(Tenant) Enable automatic revocation of leaked Personal Access Tokens.

Por Que Es Importante

Los Tokens de Acceso Personal (PATs) son un vector común de acceso no autorizado si se filtran. Sin una revocación automática, un PAT comprometido puede utilizarse durante un período prolongado, lo que aumenta el riesgo de exfiltración de datos, escalada de privilegios o movimiento lateral dentro de su inquilino de Microsoft 365. Habilitar la revocación automática limita la ventana de exposición y fortalece su postura de seguridad de identidad.

Que Verifica Aether365

Aether365 verifica que la revocación automática de Tokens de Acceso Personal filtrados esté habilitada a nivel de inquilino. Esta verificación aparece en el panel de control de Aether365 bajo las comprobaciones de servicio de microsoft-365.

Como Solucionarlo

1. Inicie sesión en el Microsoft Entra admin center como Administrador Global.
2. Navegue a Identity > Security > Conditional Access > Policies.
3. Cree una nueva política o edite una existente dirigida a All users o a usuarios específicos.
4. En Conditions, seleccione Client apps y asegúrese de que Mobile apps and desktop clients y Browser estén marcados.
5. En Grant, seleccione Require multifactor authentication y Require device to be marked as compliant.
6. Configure Enable policy inicialmente como Report-only para realizar pruebas, luego cambie a On después de la validación.
7. Configure la revocación automática de PAT habilitando la política Token protection en Identity Protection > Token protection policy y estableciendo Automatic revocation como Enabled.

Cumplimiento

• Esta verificación no se asigna a un marco de cumplimiento específico de forma predeterminada. Apoya las mejores prácticas generales de seguridad de identidad para inquilinos de Microsoft 365.

Recursos Relacionados

• Configure token protection policies (Microsoft Learn)
• Manage Personal Access Tokens in Azure DevOps (Microsoft Learn)