Default Authorization Settings - Allow user consent on risk-based apps
Proč na tom záleží
Nastavení allowUserConsentForRiskyApps určuje, zda mohou uživatelé udělovat souhlas aplikacím, které Microsoft Entra ID na základě signálů v reálném čase vyhodnotí jako rizikové. Pokud je toto nastavení povoleno, mohou uživatelé nevědomky udělit oprávnění škodlivým nebo podezřelým aplikacím, což zvyšuje riziko úniku dat a neoprávněného přístupu. Zakázáním tohoto nastavení zajistíte, že rizikové aplikace mohou autorizovat pouze správci, což poskytuje zásadní ochranu proti útokům založeným na souhlasu.
Co Aether365 kontroluje
Aether365 ověřuje, zda je vlastnost allowUserConsentForRiskyApps v authorizationPolicy nastavena na false. Tato kontrola se zobrazuje v panelu Aether365 v sekci entra-id.
Jak to opravit
- Otevřete Microsoft Entra admin center a přejděte na Identity > Applications > Enterprise applications > Consent and permissions > User consent settings.
- V části Risk-based step-up consent nastavte přepínač na No, abyste uživatelům zabránili v udělování souhlasu rizikovým aplikacím.
- Alternativně můžete použít Microsoft Graph API s koncovým bodem
PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicya nastavit vlastnostallowUserConsentForRiskyAppsnafalse.
Compliance
- EIDSCA EIDSCA.AP09
- CIS Microsoft 365 Foundations (při mapování)
Související zdroje
- Konfigurace rizikově podmíněného souhlasu – Microsoft Learn
- Typ prostředku authorizationPolicy – Microsoft Graph v1.0