Default Authorization Settings - User consent policy assigned for applications
Hvorfor dette er vigtigt
At lade ikke-administrative brugere give samtykke til tredjepartsapplikationer medfører betydelige sikkerhedsrisici. Ondsindede applikationer kan anmode om tilladelser til at få adgang til følsomme organisationsdata, postkasser og filer uden administrativt tilsyn. Ved at begrænse brugersamtykke til kun verificerede udgivere reducerer du angrebsfladen og bevarer kontrollen over, hvilke applikationer der kan få adgang til dine tenantressourcer.
Hvad Aether365 kontrollerer
Denne kontrol verificerer, at indstillingen permissionGrantPolicyIdsAssignedToDefaultUserRole i autorisationspolitikken er konfigureret til at begrænse brugersamtykke til apps fra verificerede udgivere. I Aether365-dashboardet vises dette under entra-id-kontroller med identifikatoren EIDSCA.AP08.
Sådan løses problemet
- Log ind på Microsoft Entra admin center (https://entra.microsoft.com) som Global Administrator.
- Naviger til Identity > Applications > Enterprise applications > Consent and permissions > User consent settings.
- Under "User consent for applications" skal du vælge "Allow user consent for apps from verified publishers, for selected permissions".
- Vælg den anbefalede tilladelsesbevillingspolitik fra rullemenuen:
ManagePermissionGrantsForSelf.microsoft-user-default-low. - Klik på "Save" for at anvende ændringerne.
- Alternativt kan du bruge Microsoft Graph PowerShell med kommandoen:
Update-MgPolicyAuthorizationPolicy -PermissionGrantPolicyIdsAssignedToDefaultUserRole @("ManagePermissionGrantsForSelf.microsoft-user-default-low")
Overholdelse
- EIDSCA: EIDSCA.AP08
- CISA SCuBA 2.7: Ikke-administrative brugere skal forhindres i at give samtykke til tredjepartsapplikationer