애플리케이션에 대한 관리자 동의 워크플로가 구성되지 않음

관리자 동의 워크플로가 없으면 관리자가 아닌 사용자가 애플리케이션에 대한 권한 요청을 에스컬레이션하는 기본 제공 방식이 없습니다. 따라서 차선책을 사용하거나 사용자 동의가 허용되는 경우 스스로 권한을 부여해야 합니다("애플리케이션에 대한 무제한 사용자 동의" IoE 참조). 두 사례 모두 조직에서 가시성과 권한 부여에 대한 제어를 잃게 되어, 최소 권한 적용이 약화됩니다.

동의 피싱 공격(불법적인 동의 부여 공격이라고도 함)은 사용자를 속여 정상처럼 보이는 악성 앱에 대한 액세스를 부여하도록 유도합니다. 승인 워크플로가 없으면 Files.ReadWrite(사용자 파일에 대한 전체 액세스) 또는 Mail.ReadWrite(모든 사서함에 대한 읽기 및 쓰기 액세스)와 같은 의심스러운 권한 범위에 플래그를 지정할 검토 레이어가 없습니다. 이로 인해 공격자는 비밀번호 변경 또는 MFA로 철회되지 않는 지속적인 사용자 데이터 액세스 권한을 얻을 수 있습니다.

관리자 동의 워크플로가 없으면 관리자가 이메일, 채팅이나 직접 요청 등과 같은 임시적인 방법으로 권한 요청을 처리해야 하기 때문에 감사 사각지대가 생깁니다. 자동 요청 프로세스, 알림 시스템 또는 누가 무엇을, 언제, 왜 승인했는지에 대한 기록이 없습니다. 이렇게 감사가 미흡하면 애플리케이션 권한을 부여하기 전에 적절한 검토를 거쳤는지 증명하기 어렵습니다.

또한 Microsoft에서는 보안이 강화된 Microsoft Entra 구성에서 "관리자 동의 워크플로를 사용 설정"하도록 권장합니다.

Entra ID 테넌트에서 관리자 동의 워크플로를 사용 설정하고 구성하여 관리자 동의가 필요한 애플리케이션에 대해 사용자가 권한을 요청할 명확하고 표준화된 프로세스를 정립하십시오. 사용으로 설정하면 사용자에게 '승인 필요' 대화 상자가 표시되고 사유를 제출할 수 있습니다. 시스템이 요청을 지정된 검토자에게 자동으로 전달합니다. 이렇게 구조화된 워크플로는 모든 요청을 다루고, 관리자가 모든 보류 중인 요청을 완전히 파악할 수 있게 해줍니다.

관리자 동의 워크플로를 사용으로 설정한 후에 관리자가 적절한 검토자를 할당해야 합니다. 요청을 승인하려면 검토자에게 전역 관리자, 클라우드 애플리케이션 관리자, 애플리케이션 관리자 또는 권한 있는 역할 관리자와 같은 특정 역할이 있어야 합니다. 어떤 사용자를 검토자로 할당해도 그 사용자의 권한이 상승하는 것은 아닙니다. 필요한 역할이 없는 검토자는 요청을 확인하고 차단하거나 거부할 수 있지만, 테넌트 전체에서 관리자 동의를 부여할 수 있는 역활을 보유한 검토자만 요청을 승인할 수 있습니다. Tenable에서는 가능하면 항상 "클라우드 애플리케이션 관리자" 역할을 할당할 것을 권장합니다. 이 역할은 위급 상황에 대비해 남겨 두어야 하는 "전역 관리자" 역할처럼 광범위한 액세스 없이도 필요한 권한을 제공합니다. 하지만 전역 관리자만 Microsoft Graph 앱 역할을 요청하는 애플리케이션에 대한 관리자 동의 요청을 승인할 수 있습니다.

검토자 목록을 정기적으로 감사하여 인력 변동에 따라 할당을 최신 상태로 유지하십시오. 새 검토자는 자신의 할당 이후에 만들어진 요청만 볼 수 있으며, 제거된 검토자는 기존 요청에 대해서 액세스할 수 있습니다. 관리자는 보안 범위에 공백을 방지하기 위해 검토자 추가와 제거를 세심하게 계획해야 합니다.

검토 프로세스가 정립되었으면, 동의 요청에 대한 이메일 알림과 만료 설정을 구성합니다. 이러한 설정은 새 요청이 제출되거나 만료가 임박하면 검토자에게 알립니다. 요청을 제출하는 사용자는 자신의 요청이 승인, 거부 또는 차단되면 알림을 받습니다. 만료 기간을 정의하면 부실한 요청이 무기한 유지되지 않도록 방지할 수 있습니다.

이름: 애플리케이션에 대한 관리자 동의 워크플로가 구성되지 않음

코드명: ADMIN-CONSENT-WORKFLOW-FOR-APPLICATIONS-NOT-CONFIGURED

심각도: Medium

유형: Microsoft Entra ID Indicator of Exposure