Default Authorization Settings - User consent policy assigned for applications
Proč na tom záleží
Povolení nesprávcovským uživatelům udělit souhlas aplikacím třetích stran představuje značná bezpečnostní rizika. Škodlivé aplikace mohou požadovat oprávnění k přístupu k citlivým organizačním datům, poštovním schránkám a souborům bez dohledu správce. Omezením souhlasu uživatelů pouze na ověřené vydavatele snížíte plochu útoku a zachováte kontrolu nad tím, které aplikace mají přístup k prostředkům vašeho tenanta.
Co kontroluje Aether365
Tato kontrola ověřuje, zda je nastavení permissionGrantPolicyIdsAssignedToDefaultUserRole v autorizační politice nakonfigurováno tak, aby omezovalo souhlas uživatelů pouze na aplikace od ověřených vydavatelů. Na řídicím panelu Aether365 se tato kontrola zobrazuje pod kontrolami Entra ID s identifikátorem EIDSCA.AP08.
Jak opravit
- Přihlaste se do Microsoft Entra admin center (https://entra.microsoft.com) jako globální správce.
- Přejděte na Identity > Applications > Enterprise applications > Consent and permissions > User consent settings.
- V části "User consent for applications" vyberte možnost "Allow user consent for apps from verified publishers, for selected permissions."
- Z rozevíracího seznamu vyberte doporučenou politiku udělování oprávnění:
ManagePermissionGrantsForSelf.microsoft-user-default-low. - Kliknutím na "Save" změny uložte.
- Případně použijte Microsoft Graph PowerShell s příkazem:
Update-MgPolicyAuthorizationPolicy -PermissionGrantPolicyIdsAssignedToDefaultUserRole @("ManagePermissionGrantsForSelf.microsoft-user-default-low")
Shoda s předpisy
- EIDSCA: EIDSCA.AP08
- CISA SCuBA 2.7: Nesprávcovským uživatelům musí být zabráněno v udělování souhlasu aplikacím třetích stran