Default Authorization Settings - User consent policy assigned for applications
Perché è Importante
Consentire agli utenti non amministratori di autorizzare applicazioni di terze parti introduce rischi significativi per la sicurezza. Applicazioni dannose possono richiedere autorizzazioni per accedere a dati organizzativi sensibili, cassette postali e file senza il controllo dell'amministratore. Limitando il consenso degli utenti ai soli editori verificati, si riduce la superficie di attacco e si mantiene il controllo su quali applicazioni possono accedere alle risorse del tenant.
Cosa Controlla Aether365
Questo controllo verifica che l'impostazione permissionGrantPolicyIdsAssignedToDefaultUserRole nei criteri di autorizzazione sia configurata per limitare il consenso degli utenti alle app provenienti da editori verificati. Nel dashboard di Aether365, questa voce appare tra i controlli entra-id con l'identificatore EIDSCA.AP08.
Come Risolvere
- Accedere al Microsoft Entra admin center (https://entra.microsoft.com) come Amministratore Globale.
- Passare a Identity > Applications > Enterprise applications > Consent and permissions > User consent settings.
- In "User consent for applications," selezionare "Allow user consent for apps from verified publishers, for selected permissions."
- Dal menu a discesa, selezionare il criterio di concessione autorizzazioni consigliato:
ManagePermissionGrantsForSelf.microsoft-user-default-low. - Fare clic su "Save" per applicare le modifiche.
- In alternativa, utilizzare Microsoft Graph PowerShell con il comando:
Update-MgPolicyAuthorizationPolicy -PermissionGrantPolicyIdsAssignedToDefaultUserRole @("ManagePermissionGrantsForSelf.microsoft-user-default-low")
Conformità
- EIDSCA: EIDSCA.AP08
- CISA SCuBA 2.7: Agli utenti non amministratori deve essere impedito di fornire il consenso ad applicazioni di terze parti