标准帐户注册应用程序的能力

默认情况下，任何 Entra 用户都可以在租户中注册应用程序并加以管理。虽然此默认设置很方便，并且不会立即导致安全漏洞，但它仍然存在潜在的风险。允许开放应用程序注册可能导致以下问题：使用未授权的应用程序或高风险应用程序（“影子 IT”），以及允许恶意攻击者注册用于网络钓鱼攻击的虚假应用程序。此外，一些组织可能希望限制应用程序注册，以防止不必要的扩展。另外，创建应用程序的用户会被自动指定为该应用程序的所有者，从而保留可能不符合组织首选项的管理权限。

相关设置位于“用户设置”菜单中的“默认用户角色权限​”下，其标签为“用户可以注册应用程序​”。

Microsoft 在“配置 Microsoft Entra 以提高安全性”一文中还建议“仅允许特权用户创建新的应用程序和服务主体”。

许多最佳实践和安全基准都建议限制可以创建应用程序的人员。这种方法包括配置适当的委派，以便指定的管理员能够使用各种已记录的方法注册应用程序。

请注意，一旦普通用户失去自助服务能力，您的帮助台、开发人员或 Entra 管理员将需要处理额外的应用程序注册请求，这可能会增加他们的工作负担。还应考虑与此限制相关的其他已记录的缺点。

名称: 标准帐户注册应用程序的能力

代码名称: ABILITY-OF-STANDARD-ACCOUNTS-TO-REGISTER-APPLICATIONS

严重性: Low

类型: Microsoft Entra ID Indicator of Exposure