Entra ID Application Governance – Phase 1

Rss

Teil 1 einer zweiteiligen Miniserie zu Entra ID Unternehmensapplikationen.

Sobald ein Unternehmen zu Microsoft 365 migriert ist, kann die Fähigkeit von Endbenutzern, auf potenziell bedrohliche externe Anwendungen zuzugreifen, außer Kontrolle geraten und auf vielen Ebenen eine unberechenbare Gefahr für das Unternehmen darstellen.

In der letzten Zeit häufen sich Angriffe gegen unsicher konfigurierte Microsoft 365 Mandanten. Ein Beispiel aus der letzten Woche sind E-Mail-Angriffe, um OAuth-Applicationen für Crypto-Mining zu verwenden. Microsoft legt in einem ausführlichen Artikel dar, wie dieses Angriffsszenario funktioniert (hat). Möglich wurde dieser Art des Angriffes u.a. durch eine unsichere bzw. freizügige Konfiguration für Unternehmensapplikationen in Entra ID. ENow beschreibt im AppGov Score Blog, wie du deinen Mandanten sicherer konfigurierst.

Weißt du, wie viele externe Anwendungen in deinem Microsoft 365-Mandanten registriert sind?

Die Gefahr der Standardeinstellung

In einem Microsoft 365-Mandanten mit Standardeinstellungen können sich Benutzer mit ihrem Unternehmenskonto schnell und einfach bei externen Cloud-Anwendungen anmelden, um diese auszuprobieren oder produktiv zu nutzen. Zu diesem Zweck führt der Benutzer eine sog. Anwendungsregistrierung im Mandanten durch und stimmt dem Zugriff auf die persönlichen Daten durch die Applikation eigenverantwortlich zu. Die externe Anwendung hat von diesem Zeitpunkt an Lesezugriff auf das Entra ID-Verzeichnis.

Wahrscheinlich gibt es in deinem Microsoft 365 mehrere Unternehmensanwendungen und App-Registrierungen, die die Benutzer nur ausprobieren wollten oder Applikationen, die mal genutzt, nun aber nicht mehr verwendet werden, aber noch aktiv registriert sind. Zu solchen Anwendungen gehören u.a. Teams-Apps, Office-Add-Ins, externe Anwendungswebsites, administrative Applikationen oder möglicherweise Veranstaltungswebsites, auf denen sich Ihre Benutzer für die Teilnahme an einer Konferenz registriert haben. Die Tatsache, dass Benutzer standardmäßig selbst Anwendungen registrieren können, fördert den unkontrollierten Wildwuchs an Unternehmensanwendungen in Entra ID.

Eine Entra ID-Anwendungsregistrierung hat zwei wichtige Berechtigungskonfigurationen. Erstens, welche Benutzer- und Gastkonten in deinem Microsoft 365-Mandanten dürfen diese Anwendung verwenden, und welche Berechtigungen hat die Anwendung selbst im Mandanten für den Zugriff auf Microsoft 365-Ressourcen, wie Entra ID, SharePoint Online oder Exchange Online?

Je nach Implementierung der Anwendung werden in deinem Mandanten neben einer Unternehmensanwendung auch eine zusätzliche App-Registrierung hinzugefügt. Diese App-Registrierung definiert u.a. die delegierte Berechtigung der Anwendung, um im Namen eines angemeldeten Benutzerkontos auf Daten im Mandanten zuzugreifen. Administratoren übersehen oft, dass eine einzelne registrierte Anwendung Konfigurationen an zwei Stellen in Entra ID hinzufügt.

Wo die Application Governance ins Spiel kommt

Die Governance umfasst den gesamten Lebenszyklus einer Anwendung, von der Registrierung über die regelmäßige Kontrolle und Anpassung von Eigenschaften und Zugriffsberechtigungen, bis hin zur endgültigen Löschung aus Entra ID am Ende der Applikationsnutzung.

Einige der am meisten vernachlässigten Merkmale von Unternehmensanwendungen und Anwendungsregistrierungen sind:

  • Laufzeit von Zugriffszertifikaten und -kennwörtern
  • Zuordnung von Applikationseigentümer
  • Tokenzuweisung an öffentliche Client mit Kennwortübertragung im Klartext
  • Ausführliche Beschreibung zur Nutzungszuordnung im Unternehmen

Leider bietet Entra ID keine Möglichkeit, um sich einen schnellen Überblick über die aktuelle Situation der vorhandenen Anwendungen zu verschaffen. Die Dashboard-Übersicht der Unternehmensanwendungen bietet nur rudimentäre Informationen über die Gesamtzahl der Anwendungen und deren Status. Diese Übersicht ist auch nicht einmal die Standardansicht, wenn du den Menüpunkt Unternehmensanwendungen auswählst.

Wie also können Identitätsarchitekten diese Ausbreitung riskanter Unternehmensanwendungen in Entra ID effektiv eindämmen?

Einführung des ENow AppGov Score™

ENow hat eine kostenlose Lösung entwickelt, mit der Identitätsarchitekten schnell feststellen können, wie ihr Mandant im Vergleich zu den von Microsoft empfohlenen Sicherheitsverfahren abschneidet. Langjährige Sicherheits-MVPs entwickelten die Methodik des Bewertungssystems mit ihrem umfangreichem Wissen aus Microsoft 365-Mandanten unterschiedlicher Größe.

Wie es funktioniert

Um einen ersten Eindruck von der Application Governance in deinem Mandanten zu erhalten, kannst du dich für die Freemium-Version von App Governance Accelerator unter https://www.appgovscore.com registrieren. Der AppGov Score™ ist in 5 Minuten bis zu maximal einer Stunde einsatzbereit. Die Registrierung selbst erfolgt mit einem Standard-Benutzerkonto aus deinem Mandanten, jedoch benötigst du ein globales Administratorkonto, um die erforderlichen Anwendungsberechtigungen für den Mandanten zu genehmigen.

Der App Governance Accelerator fordert die folgenden Berechtigungen an, um Informationen von Entra ID auszuwerten.

  • Directory.Read.All
  • EntitlementManagement.Read.All
  • Policy.Read.All
  • PolicyRead.PermissionsGrant
  • RoleManagement.Read.All

Nach der Registrierung und der Zustimmung zu den Anwendungsberechtigungen beginnt der App Governance Accelerator mit der Analyse der Konfigurationsdaten der Unternehmensanwendungen und der zugehörigen Entra ID-Einstellungen. Auf der Grundlage dieser Ergebnisse berechnet der Accelerator den AppGov Score für deinen Mandanten.

Um die Auswertungen Freemium-Version des App Governance Accelerator zu demonstrieren, habe ich eine App Governance-Analyse meines persönlichen Demo-Mandanten durchgeführt.

Das App-Registrierungsdilemma in Standard-Mandanten

Der analysierte Mandanten wird in großen Teilen mit den Standardeinstellungen von Microsoft 365 und einer Standardkonfiguration für Unternehmensanwendungen betrieben, so wie es auch in vielen Mandanten der Fall ist. Die Standardeinstellungen von Microsoft 365 haben nicht die Aufgabe, die Nutzung von Unternehmensanwendungen möglichst sicher zu gestalten, sondern die Registrierung durch Anwender zu fördern und so die Nutzung von Applikationen zu erleichtern. Und das ist nicht nur ein Dilemma, sondern das Dilemma.

Daher ist es nicht überraschend, dass in der ersten Auswertung ein ENow AppGov Score von 53% zu sehen ist. Ein (neuer) Microsoft 365-Mandant mit Standardeinstellungen ist weit von den von Microsoft empfohlenen Best Practices für Unternehmensanwendungen in Entra ID entfernt.

Erster Assessment-Bericht mit einem ENow AppGov Score™ von 53%

Die kostenfreie Application-Governance-Analyse gliedert sich in die folgenden drei Informationsbereiche.

  • Analyse der Unternehmensanwendungen
  • Analyse der App-Registrierungen
  • Analyse der Mandanteneinstellungen

Jeder Abschnitt enthält grundlegende Statusinformationen zu Konfigurations- und Governance-Themen, z. B. wie viele Unternehmensanwendungen in deinem Mandanten mit Administratorberechtigung vorhanden sind. Der Status eines einzelnen Abschnitts reicht von schlecht über gut bis ausgezeichnet. Einige Abschnitte sind rein informativ, da sie nur statistische Informationen enthalten. in jedem Abschnitt findest du zusätzliche Informationen darüber, warum diese Auswertung für die Application Governance in deinem Mandanten wichtig sind. Der folgende Screenshot zeigt zum Beispiel den erweiterten Bereich der Anwendungen, für die keine Admin-Zustimmung vorliegt.

Screenshot der Applikationen ohne administrative Zustimmung mit einem schlechten Konfigurationsstatus

Die folgende Liste zeigt dir, welche Punkte in den App Governance Accelerator-Berichten aufgeführt werden.

