

Mach mit!

Wenn Sie Fragen zu Entra-Anwendungen haben, stellen Sie diese in der Application Governance Community von ENow. Zusammen mit mehreren anderen Microsoft Most Valuable Professionals (MVPs) überwachen wir das Forum, um Ihnen die besten Sicherheitsanweisungen für Entra ID-Anwendungen zu geben.

Wenn du Fragen zu Entra-Anwendungen hast, kannst du diese einfach in der Application Governance Community von ENow stellen. Zusammen mit den Microsoft Most Valuable Professionals (MVPs) kannst du dir die besten Tipps zur Sicherheit von Entra ID-Anwendungen holen.

Links

Kurz-URL | Short URL: https://granikos.eu/go/TrXI
Neue Suche
aka.ms/ehlo
Logo des Exchange Summit 2026, der am 24. & 25. Februar 2025 in Würzburg stattfindet. MIt Anmelde-URL: exchange-summit.de
Cover Microsoft Exchange Server Handbuch für Administratoren - 2. Auflage
Infografik für die ENow Mailscape 365 Überwachungssoftware

Kommentar verfassen

Sie sehen gerade einen Platzhalterinhalt von Standard. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Inhalt entsperren
Mehr Informationen

Entdecke mehr von Granikos GmbH & Co. KG

Jetzt abonnieren, um weiterzulesen und auf das gesamte Archiv zuzugreifen.

Weiterlesen