Permisos de Microsoft
Mantenido por: Aether365 Team Audiencia: Administradores Globales de Microsoft 365 y equipos de seguridad Alcance: Lista completa de permisos de Microsoft Graph solicitados por Aether365
Cuando conectas un tenant de Microsoft 365 a Aether365, tu Administrador Global aprueba un conjunto de permisos de solo lectura en la pantalla de consent de Microsoft. Esta página enumera cada permiso, su tipo y por qué es necesario.
Puntos clave
- Todos los permisos son a nivel de aplicación (no delegados a un usuario)
- Todos los permisos son de solo lectura - Aether365 no puede crear, modificar ni eliminar ningún dato en tu tenant
- Los permisos se otorgan una vez mediante el admin consent del Administrador Global y permanecen hasta que desconectes el tenant o elimines el service principal de Aether365 de tu tenant
- Puedes revisar y revocar los permisos en cualquier momento desde Centro de administración de Microsoft Entra > Enterprise Applications > Aether365
Referencia de permisos
La columna Usado por indica que tipo de análisis requiere el permiso: C = Compliance scan, E = Exposure scan, C+E = ambos.
| Permiso | Tipo | Usado por | Para que se necesita |
|---|---|---|---|
AccessReview.Read.All | Application | E | Leer definiciones y resultados de revisiones de acceso para comprobaciones de gobernanza |
AppCatalog.Read.All | Application | E | Leer entradas del catálogo de aplicaciones de empresa y políticas de aprobación |
Application.Read.All | Application | E | Leer registros de aplicaciones y configuraciones de credenciales |
AuditLog.Read.All | Application | E | Leer registros de auditoría e inicio de sesión requeridos por EIDSCA y CISA |
ConsentRequest.Read.All | Application | E | Leer solicitudes de consentimiento de usuarios y estado del flujo de admin consent |
CrossTenantInformation.ReadBasic.All | Application | E | Leer configuración de acceso entre tenants para comprobaciones de colaboración B2B |
DeviceManagementApps.Read.All | Application | E | Leer políticas de protección y configuración de aplicaciones de Intune |
DeviceManagementConfiguration.Read.All | Application | E | Leer políticas de configuración de dispositivos de Intune |
DeviceManagementManagedDevices.Read.All | Application | E | Leer inventario de dispositivos gestionados y estado de cumplimiento |
DeviceManagementRBAC.Read.All | Application | E | Leer asignaciones de roles RBAC de Intune |
Directory.Read.All | Application | C+E | Leer usuarios, grupos, service principals y objetos del directorio para evaluar la configuración de identidad |
DirectoryRecommendations.Read.All | Application | E | Leer recomendaciones de Entra ID para mejoras de la postura de seguridad |
EntitlementManagement.Read.All | Application | E | Leer paquetes de acceso y políticas de gestión de derechos |
ExternalConnection.Read.All | Application | E | Leer conexiones y conectores externos para comprobaciones de exposición de datos |
GroupMember.Read.All | Application | E | Leer pertenencia a grupos para evaluar la herencia de roles y permisos |
IdentityProvider.Read.All | Application | E | Leer proveedores de identidad configurados y configuración de federación |
IdentityRiskEvent.Read.All | Application | E | Leer detecciones de eventos de riesgo de Identity Protection |
IdentityRiskyUser.Read.All | Application | E | Leer detecciones de usuarios en riesgo de Microsoft Entra ID Protection |
MailboxSettings.Read | Application | C | Leer configuración de buzones de Exchange Online para controles de seguridad del correo CIS |
Organization.Read.All | Application | C+E | Leer configuración a nivel de tenant, asignaciones de licencias y perfil de la organización |
Policy.Read.All | Application | C+E | Leer políticas de acceso condicional, de fortaleza de autenticación y otras políticas de seguridad |
Policy.Read.ConditionalAccess | Application | E | Leer detalles de políticas de acceso condicional para comprobaciones de configuración erronea |
PrivilegedAccess.Read.AzureAD | Application | E | Leer elegibilidad de roles PIM y configuración de activación |
PrivilegedEligibilitySchedule.Read.AzureADGroup | Application | E | Leer programaciones de elegibilidad de grupos PIM |
Reports.Read.All | Application | C+E | Leer informes de uso y actividad de inicio de sesión requeridos por CIS y CISA |
RoleEligibilitySchedule.Read.Directory | Application | E | Leer programaciones de elegibilidad de roles PIM para comprobaciones de acceso justo a tiempo |
RoleManagement.Read.All | Application | C+E | Leer asignaciones de roles de Entra ID para detectar cuentas con privilegios excesivos |
RoleManagementPolicy.Read.AzureADGroup | Application | E | Leer políticas PIM aplicadas a asignaciones de roles de grupo |
SecurityEvents.Read.All | Application | C+E | Leer alertas y eventos de seguridad para la evaluación de la exposición a amenazas |
SharePointTenantSettings.Read.All | Application | E | Leer configuración de uso compartido y seguridad a nivel de tenant en SharePoint |
Sites.Read.All | Application | E | Leer configuraciones de sitios de SharePoint y ajustes de uso compartido |
Team.ReadBasic.All | Application | E | Leer configuración de equipos de Teams para evaluar controles de acceso externo y federación |
TeamsAppInstallation.ReadForUser.All | Application | E | Leer aplicaciones de Teams instaladas para detectar aplicaciones de terceros no aprobadas |
User.Read.All | Application | C+E | Leer perfiles de usuario, configuración de inicio de sesión y asignaciones de licencias |
UserAuthenticationMethod.Read.All | Application | C+E | Leer métodos MFA registrados para verificar la fortaleza de autenticación por usuario |
Revisar los permisos otorgados
Para verificar que permisos tiene Aether365 en tu tenant:
- Inicia sesión en el Centro de administración de Microsoft Entra
- Navega a Enterprise Applications
- Busca "Aether365"
- Selecciona la aplicación y abre Permissions
La página de permisos muestra todos los permisos consentidos junto con quien otorgó el consentimiento y cuando.
Revocar permisos
Para revocar todos los permisos de Aether365 en un tenant:
- En el Centro de administración de Microsoft Entra > Enterprise Applications, selecciona Aether365
- Haz clic en Delete para eliminar el service principal por completo
Esto revoca todos los permisos e impide que Aether365 acceda al tenant. Los intentos futuros de análisis para este tenant fallaran. Para detener los análisis, desconecta también el tenant en el dashboard de Aether365 (Settings > Connections).
Preguntas
Si tienes preguntas sobre un permiso específico o necesitas hablar sobre el alcance de los permisos para un despliegue Enterprise, contacta con security@aether365.io.