Default Authorization Settings - Enabled Self service password reset for administrators

Γιατί έχει σημασία

Οι λογαριασμοί διαχειριστών αποτελούν στόχους υψηλής αξίας για τους επιτιθέμενους. Όταν είναι ενεργοποιημένη η δυνατότητα Self-Service Password Reset (SSPR) για διαχειριστές, δημιουργείται μια πιθανή αδυναμία εάν ένας επιτιθέμενος καταφέρει να θέσει υπό τον έλεγχό του τις μεθόδους ταυτοποίησης ενός διαχειριστή. Οι διαχειριστές με ευαίσθητους ρόλους θα πρέπει να βασίζονται σε ανθεκτικές στο phishing μεθόδους ταυτοποίησης αντί για Self-Service Password Resets, ώστε να μειωθεί ο κίνδυνος κατάληψης του λογαριασμού.

Τι ελέγχει το Aether365

Το Aether365 επαληθεύει εάν η ρύθμιση allowedToUseSSPR στην πολιτική εξουσιοδότησης του Entra ID έχει οριστεί σε false. Αυτός ο έλεγχος εμφανίζεται στον πίνακα εργαλείων του Aether365, στην ενότητα entra-id.

Πώς να το διορθώσετε

Για να απενεργοποιήσετε το SSPR για διαχειριστές στο tenant σας:

1. Συνδεθείτε στο Microsoft Entra admin center.
2. Μεταβείτε στο Identity > External Identities > Authorization settings (ή χρησιμοποιήστε το Graph Explorer για μια άμεση προσέγγιση μέσω API).
3. Εντοπίστε τη ρύθμιση που επιτρέπει το Self-Service Password Reset για διαχειριστές και ορίστε την σε false.
4. Εναλλακτικά, χρησιμοποιήστε το Microsoft Graph PowerShell με την ακόλουθη εντολή:

   Update-MgPolicyAuthorizationPolicy -BodyParameter @{ allowedToUseSSPR = $false }

Συμμόρφωση

• EIDSCA: EIDSCA.AP01

Σχετικοί πόροι

• authorizationPolicy resource type - Microsoft Graph v1.0 - Microsoft Learn
• Open in Graph Explorer

Microsoft references

• Authorizationpolicy
• Graph explorer