Default Authorization Settings - Default User Role Permissions - Allowed to create Apps
Miks see on oluline
Mitteadministratiivsetel kasutajatel lubada rakendusi luua Microsoft Entra ID-s kaasneb oluline turvarisk. Pahatahtlikud või hooletud kasutajad saavad registreerida kolmanda osapoole rakendusi, mis küsivad laiaulatuslikke õigusi, andes võimaluse volitamata juurdepääsuks organisatsiooni andmetele ja ressurssidele. Rakenduste loomise piiramine ainult administraatoritele vähendab ründepinda ja tagab kõigi integreeritud rakenduste nõuetekohane järelevalve.
Mida Aether365 kontrollib
Aether365 kontrollib, et defaultUserRolePermissions.allowedToCreateApps seade autoriseerimispoliitikas on seatud väärtusele false. See kontroll kuvatakse Aether365 töölaual Entra ID turvakontrollide all.
Kuidas parandada
- Avage Microsoft Graph PowerShell administraatorina.
- Käivitage järgmine käsk:
Update-MgPolicyAuthorizationPolicy -BodyParameter @{ DefaultUserRolePermissions = @{ AllowedToCreateApps = $false }} - Kinnitage muudatus, käivitades
Get-MgPolicyAuthorizationPolicyja veendudes, etDefaultUserRolePermissions.AllowedToCreateAppsonfalse.
Teise võimalusena saate seda seadet konfigureerida Microsoft Entra admin center's valikus Identity > External Identities > External collaboration settings. Määrake "Users can register applications" väärtuseks No.
Vastavusnõuded
- CISA SCuBA 2.6: Ainult administraatoritel lubatakse registreerida kolmanda osapoole rakendusi
- EIDSCA EIDSCA.AP10