Default Authorization Settings - Default User Role Permissions - Allowed to create Apps
Miért Fontos Ez
Ha a nem rendszergazda felhasználók alkalmazásokat hozhatnak létre a Microsoft Entra ID-ban, az jelentős biztonsági kockázatot jelent. Rosszindulatú vagy figyelmetlen felhasználók regisztrálhatnak harmadik féltől származó alkalmazásokat, amelyek széles körű engedélyeket kérnek, ezzel potenciálisan illetéktelen hozzáférést biztosítva a szervezeti adatokhoz és erőforrásokhoz. Az alkalmazáslétrehozás kizárólag rendszergazdákra korlátozásával csökkenthető a támadási felület, és biztosítható az összes integrált alkalmazás megfelelő felügyelete.
Mit Ellenőriz az Aether365
Az Aether365 ellenőrzi, hogy a defaultUserRolePermissions.allowedToCreateApps beállítás az engedélyezési szabályzatban false értékre van-e állítva. Ez az ellenőrzés az Aether365 irányítópultján az Entra ID biztonsági ellenőrzések között jelenik meg.
Javítás Menete
- Nyissa meg a Microsoft Graph PowerShellt rendszergazdaként.
- Futtassa a következő parancsot:
Update-MgPolicyAuthorizationPolicy -BodyParameter @{ DefaultUserRolePermissions = @{ AllowedToCreateApps = $false }} - Ellenőrizze a változtatást a
Get-MgPolicyAuthorizationPolicyfuttatásával, és győződjön meg arról, hogy aDefaultUserRolePermissions.AllowedToCreateAppsértékefalse.
Alternatív megoldásként ezt a beállítást a Microsoft Entra admin centerben is konfigurálhatja a Identity > External Identities > External collaboration settings menüpontban. Állítsa a "Users can register applications" beállítást "No" értékre.
Megfelelőség
- CISA SCuBA 2.6: Csak rendszergazdák regisztrálhatnak harmadik féltől származó alkalmazásokat
- EIDSCA EIDSCA.AP10