Default Settings - Consent Policy Settings - Group owner consent for apps accessing data

Защо това е важно

Когато собствениците на групи могат да дават съгласие за достъп на приложения до данните на групата, неоторизирани приложения на трети страни могат да получат разрешения, от които нямат нужда. Това може да доведе до изтичане на данни или нарушения на съответствието, особено в среди, където груповите данни съдържат чувствителна информация. Ограничаването на тази привилегия намалява повърхността за атаки и гарантира, че съгласието следва последователна политика.

Какво проверява Aether365

Aether365 проверява дали настройката за съгласие на собствениците на групи за достъп на приложения до данни е деактивирана (зададена на False) в конфигурацията на вашия Microsoft Entra ID клиент. Тази проверка се показва в таблото на Aether365 в раздела за проверки на entra-id.

Как да коригирате

1. Влезте в Microsoft Entra admin center като глобален администратор.
2. Отидете на Identity > External Identities > Cross-tenant access settings.
3. Под Default settings изберете Consent and permissions.
4. Намерете настройката Group owner consent for apps accessing data и я задайте на False.
5. Запазете промените си.

Ако използвате Microsoft Graph API, използвайте следното:

• Заявете крайната точка за настройки на директория: GET /beta/settings
• Идентифицирайте настройката с име GroupOwnerConsentForAppsAccessingData и актуализирайте нейната value на false.

Съответствие

• EIDSCA: EIDSCA.CP01
• CISA SCuBA 2.7: Non-Admin Users SHALL Be Prevented From Providing Consent To Third-Party Applications.

Свързани ресурси

• directorySetting resource type - Microsoft Graph beta
• Graph Explorer

Microsoft references

• Directorysetting
• Graph explorer