Default Authorization Settings - User consent policy assigned for applications
Защо това е важно
Позволяването на потребители без администраторски права да дават съгласие за приложения на трети страни крие значителни рискове за сигурността. Злонамерените приложения могат да поискат разрешения за достъп до чувствителни организационни данни, пощенски кутии и файлове без контрол от администратор. Като ограничите потребителското съгласие само до проверени издатели, намалявате повърхността за атаки и запазвате контрола върху това кои приложения имат достъп до ресурсите на вашия клиент.
Какво проверява Aether365
Тази проверка потвърждава дали настройката permissionGrantPolicyIdsAssignedToDefaultUserRole в политиката за оторизация е конфигурирана да ограничава потребителското съгласие до приложения от проверени издатели. В таблото за управление на Aether365 това се показва под проверките entra-id с идентификатор EIDSCA.AP08.
Как да отстраните проблема
- Влезте в Microsoft Entra admin center (https://entra.microsoft.com) като глобален администратор.
- Отидете на Identity > Applications > Enterprise applications > Consent and permissions > User consent settings.
- Под "User consent for applications" изберете "Allow user consent for apps from verified publishers, for selected permissions."
- От падащото меню изберете препоръчителната политика за предоставяне на разрешения:
ManagePermissionGrantsForSelf.microsoft-user-default-low. - Щракнете върху "Save", за да приложите промените.
- Алтернативно, използвайте Microsoft Graph PowerShell с командата:
Update-MgPolicyAuthorizationPolicy -PermissionGrantPolicyIdsAssignedToDefaultUserRole @("ManagePermissionGrantsForSelf.microsoft-user-default-low")
Съответствие
- EIDSCA: EIDSCA.AP08
- CISA SCuBA 2.7: На потребители без администраторски права трябва да бъде предотвратено даването на съгласие за приложения на трети страни