Only administrators SHALL be allowed to consent to applications.
Proč na tom záleží
Umožnění všem uživatelům souhlasit s aplikacemi představuje významné bezpečnostní riziko. Škodlivé aplikace mohou uživatele oklamat, aby udělili oprávnění, která odhalí citlivá data nebo umožní neoprávněný přístup k vašemu tenantovi. Omezení souhlasu pouze na správce zajišťuje, že všechna oprávnění aplikací jsou před udělením prověřena důvěryhodnou autoritou.
Co Aether365 kontroluje
Tato kontrola ověřuje, zda je nastavení "Uživatelé mohou souhlasit s aplikacemi přistupujícími k firemním datům jejich jménem" nakonfigurováno tak, aby zakazovalo uživatelský souhlas, a omezovalo souhlas pouze na správce. Zobrazuje se v řídicím panelu Aether365 v rámci kontrol shody CIS pro entra-id (Microsoft Entra ID).
Jak to opravit
- Přihlaste se na Azure Portal (portal.azure.com) jako globální správce.
- Přejděte na Microsoft Entra ID > Podnikové aplikace > Souhlas a oprávnění > Nastavení souhlasu uživatelů.
- V části "Souhlas uživatele s aplikacemi" vyberte možnost "Povolit pouze tok souhlasu správce" nebo "Nepovolit souhlas uživatele."
- Klepnutím na "Uložit" změny použijte.
- Ověřte nastavení opakováním kroků 1-2 a potvrzením, že je vybrána správná možnost.
Shoda s předpisy
- CIS: CISA.MS.AAD.5.2 (CIS Microsoft 365 Foundations Benchmark)
- Rámec: CIS