Default Authorization Settings - Allow user consent on risk-based apps

Por Que Es Importante

El ajuste allowUserConsentForRiskyApps controla si los usuarios pueden otorgar consentimiento a aplicaciones que Microsoft Entra ID identifica como riesgosas basándose en señales en tiempo real. Si esta opción está habilitada, los usuarios podrían conceder permisos sin saberlo a aplicaciones maliciosas o sospechosas, lo que aumenta el riesgo de exposición de datos y acceso no autorizado. Deshabilitar este ajuste garantiza que solo los administradores puedan autorizar aplicaciones riesgosas, proporcionando una capa crítica de protección contra ataques basados en consentimiento.

Que Comprueba Aether365

Aether365 verifica que la propiedad allowUserConsentForRiskyApps en la authorizationPolicy esté establecida en false. Esta comprobación aparece en el panel de Aether365 bajo la sección entra-id.

Como Solucionarlo

1. Abra el Microsoft Entra admin center y navegue a Identity > Applications > Enterprise applications > Consent and permissions > User consent settings.
2. En Risk-based step-up consent, configure el interruptor en No para evitar que los usuarios otorguen consentimiento a aplicaciones riesgosas.
3. Alternativamente, use la API de Microsoft Graph con el endpoint PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy y establezca la propiedad allowUserConsentForRiskyApps en false.

Cumplimiento Normativo

• EIDSCA EIDSCA.AP09
• CIS Microsoft 365 Foundations (cuando esté asignado)

Recursos Relacionados

• Configurar el consentimiento escalonado basado en riesgos - Microsoft Learn
• Tipo de recurso authorizationPolicy - Microsoft Graph v1.0

Microsoft references

• Configure risk based step up consent
• Authorizationpolicy
• Graph explorer