风险暴露指标
| 名称 | 描述 | 严重性 | Type |
|---|---|---|---|
| 已启用临时访问通行证功能 | 临时访问通行证 (TAP) 功能是一种临时的身份验证方法,使用有时限或限制使用的通行码。虽然这是合法功能,但如果您的组织不需要,禁用此功能以减少攻击面会更安全。 | LOW | |
| 未配置应用程序的管理员同意工作流 | Entra ID 中的管理员同意工作流允许非管理员用户通过一个结构化的审批流程来请求应用程序权限。如果未配置该工作流,尝试访问应用程序的用户可能会遇到错误,且无法请求同意。 | MEDIUM | |
| 身份验证方法迁移未完成 | 迁移到“身份验证方法”策略可简化并提升 Microsoft Entra ID 中的身份验证管理。此转换可简化管理,增强安全性,并提供对最新身份验证方法的支持。为避免因弃用旧策略造成中断,请在 2025 年 9 月之前完成迁移。 | MEDIUM | |
| 影响租户的危险应用程序权限 | Microsoft 在 Entra ID 中公开 API,以允许第三方应用程序以自己的名义对 Microsoft 服务执行操作(这被称为“应用程序权限”)。某些权限可能对整个 Microsoft Entra 租户造成严重威胁。 | HIGH | |
| 影响租户的危险委派权限 | Microsoft 在 Entra ID 中公开 API,以允许第三方应用程序代表用户对 Microsoft 服务执行操作(这被称为“委派权限”)。某些权限可能对整个 Microsoft Entra 租户造成严重威胁。 | HIGH | |
| 已禁用分配给特权角色的帐户 | 如要拥有一个健全的帐户管理流程,则需要监视对特权角色的分配。 | LOW | |
| 休眠的非特权用户 | 休眠的非特权用户会带来安全风险,因为攻击者可以利用这些用户进行未经授权的访问。如果没有定期监控和停用,这些过期用户会通过扩大攻击面,为恶意活动创建潜在的入口点。 | LOW | |
| 休眠的特权用户 | 休眠的特权用户会带来安全风险,因为攻击者可以利用这些用户进行未经授权的访问。如果没有定期监控和停用,这些过期用户会通过扩大攻击面,为恶意活动创建潜在的入口点。 | MEDIUM | |
| 具有特权角色的来宾帐户 | 来宾帐户是外部身份,当获得特权角色分配时,可能会造成安全风险。这将授予外部个体在您组织内的租户中相当大的特权。 | HIGH | |
| 管理员数量太多 | 管理员拥有更高的特权,因此当管理员数量太多时,可能会增加攻击面,并因此造成安全风险。这也是最低特权原则未受到遵循的表现。 | HIGH | |
| 特权帐户缺少 MFA | MFA 为帐户提供强大保护,防止出现弱密码或泄露密码。安全最佳实践和标准建议您启用 MFA,尤其是针对特权帐户。没有注册 MFA 方法的帐户无法从中获益。 | HIGH | |
| 从未使用的非特权用户 | 从未使用的非特权用户帐户容易遭到入侵,因为它们通常能够逃避防御措施的检测。此外,帐户可能配置了默认密码,使其成为攻击者的主要目标。 | LOW | |
| 允许加入设备的用户 | 如果允许所有用户将不受限制的设备加入到 Entra 租户,这便危威胁制造者打开方便之门,使其可将恶意设备插入组织的身份系统中,并为其进行进一步入侵提供驻足点。 | LOW |