(Tenant) Enable automatic revocation of leaked Personal Access Tokens.

Proč je to důležité

Osobní přístupové tokeny (PAT) jsou častým vektorem neoprávněného přístupu v případě úniku. Bez automatického odvolání může být kompromitovaný PAT používán po delší dobu, což zvyšuje riziko exfiltrace dat, eskalace oprávnění nebo laterálního pohybu v rámci vašeho tenant Microsoft 365. Povolení automatického odvolání omezuje dobu expozice a posiluje vaši bezpečnostní pozici identity.

Co Aether365 kontroluje

Aether365 ověřuje, že je na úrovni tenant povoleno automatické odvolání uniklých osobních přístupových tokenů. Tato kontrola se zobrazuje na řídicím panelu Aether365 v rámci kontrol služby microsoft-365.

Jak to opravit

1. Přihlaste se do Microsoft Entra admin center jako globální správce.
2. Přejděte na Identity > Security > Conditional Access > Policies.
3. Vytvořte novou zásadu nebo upravte stávající, která cílí na All users nebo konkrétní uživatele.
4. V části Conditions vyberte Client apps a ujistěte se, že jsou zaškrtnuty Mobile apps and desktop clients a Browser.
5. V části Grant vyberte Require multifactor authentication a Require device to be marked as compliant.
6. Zpočátku nastavte Enable policy na Report-only pro testování, poté po ověření na On.
7. Nakonfigurujte automatické odvolání PAT povolením zásady Token protection v části Identity Protection > Token protection policy a nastavením Automatic revocation na Enabled.

Soulad s předpisy

• Tato kontrola se standardně neváže na konkrétní rámec shody. Podporuje obecné osvědčené postupy zabezpečení identity pro tenanty Microsoft 365.

Související zdroje

• Configure token protection policies (Microsoft Learn)
• Manage Personal Access Tokens in Azure DevOps (Microsoft Learn)