Default Authorization Settings - Allow user consent on risk-based apps
Защо това е важно
Настройката allowUserConsentForRiskyApps контролира дали потребителите могат да дават съгласие за приложения, които Microsoft Entra ID идентифицира като рискови въз основа на сигнали в реално време. Ако е активирана, потребителите може несъзнателно да предоставят разрешения на злонамерени или подозрителни приложения, което увеличава риска от изтичане на данни и неоторизиран достъп. Деактивирането на тази настройка гарантира, че само администратори могат да разрешават рискови приложения, осигурявайки критичен слой защита срещу атаки, базирани на съгласие.
Какво проверява Aether365
Aether365 проверява дали свойството allowUserConsentForRiskyApps в authorizationPolicy е зададено на false. Тази проверка се появява в таблото на Aether365 в раздела entra-id.
Как да коригирате
- Отворете Microsoft Entra admin center и отидете на Identity > Applications > Enterprise applications > Consent and permissions > User consent settings.
- Под Risk-based step-up consent, задайте превключвателя на No, за да предотвратите съгласието на потребителите за рискови приложения.
- Като алтернатива, използвайте Microsoft Graph API с крайна точка
PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicyи задайте свойствотоallowUserConsentForRiskyAppsнаfalse.
Приложими стандарти
- EIDSCA EIDSCA.AP09
- CIS Microsoft 365 Foundations (когато е картографирано)
Свързани ресурси
- Конфигуриране на съгласие с рискова стъпка - Microsoft Learn
- authorizationPolicy тип ресурс - Microsoft Graph v1.0