Capacidad de las cuentas estándar de registrar aplicaciones
LOW
Idioma:
Descripción
De manera predeterminada, cualquier usuario de Entra puede registrar aplicaciones y, luego, gestionarlas en el inquilino. Si bien esta configuración predeterminada resulta cómoda y no presenta una vulnerabilidad de seguridad inmediata, plantea riesgos potenciales. Permitir el registro abierto de aplicaciones puede llevar al uso de aplicaciones no autorizadas o de alto riesgo (“TI oculta”) y hace posible que agentes maliciosos registren aplicaciones falsas con fines de phishing. Además, algunas organizaciones podrían querer restringir el registro de aplicaciones para evitar una expansión innecesaria. Asimismo, el usuario que crea una aplicación se designa automáticamente como su propietario y conserva permisos de administración que pueden no alinearse con las preferencias de la organización.
La opción pertinente se etiqueta como Los usuarios pueden registrar aplicaciones en Permisos de rol de usuario predeterminados en el menú Configuración de usuario.
En Configuración de Microsoft Entra para aumentar la seguridad, Microsoft también recomienda que la creación de nuevas aplicaciones y entidades de servicio esté restringida a usuarios con privilegios.
Solución
Muchas prácticas recomendadas y referencias de seguridad recomiendan restringir quién puede crear aplicaciones. Este enfoque incluye configurar la delegación adecuada para que los administradores designados obtengan la capacidad de registrar aplicaciones según los distintos métodos documentados.
Tenga en cuenta la posible carga de trabajo adicional para el equipo de asistencia técnica, los desarrolladores o los administradores de Entra, ya que tendrán que manejar solicitudes de registro de aplicaciones adicionales una vez que los usuarios normales pierdan la capacidad de autoservicio. También se deben tener en cuenta otras desventajas documentadas relativas a esta restricción.
Detalles del indicador
Nombre: Capacidad de las cuentas estándar de registrar aplicaciones
Nombre en clave: ABILITY-OF-STANDARD-ACCOUNTS-TO-REGISTER-APPLICATIONS
Gravedad: Low
Tipo: Microsoft Entra ID Indicator of Exposure