Capacidad de las cuentas estándar de registrar aplicaciones

LOW

Descripción

De manera predeterminada, cualquier usuario de Entra puede registrar aplicaciones y, luego, gestionarlas en el inquilino. Si bien esta configuración predeterminada resulta cómoda y no presenta una vulnerabilidad de seguridad inmediata, plantea riesgos potenciales. Permitir el registro abierto de aplicaciones puede llevar al uso de aplicaciones no autorizadas o de alto riesgo (“TI oculta”) y hace posible que agentes maliciosos registren aplicaciones falsas con fines de phishing. Además, algunas organizaciones podrían querer restringir el registro de aplicaciones para evitar una expansión innecesaria. Asimismo, el usuario que crea una aplicación se designa automáticamente como su propietario y conserva permisos de administración que pueden no alinearse con las preferencias de la organización.

La opción pertinente se etiqueta como Los usuarios pueden registrar aplicaciones en Permisos de rol de usuario predeterminados en el menú Configuración de usuario.

En Configuración de Microsoft Entra para aumentar la seguridad, Microsoft también recomienda que la creación de nuevas aplicaciones y entidades de servicio esté restringida a usuarios con privilegios.

Solución

Muchas prácticas recomendadas y referencias de seguridad recomiendan restringir quién puede crear aplicaciones. Este enfoque incluye configurar la delegación adecuada para que los administradores designados obtengan la capacidad de registrar aplicaciones según los distintos métodos documentados.

Tenga en cuenta la posible carga de trabajo adicional para el equipo de asistencia técnica, los desarrolladores o los administradores de Entra, ya que tendrán que manejar solicitudes de registro de aplicaciones adicionales una vez que los usuarios normales pierdan la capacidad de autoservicio. También se deben tener en cuenta otras desventajas documentadas relativas a esta restricción.

Detalles del indicador

Nombre: Capacidad de las cuentas estándar de registrar aplicaciones

Nombre en clave: ABILITY-OF-STANDARD-ACCOUNTS-TO-REGISTER-APPLICATIONS

Gravedad: Low

Tipo: Microsoft Entra ID Indicator of Exposure

Información de MITRE ATT&CK: