표준 계정의 애플리케이션 등록 기능

LOW

설명

모든 Entra 사용자는 기본적으로 테넌트에서 애플리케이션을 등록한 다음 관리할 수 있습니다. 이 기본 설정을 사용하면 편리하고 직접적인 보안 취약성이 되지는 않지만, 잠재적 위험을 초래합니다. 공개 앱 등록을 허용하면 무제한 또는 고위험 애플리케이션("섀도 IT")을 사용할 수 있게 되고, 악성 행위자가 피싱 목적으로 가짜 애플리케이션을 등록할 가능성이 있습니다. 일부 조직에서는 불필요한 스프롤을 방지하기 위해 앱 등록을 제한하려고 할 수도 있습니다. 또한 애플리케이션을 만드는 사용자는 자동으로 그 앱의 소유자로 지정되기 때문에 조직의 기본 설정과 일치하지 않는 관리 권한을 보유할 수 있습니다.

관련 설정은 사용자 설정 메뉴의 기본 사용자 역할 권한​ 아래에 있으며 사용자가 애플리케이션을 등록할 수 있음​이라는 레이블이 지정되어 있습니다.

또한 Microsoft에서는 보안이 강화된 Microsoft Entra 구성에서 "새 애플리케이션과 서비스 보안 주체 생성은 권한 있는 사용자에게만 제한"하도록 권장합니다.

솔루션

대다수의 모범 사례와 보안 기준에서는 애플리케이션을 만들 수 있는 사용자를 제한하도록 권장합니다. 이 방식에는 지정된 관리자가 다양한 문서화된 방법을 사용해 애플리케이션을 등록할 수 있도록 적절한 위임을 구성하는 작업이 포함됩니다.

일반 사용자가 셀프서비스 기능을 잃으면 헬프데스크, 개발자 또는 Entra 관리자가 애플리케이션 등록 요청을 추가로 처리해야 하므로 워크로드가 추가될 수 있음에 유의해야 합니다. 이 제한과 함께 고려해야 할 기타 문서화된 단점도 있습니다.

지표 세부 정보

이름: 표준 계정의 애플리케이션 등록 기능

코드명: ABILITY-OF-STANDARD-ACCOUNTS-TO-REGISTER-APPLICATIONS

심각도: Low

유형: Microsoft Entra ID Indicator of Exposure

MITRE ATT&CK 정보: