Im ersten Teil dieser Miniserie habe ich über die Sicherheitsrisiken gesprochen, die Unternehmensanwendungen und App-Registrierungen für die Entra ID Application Governance darstellen, und darüber, dass ENow Software ein kostenloses Tool entwickelt hat, das die Anwendungssicherheit und -verwaltung deines Microsoft 365 Mandanten mit dem AppGov Score quantifiziert. Dieses kostenlose Tool bringt dich und dein Unternehmen schnell auf den richtigen Weg, um Entra ID sicherer zu machen. Ich hatte die Gelegenheit, die kostenpflichtige Version des App Governance Accelerator auszuprobieren.
Ein Standard Microsoft 365-Mandant unterstützt die Selbstregistrierung von Unternehmensanwendungen bei Entra ID durch die Endanwender. Diese selbstregistrierten Anwendungen werden oft nicht überwacht, und stellen so ein Sicherheitsrisiko für den Mandanten dar.
Ich zeige die Entwicklung des AppGov Score in meinem produktiven Microsoft 365-Mandanten, um so die Funktionsweise und die Vorteile des App Governance Accelerators zu verdeutlichen. Um den AppGov Score ermitteln zu können, muss App Governance Accelerator als Unternehmensanwendung in Entra ID registriert werden. Die hierzu notwendigen Schritte habe ich im Abschnitt “Erste Schritte” im ersten Teil beschrieben.
Ausgangssituation
Ausgangspunkt ist das Application Governance Dashboard, das mir in einer Dashboard-Ansicht einen guten Überblick über die wesentlichen Informationen zum Zustand der Unternehmensapplikationen im Mandanten bietet und neben dem aktuellen Score-Wert auch die Entwicklung des Scores im Zeitverlauf darstellt.
Nach der ersten Einrichten der Anwendung in meinem Mandanten war ich schockiert, dass die Bewertung mit 53% recht schlecht ausfiel, wie der folgende Screenshot zeigt:
Dieser Wert beschreibt am besten einen Microsoft 365-Mandanten, der mehr oder weniger mit den Standardeinstellungen von Microsoft betrieben wird. Ich hatte bereits die eigenständige Registrierung von Anwendungen und die Benutzerzustimmung ausgeschaltet. Aber wie wir noch sehen werden, sind anwendungsspezifische Einstellungen bisher unbemerkt geblieben.
Der ENow App Governance Accelerator gliedert sich in die folgenden Berichtsbereiche.
- Activity
- Application Registrations
- Enterprise Applications
- Global Tenant Settings
- Users and Privileges
Was liegt also näher, als zunächst die Mandanteneinstellungen zu überprüfen und anzupassen? Ich war erstaunt über den Bericht über die Konten mit administrativen Anwendungsberechtigungen.
Sie es mir bitte nach, dass ich diesem Artikel nicht auf die Details der Anpassung der Konfigurationen in meinem Mandanten eingehe.
Wie kann man die Bewertung verbessern?
Ich habe mich an die Arbeit gemacht und die Empfehlungen der einzelnen Bewertungen umgesetzt, um den AppGov-Score meines Mandanten zu verbessern. Ein Microsoft 365 Mandanten, der bereits seit mehr als zehn Jahren in Betrieb ist, benötigt besondere Aufmerksamkeit und ausführliche Prüfungen der registrierten Unternehmensanwendungen. Man kann nicht einfach Applikationen außer Betrieb nehmen.
Die Anwendung berechnet den AppGov Score täglich, und nachdem meine Änderungen synchronisiert waren, konnte ich die Ergebnisse meiner Konfigurationsarbeit sehen. Ich finde, dass der AppGov Score das ideale Werkzeug ist, um auch mehr über Unternehmensanwendungen im Allgemeinen zu lernen. Nach den ersten Konfigurationsänderungen hat sich die Punktzahl tatsächlich erhöht und stieg von 53% auf 66%. Zur Nachvollziehbarkeit der Bewertung zeigt mir das Dashboard jede Messpunktänderung, die zu einer Score-Anpassung geführt hat, im Detail an. Aus Datenschutzgründen sind jedoch einige Informationen im Screenshot unkenntlich gemacht.
Die wichtigsten Anpassungen, die zu dieser Verbesserung führten, waren:
- Löschung von ungenutzten Unternehmensanwendungen
- Erste Zuweisungsrunde von Anwendungseigentümern
- Anpassung der Mandanteneinstellungen für die Genehmigung von Anwendungen
- Löschung veralteter Benutzerkonten mit administrativer Berechtigung, z.B. alte Entra ID Connect-Konten
Die anschließenden Anpassungen im Mandanten führten zu einer Verbesserung von 66% auf 68%, da Konfigurationsänderungen in Entra ID unterschiedliche Auswirkungen auf den AppGov-Score haben. ENow bietet Informationen über die Gründe für jede einzelne Score-Bewertung, einem System, das vom sog. AppGov Score Committee entwickelt wurde. Das Kommitee setzt sich aus Microsoft Security MVPs, führenden Branchenexperten und Sicherheitsexperten zusammen. Darüber hinaus enthält der Bericht, den du mit deiner Bewertung erhältst, Links zu den entsprechenden Microsoft Learn-Webseiten, so dass du leicht weiterführende Informationen finden kannst.
