Default Authorization Settings - Enabled Self service password reset for administrators
Pourquoi c'est important
Les comptes administrateur sont des cibles de grande valeur pour les attaquants. Lorsque la réinitialisation du mot de passe en libre-service (SSPR) est activée pour les administrateurs, cela crée une faiblesse potentielle si un attaquant compromet les méthodes d'authentification d'un administrateur. Les administrateurs occupant des rôles sensibles devraient utiliser des méthodes d'authentification résistantes au phishing plutôt que des réinitialisations de mot de passe en libre-service pour réduire le risque de prise de contrôle du compte.
Ce que vérifie Aether365
Aether365 vérifie que le paramètre allowedToUseSSPR dans la stratégie d'autorisation Entra ID est défini sur false. Cette vérification apparaît dans le tableau de bord Aether365 sous la section entra-id.
Comment corriger
Pour désactiver SSPR pour les administrateurs dans votre locataire :
- Connectez-vous au Microsoft Entra admin center.
- Accédez à Identity > External Identities > Authorization settings (ou utilisez Graph Explorer pour une approche directe via API).
- Localisez le paramètre autorisant la réinitialisation du mot de passe en libre-service pour les administrateurs et définissez-le sur
false. - Sinon, utilisez Microsoft Graph PowerShell avec la commande suivante :
Update-MgPolicyAuthorizationPolicy -BodyParameter @{ allowedToUseSSPR = $false }
Conformité
- EIDSCA : EIDSCA.AP01
Ressources associées
- authorizationPolicy resource type - Microsoft Graph v1.0 - Microsoft Learn
- Ouvrir dans Graph Explorer