Default Authorization Settings - User consent policy assigned for applications
Por Que Esto Importa
Permitir que los usuarios no administradores otorguen consentimiento a aplicaciones de terceros introduce riesgos de seguridad significativos. Las aplicaciones maliciosas pueden solicitar permisos para acceder a datos organizativos confidenciales, buzones de correo y archivos sin supervisión del administrador. Al restringir el consentimiento del usuario solo a editores verificados, reduce la superficie de ataque y mantiene el control sobre qué aplicaciones pueden acceder a los recursos de su inquilino.
Que Verifica Aether365
Esta verificación confirma que el ajuste permissionGrantPolicyIdsAssignedToDefaultUserRole en la política de autorización está configurado para restringir el consentimiento del usuario a aplicaciones de editores verificados. En el panel de Aether365, esto aparece bajo las verificaciones de entra-id con el identificador EIDSCA.AP08.
Como Solucionarlo
- Inicie sesion en el Microsoft Entra admin center (https://entra.microsoft.com) como Administrador Global.
- Navegue a Identity > Applications > Enterprise applications > Consent and permissions > User consent settings.
- En "User consent for applications," seleccione "Allow user consent for apps from verified publishers, for selected permissions."
- En el menu desplegable, seleccione la politica de concesion de permisos recomendada:
ManagePermissionGrantsForSelf.microsoft-user-default-low. - Haga clic en "Save" para aplicar los cambios.
- Alternativamente, use Microsoft Graph PowerShell con el comando:
Update-MgPolicyAuthorizationPolicy -PermissionGrantPolicyIdsAssignedToDefaultUserRole @("ManagePermissionGrantsForSelf.microsoft-user-default-low")
Cumplimiento
- EIDSCA: EIDSCA.AP08
- CISA SCuBA 2.7: Los usuarios no administradores no podran otorgar consentimiento a aplicaciones de terceros