Default Authorization Settings - Default User Role Permissions - Allowed to create Apps

Warum dies wichtig ist

Wenn nicht-administrative Benutzer Anwendungen in Microsoft Entra ID erstellen können, birgt dies erhebliche Sicherheitsrisiken. Böswillige oder fahrlässige Benutzer können Drittanbieteranwendungen registrieren, die umfassende Berechtigungen anfordern und so möglicherweise unbefugten Zugriff auf Unternehmensdaten und -ressourcen gewähren. Die Einschränkung der Anwendungserstellung auf Administratoren reduziert die Angriffsfläche und gewährleistet eine ordnungsgemäße Überwachung aller integrierten Anwendungen.

Was Aether365 prüft

Aether365 überprüft, ob die Einstellung defaultUserRolePermissions.allowedToCreateApps in der Autorisierungsrichtlinie auf false gesetzt ist. Diese Prüfung wird im Aether365-Dashboard unter Entra ID security checks angezeigt.

Behebung

1. Öffnen Sie Microsoft Graph PowerShell als Administrator.
2. Führen Sie folgenden Befehl aus:

   Update-MgPolicyAuthorizationPolicy -BodyParameter @{ DefaultUserRolePermissions = @{ AllowedToCreateApps = $false }}

3. Bestätigen Sie die Änderung durch Ausführen von Get-MgPolicyAuthorizationPolicy und überprüfen Sie, dass DefaultUserRolePermissions.AllowedToCreateApps den Wert false hat.

Alternativ können Sie diese Einstellung im Microsoft Entra admin center unter Identity > External Identities > External collaboration settings konfigurieren. Setzen Sie "Users can register applications" auf No.

Compliance

• CISA SCuBA 2.6: Nur Administratoren dürfen Drittanbieteranwendungen registrieren
• EIDSCA EIDSCA.AP10

Verwandte Ressourcen

• authorizationPolicy resource type - Microsoft Graph v1.0 - Microsoft Learn
• Open in Graph Explorer

Microsoft references

• Authorizationpolicy
• Graph explorer