  • Analyse von Unternehmensanwendungen
    • Anzahl der registrierten Unternehmensanwendungen
    • Prozentsatz der Unternehmensanwendungen ohne administrative Zustimmung
    • Anzahl der als risikoreich eingestuften Unternehmensanwendungen
    • Anzahl der in den letzten dreißig Tagen erstellten Unternehmensanwendungen
    • Prozentsatz der Unternehmensanwendungen ohne Beschreibung
    • Prozentsatz der Unternehmensanwendungen ohne Eigentümer
    • Prozentsatz der Unternehmensanwendungen ohne Rollenzuweisung

  • Analyse der Anwendungsregistrierung
    • Anzahl der Anwendungsregistrierungen mit öffentlichen Kundenströmen
    • Anzahl der Anwendungsregistrierungen mit abgelaufenen Zertifikaten
    • Anzahl der Antragsregistrierungen mit Bescheinigungen, die in den nächsten vierzehn Tagen ablaufen
    • Anzahl der Anwendungsregistrierungen mit abgelaufenen Client-Geheimnissen
    • Anzahl der Anwendungsregistrierungen mit ablaufenden Kundengeheimnissen in den nächsten vierzehn Tagen
    • Prozentsatz der Anwendungsregistrierungen mit Kundengeheimnissen, die länger als zwei Jahre gültig sind
    • Anzahl der in den letzten dreißig Tagen erstellten Anwendungsregistrierungen
    • Anzahl der Anwendungsregistrierungen ohne zugehörige Unternehmensanwendung
    • Prozentsatz der Anwendungsregistrierungen mit Zertifikaten, die länger als zwei Jahre ablaufen
    • Anzahl der Anwendungsregistrierungen mit konfigurierten Client-Geheimnissen

  • Analyse der Mieterbesprechungen
    • Anzahl der Benutzerkonten mit administrativen Rechten für Anwendungen
    • Konfiguration der Zustimmung des Gruppeneigentümers
    • Konfiguration der Zugriffsrechte von Gastbenutzern
    • Konfiguration der Benutzerzustimmung für Anwendungen
    • Konfiguration der Möglichkeit für Benutzer, Galerieanwendungen hinzuzufügen
    • Konfiguration des Ersuchens um administrative Zustimmung

Auch ohne alle Ergebnisse der AppGov Score™-Auswertung meines Mandanten zu zeigen, erhältst du eine gute Vorstellung davon, wie die Freemium-Version des App Governance Accelerators dir Informationen darüber liefern kann, wo die Problemfälle der registrierten Unternehmensanwendungen in Entra ID liegen. Es ist ein leistungsstarkes Tool, das dir hilft, Unternehmensanwendungen und App-Registrierungen in deinem Tenant anzupassen und so mit einer Good Governance deinen Microsoft 365-Mandaten sicherer zu machen.

Wie bereits erwähnt, ermöglicht Entra ID standardmäßig die Registrierung von neuen Unternehmensanwendungen durch Endbenutzer. Auch dein Mandanten kann Anwendungen enthalten, die nicht mehr genutzt werden und so ein Sicherheitsrisiko darstellen.

Wenn du in deinem Unternehmen als Identitätsarchitekt für Governance-Themen verantworlich bist und eine Governance-Strategie entwickeln musst, kann dir der AppGov Score™ die notwendigen Informationen schnell bereitstellen.

Wenn du die Funktionen freischalten möchtest, die deine Governance-Aufgaben im Zusammenhang mit Unternehmensanwendungen und App-Registrierungen unterstützen, kannst du ein Upgrade auf den ENow App Governance Accelerator durchführen. Diese Unterstützung beginnt mit den Grundeinstellungen für die Registrierung und Zustimmung in einem Microsoft 365-Mandanten und umfasst Berichte über den Status der Unternehmensanwendungen. Im zweiten Teil dieser Miniserie gehe ich auf die Funktionen der kostenpflichtigen Version des App Governance Accelerators ein und zeige, wie der ENow AppGov Score™ dazu beigetragen hat, die Governance in meinem produktiven Microsoft 365-Mandanten zu verbessern.

Kurz-URL | Short URL: https://granikos.eu/go/YNje
Neue Suche
aka.ms/ehlo
Logo des Exchange Summit 2026, der am 24. & 25. Februar 2025 in Würzburg stattfindet. MIt Anmelde-URL: exchange-summit.de
Cover Microsoft Exchange Server Handbuch für Administratoren - 2. Auflage
Infografik für die ENow Mailscape 365 Überwachungssoftware

Kommentar verfassen

Sie sehen gerade einen Platzhalterinhalt von Standard. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Inhalt entsperren
Mehr Informationen

Entdecke mehr von Granikos GmbH & Co. KG

Jetzt abonnieren, um weiterzulesen und auf das gesamte Archiv zuzugreifen.

Weiterlesen