Oprávnění Microsoftu
Když připojíte Microsoft 365 tenanta k Aether365, váš globální správce schválí sadu oprávnění pouze ke čtení na obrazovce souhlasu Microsoftu. Tato stránka uvádí každé oprávnění, jeho typ a proč je potřebné.
Klíčové body
- Všechna oprávnění jsou na úrovni aplikace (ne delegovaná na uživatele)
- Všechna oprávnění jsou pouze ke čtení - Aether365 nemůže vytvářet, upravovat ani mazat žádná data ve vašem tenantu
- Oprávnění se udělují jednou prostřednictvím souhlasu globálního správce a platí, dokud tenanta neodpojíte nebo neodstraníte instanční objekt Aether365 z vašeho tenanta
- Oprávnění můžete kdykoli zkontrolovat a odvolat v Centrum pro správu Microsoft Entra > Podnikové aplikace > Aether365
Reference oprávnění
Sloupec Používá uvádí, který typ skenu oprávnění vyžaduje: C = Compliance sken, E = Exposure sken, C+E = oba.
| Oprávnění | Typ | Používá | Proč je potřebné |
|---|---|---|---|
AccessReview.Read.All | Application | E | Čtení definic a výsledků kontrol přístupu pro kontroly governance |
AppCatalog.Read.All | Application | E | Čtení záznamů podnikového katalogu aplikací a zásad schvalování |
Application.Read.All | Application | E | Čtení registrací aplikací a konfigurací přihlašovacích údajů |
AuditLog.Read.All | Application | E | Čtení auditních a přihlašovacích logů požadovaných pro kontroly EIDSCA a CISA |
ConsentRequest.Read.All | Application | E | Čtení žádostí o souhlas uživatelů a stavu pracovního postupu souhlasu správce |
CrossTenantInformation.ReadBasic.All | Application | E | Čtení nastavení přístupu mezi tenanty pro kontroly B2B spolupráce |
DeviceManagementApps.Read.All | Application | E | Čtení zásad ochrany aplikací Intune a konfigurace aplikací |
DeviceManagementConfiguration.Read.All | Application | E | Čtení zásad konfigurace zařízení Intune |
DeviceManagementManagedDevices.Read.All | Application | E | Čtení inventáře spravovaných zařízení a stavu compliance |
DeviceManagementRBAC.Read.All | Application | E | Čtení přiřazení rolí RBAC Intune |
Directory.Read.All | Application | C+E | Čtení uživatelů, skupin, instančních objektů a adresářových objektů pro posouzení konfigurace identit |
DirectoryRecommendations.Read.All | Application | E | Čtení doporučení Entra ID pro zlepšení bezpečnostního stavu |
EntitlementManagement.Read.All | Application | E | Čtení přístupových balíčků a zásad správy oprávnění |
ExternalConnection.Read.All | Application | E | Čtení externích připojení a konektorů pro kontroly expozice dat |
GroupMember.Read.All | Application | E | Čtení členství ve skupinách pro posouzení dědičnosti rolí a oprávnění |
IdentityProvider.Read.All | Application | E | Čtení nakonfigurovaných poskytovatelů identity a nastavení federace |
IdentityRiskEvent.Read.All | Application | E | Čtení detekcí rizikových událostí z Identity Protection |
IdentityRiskyUser.Read.All | Application | E | Čtení detekcí rizikových uživatelů z Microsoft Entra ID Protection |
MailboxSettings.Read | Application | C | Čtení nastavení poštovních schránek Exchange Online pro kontroly e-mailového zabezpečení CIS |
Organization.Read.All | Application | C+E | Čtení konfigurace na úrovni tenanta, přiřazení licencí a profilu organizace |
Policy.Read.All | Application | C+E | Čtení zásad podmíněného přístupu, zásad síly autentizace a dalších bezpečnostních zásad |
Policy.Read.ConditionalAccess | Application | E | Čtení podrobností zásad podmíněného přístupu pro kontroly chybné konfigurace |
PrivilegedAccess.Read.AzureAD | Application | E | Čtení oprávněnosti a nastavení aktivace rolí PIM |
PrivilegedEligibilitySchedule.Read.AzureADGroup | Application | E | Čtení plánů oprávněnosti skupin PIM |
Reports.Read.All | Application | C+E | Čtení reportů o využití a přihlašovací aktivitě požadovaných kontrolami CIS a CISA |
RoleEligibilitySchedule.Read.Directory | Application | E | Čtení plánů oprávněnosti rolí PIM pro kontroly just-in-time přístupu |
RoleManagement.Read.All | Application | C+E | Čtení přiřazení rolí Entra ID pro detekci nadměrně privilegovaných účtů |
RoleManagementPolicy.Read.AzureADGroup | Application | E | Čtení zásad PIM aplikovaných na přiřazení skupinových rolí |
SecurityEvents.Read.All | Application | C+E | Čtení bezpečnostních upozornění a událostí pro posouzení expozice hrozbám |
SharePointTenantSettings.Read.All | Application | E | Čtení celotenantových nastavení sdílení a zabezpečení SharePointu |
Sites.Read.All | Application | E | Čtení konfigurací webů SharePointu a nastavení sdílení |
Team.ReadBasic.All | Application | E | Čtení nastavení týmů Teams pro posouzení externího přístupu a federačních kontrol |
TeamsAppInstallation.ReadForUser.All | Application | E | Čtení nainstalovaných aplikací Teams pro detekci neschválených aplikací třetích stran |
User.Read.All | Application | C+E | Čtení uživatelských profilů, nastavení přihlášení a přiřazení licencí |
UserAuthenticationMethod.Read.All | Application | C+E | Čtení registrovaných metod MFA pro ověření síly autentizace jednotlivých uživatelů |
Kontrola udělených oprávnění
Pro ověření, jaká oprávnění Aether365 má ve vašem tenantu:
- Přihlaste se do centra pro správu Microsoft Entra
- Přejděte na Podnikové aplikace
- Vyhledejte "Aether365"
- Vyberte aplikaci a otevřete Oprávnění
Stránka oprávnění zobrazuje všechna schválená oprávnění včetně toho, kdo souhlas udělil a kdy.
Odvolání oprávnění
Pro odvolání všech oprávnění Aether365 z tenanta:
- V centru pro správu Microsoft Entra > Podnikové aplikace vyberte Aether365
- Klikněte na Odstranit pro úplné odebrání instančního objektu
Tím se odvolají všechna oprávnění a Aether365 ztratí přístup k tenantu. Budoucí pokusy o sken pro tohoto tenanta selžou. Pro zastavení skenů také odpojte tenanta v dashboard Aether365 (Nastavení > Připojení).
Dotazy
Máte-li dotazy ke konkrétnímu oprávnění nebo potřebujete projednat rozsah oprávnění pro nasazení v Enterprise, kontaktujte security@aether365.io.