Consent Framework - Admin Consent Request - Consent request duration (days)

Защо това е важно

Администраторските заявки за съгласие, които остават отворени твърде дълго, излагат вашата организация на ненужен риск. Когато продължителността на заявките за съгласие е прекалено дълга (над 30 дни), висящите заявки могат да остареят, да бъдат забравени или експлоатирани, което потенциално позволява на злонамерени приложения да получат неоторизиран достъп до данните на вашия tenant. Ограничаването на заявките за съгласие в рамките на определен времеви период гарантира своевременен преглед и намалява повърхността за атака.

Какво проверява Aether365

Aether365 проверява дали настройката requestDurationInDays в policies/adminConsentRequestPolicy е конфигурирана на 30 дни или по-малко. Тази проверка се появява в таблото ви Aether365 под раздела entra-id.

Как да коригирате

1. Влезте в Microsoft Entra admin center като Global Administrator.
2. Навигирайте до Identity > Applications > Enterprise applications.
3. Под Security изберете Admin consent requests и след това изберете Settings.
4. В полето Consent request duration (in days) задайте стойност 30 или по-ниска.
5. Изберете Save, за да приложите промяната.

Като алтернатива използвайте Microsoft Graph PowerShell:

Update-MgPolicyAdminConsentRequestPolicy -RequestDurationInDays 30

Съответствие

• EIDSCA: CR04
• CIS: Не е приложимо

Свързани ресурси

• adminConsentRequestPolicy resource type - Microsoft Graph v1.0
• Open in Graph Explorer

Microsoft references

• Adminconsentrequestpolicy
• Graph explorer