Default Authorization Settings - Default User Role Permissions - Allowed to create Apps
Hvorfor dette er vigtigt
At lade ikke-administrative brugere oprette applikationer i Microsoft Entra ID medfører betydelige sikkerhedsrisici. Ondsindede eller uforsigtige brugere kan registrere tredjepartsapplikationer, der anmoder om brede tilladelser, hvilket potentielt kan give uautoriseret adgang til organisationens data og ressourcer. Ved at begrænse oprettelse af applikationer til kun administratorer reduceres angrebsfladen, og der sikres korrekt tilsyn med alle integrerede applikationer.
Hvad Aether365 kontrollerer
Aether365 verificerer, at indstillingen defaultUserRolePermissions.allowedToCreateApps i autorisationspolitikken er sat til false. Denne kontrol vises i Aether365-dashboardet under Entra ID-sikkerhedskontroller.
Sådan løses det
- Åbn Microsoft Graph PowerShell som administrator.
- Kør følgende kommando:
Update-MgPolicyAuthorizationPolicy -BodyParameter @{ DefaultUserRolePermissions = @{ AllowedToCreateApps = $false }} - Bekræft ændringen ved at køre
Get-MgPolicyAuthorizationPolicyog kontrollere, atDefaultUserRolePermissions.AllowedToCreateAppserfalse.
Alternativt kan du konfigurere denne indstilling i Microsoft Entra admin center under Identity > External Identities > External collaboration settings. Sæt "Users can register applications" til No.
Compliance
- CISA SCuBA 2.6: Only Administrators Shall Be Allowed To Register Third-Party Applications
- EIDSCA EIDSCA.AP10