Permissions Microsoft
Maintenu par : Aether365 Team Public : Administrateurs globaux Microsoft 365 et équipes de sécurité Périmètre : Liste complète des permissions Microsoft Graph demandées par Aether365
Lorsque vous connectez un tenant Microsoft 365 à Aether365, votre administrateur global approuve un ensemble de permissions en lecture seule sur l'écran de consentement Microsoft. Cette page répertorie chaque permission, son type et la raison pour laquelle elle est nécessaire.
Points clés
- Toutes les permissions sont de niveau application (non déléguées à un utilisateur)
- Toutes les permissions sont en lecture seule - Aether365 ne peut ni créer, ni modifier, ni supprimer de données dans votre tenant
- Les permissions sont accordées une seule fois via le consentement de l'administrateur global et persistent jusqu'à ce que vous déconnectiez le tenant ou supprimiez le principal de service Aether365 de votre tenant
- Vous pouvez consulter et révoquer les permissions à tout moment depuis Centre d'administration Microsoft Entra > Applications d'entreprise > Aether365
Référence des permissions
La colonne Utilisé par indique quel type d'analyse nécessite la permission : C = Analyse compliance, E = Analyse exposure, C+E = les deux.
| Permission | Type | Utilisé par | Pourquoi elle est nécessaire |
|---|---|---|---|
AccessReview.Read.All | Application | E | Lire les définitions et résultats des revues d'accès pour les contrôles de gouvernance |
AppCatalog.Read.All | Application | E | Lire les entrées du catalogue d'applications d'entreprise et les politiques d'approbation |
Application.Read.All | Application | E | Lire les inscriptions d'applications et les configurations d'identifiants |
AuditLog.Read.All | Application | E | Lire les journaux d'audit et de connexion requis pour les contrôles EIDSCA et CISA |
ConsentRequest.Read.All | Application | E | Lire les demandes de consentement utilisateur et l'état du workflow de consentement admin |
CrossTenantInformation.ReadBasic.All | Application | E | Lire les paramètres d'accès inter-tenants pour les contrôles de collaboration B2B |
DeviceManagementApps.Read.All | Application | E | Lire les politiques de protection et de configuration des applications Intune |
DeviceManagementConfiguration.Read.All | Application | E | Lire les politiques de configuration des appareils Intune |
DeviceManagementManagedDevices.Read.All | Application | E | Lire l'inventaire des appareils gérés et l'état de conformité |
DeviceManagementRBAC.Read.All | Application | E | Lire les attributions de rôles RBAC Intune |
Directory.Read.All | Application | C+E | Lire utilisateurs, groupes, principaux de service et objets d'annuaire pour évaluer la configuration d'identité |
DirectoryRecommendations.Read.All | Application | E | Lire les recommandations Entra ID pour l'amélioration de la posture de sécurité |
EntitlementManagement.Read.All | Application | E | Lire les packages d'accès et les politiques de gestion des droits |
ExternalConnection.Read.All | Application | E | Lire les connexions externes et les connecteurs pour les contrôles d'exposition des données |
GroupMember.Read.All | Application | E | Lire l'appartenance aux groupes pour évaluer l'héritage des rôles et permissions |
IdentityProvider.Read.All | Application | E | Lire les fournisseurs d'identité configurés et les paramètres de fédération |
IdentityRiskEvent.Read.All | Application | E | Lire les détections d'événements à risque depuis Identity Protection |
IdentityRiskyUser.Read.All | Application | E | Lire les détections d'utilisateurs à risque depuis Microsoft Entra ID Protection |
MailboxSettings.Read | Application | C | Lire les paramètres de boîte aux lettres Exchange Online pour les contrôles de sécurité email CIS |
Organization.Read.All | Application | C+E | Lire la configuration au niveau du tenant, les attributions de licences et le profil de l'organisation |
Policy.Read.All | Application | C+E | Lire les politiques d'accès conditionnel, les politiques de force d'authentification et autres politiques de sécurité |
Policy.Read.ConditionalAccess | Application | E | Lire les détails des politiques d'accès conditionnel pour les contrôles de mauvaise configuration |
PrivilegedAccess.Read.AzureAD | Application | E | Lire l'éligibilité aux rôles PIM et les paramètres d'activation |
PrivilegedEligibilitySchedule.Read.AzureADGroup | Application | E | Lire les calendriers d'éligibilité de groupe PIM |
Reports.Read.All | Application | C+E | Lire les rapports d'utilisation et l'activité de connexion requis par les contrôles CIS et CISA |
RoleEligibilitySchedule.Read.Directory | Application | E | Lire les calendriers d'éligibilité aux rôles PIM pour les contrôles d'accès juste-à-temps |
RoleManagement.Read.All | Application | C+E | Lire les attributions de rôles Entra ID pour détecter les comptes sur-privilégiés |
RoleManagementPolicy.Read.AzureADGroup | Application | E | Lire les politiques PIM appliquées aux attributions de rôles de groupe |
SecurityEvents.Read.All | Application | C+E | Lire les alertes et événements de sécurité pour l'évaluation de l'exposition aux menaces |
SharePointTenantSettings.Read.All | Application | E | Lire les paramètres de partage et de sécurité à l'échelle du tenant SharePoint |
Sites.Read.All | Application | E | Lire les configurations et paramètres de partage des sites SharePoint |
Team.ReadBasic.All | Application | E | Lire les paramètres des équipes Teams pour évaluer les contrôles d'accès externe et de fédération |
TeamsAppInstallation.ReadForUser.All | Application | E | Lire les applications Teams installées pour détecter les applications tierces non approuvées |
User.Read.All | Application | C+E | Lire les profils utilisateurs, les paramètres de connexion et les attributions de licences |
UserAuthenticationMethod.Read.All | Application | C+E | Lire les méthodes MFA enregistrées pour vérifier la force d'authentification par utilisateur |
Vérifier les permissions accordées
Pour vérifier quelles permissions Aether365 possède dans votre tenant :
- Connectez-vous au Centre d'administration Microsoft Entra
- Accédez à Applications d'entreprise
- Recherchez "Aether365"
- Sélectionnez l'application et ouvrez Permissions
La page des permissions affiche toutes les permissions consenties ainsi que la personne qui a accordé le consentement et quand.
Révoquer les permissions
Pour révoquer toutes les permissions Aether365 d'un tenant :
- Dans le Centre d'administration Microsoft Entra > Applications d'entreprise, sélectionnez Aether365
- Cliquez sur Supprimer pour retirer entièrement le principal de service
Cela révoque toutes les permissions et empêche Aether365 d'accéder au tenant. Les tentatives d'analyse futures pour ce tenant échoueront. Pour arrêter les analyses, déconnectez également le tenant dans le tableau de bord Aether365 (Paramètres > Connexions).
Questions
Si vous avez des questions sur une permission spécifique ou souhaitez discuter de la portée des permissions pour un déploiement Entreprise, contactez security@aether365.io.