Die Informationen, die ich auf der Microsoft Learn-Seite gefunden habe, auf die ENow mich verwiesen hat, enthielten die Details, die ich zum Thema Public Client Flows und zur Anpassung der Konfiguration für die Anwendungssicherheit benötigte. Wie bereits erwähnt, konzentrieren wir uns beim Hinzufügen einer Anwendung zu Entra ID in erster Linie auf die Anwendungsberechtigungen, denen wir mit der Rolle des globalen Administrators zustimmen, und vielleicht darauf, welche Konten die genehmigte Anwendung nutzen dürfen. Aber eine Anwendung konfiguriert so viel mehr, wenn du die Anwendung zu deinem Microsoft 365-Mandanten hinzufügst, was oft unbemerkt bleibt.
Die Anpassung der Konfigurationen für den Public Client Flow brachte mir acht zusätzliche Punkte und erhöhte die Punktzahl auf 76%. Ich konnte mal tief durchatmen und fühlte mich gut. Das war ein Plateau, auf dem ich eine Pause einlegen konnte.
Der AppGov Score berücksichtigt auch, ob du neue Anwendungen im Mandanten registrierst. Und genau das ist passiert, als ich PnP PowerShell registriert habe. Wie der folgende Screenshot zeigt, war ich anfangs desillusioniert. Der Score sank auf unterdurchschnittliche Werte (oranger Pfeil). Aber was war der Grund dafür?
Der Rückgang des AppGov Scores war auf das Hinzufügen der PnP-PowerShell-Registrierung mit Geräteauthentifizierung zurückzuführen. Schockierenderweise wird bei der Standard-Registrierung ein selbstsigniertes Authentifizierungszertifikat mit einer Lebensdauer von zehn Jahren erstellt. Das in der PnP-Online-Dokumentation für die PowerShell-Authentifizierung angegebene Beispiel zeigt nicht, dass du die Gültigkeitsdauer des Zertifikats über den Parameter ValidYears steuern und ein Zertifikatspasswort zuweisen kannst. Der Standardwert des Zertifikats beträgt zehn Jahre. Der Registrierungsprozess erstellt ein automatisch generiertes Zertifikat ohne Kennwort, was ein enormes Sicherheitsrisiko darstellt. Darüber hinaus registriert sich die Anwendung auch für den Public Client Flow.
Nachdem ich die Einstellungen der PnP-PowerShell-Anwendung angepasst und jeder Anwendung eine Zweckbeschreibung hinzugefügt hatte, konnte ich den AppGov-Score auf 85% erhöhen.
Aber die Konfiguration ist noch nicht abgeschlossen. In den nächsten Wochen werde ich weitere Anpassungen an den Konfigurationen der Unternehmensanwendungen und der Anwendungsregistrierungen vornehmen, denn das Ziel ist es, eine hervorragende Bewertung der Application Governance zu erreichen.
Zusammenfassung
Wenn einem der Begriff Governance begegnet, schreckt man sofort zurück, da man ein kompliziertes organisatorisches Konstrukt vor Augen hat. Der Kontext der Application Governance bringt ein zusätzliches Moment der Abschreckung mit sich.
Ich habe in der Vergangenheit mehrere namenhafte Lösungen ausprobiert, die sich mit Governance befassen. Sie konzentrieren sich auf die Bewertung von Konfigurationsrichtlinien und deren Anwendung und EInhaltuing durch Anwender. Diese Lösungen lassen den kritischen Bereich der Unternehmensanwendungen außen vor.
Der Betrieb eines Microsoft 365-Tenants erfordert einen besonderen Fokus auf Unternehmensanwendungen, was für die produktive und sichere Nutzung von Lösungen in einer SaaS-Welt unerlässlich ist. Sie bergen aber das Risiko eines unbefugten Zugriffs auf persönliche und Unternehmensdaten, wenn du die Anwendungen nicht richtig konfigurierst und ihre Gültigkeit nicht regelmäßig überprüfst. Wie der jüngste Fall des Midnight Blizzard/OAuth-Angriffs gezeigt hat.
ENow hat sich mit dem App Governance Accelerator etwas Besonderes einfallen lassen. Sie bieten eine leicht verständliche und einfach zu bedienende Governance-Lösung für ein sehr komplexes Thema, das nicht nur für Experten geeignet ist. Selbst ein Administrator, der nur gelegentlich den Bereich Unternehmensanwendungen in Entra ID besucht, kann einen Microsoft 365 Mandanten umfassender und sicherer konfigurieren.
Der AppGov Score hilft nicht nur großen Unternehmen, die Vielfalt der Anwendungsregistrierungen in den Griff zu bekommen, sondern ist auch für mittelständische Unternehmen ein hilfreiches Werkzeug.
Für mich ist AppGov Score ein unverzichtbares Tool in meinem Microsoft 365 Werkzeugkasten und da es kostenlos ist, ein Tool, das jeder Identitätsadministrator einmal ausprobieren sollte. Die kostenpflichtige Version beschleunigt auf jeden Fall die Verbesserung der Sicherheitslage in deinem Mandanten und hilft den Überblick zu behalten.