Default Authorization Settings - Default User Role Permissions - Allowed to create Apps
Perché è importante
Consentire agli utenti non amministratori di creare applicazioni in Microsoft Entra ID introduce rischi di sicurezza significativi. Utenti malintenzionati o negligenti possono registrare applicazioni di terze parti che richiedono autorizzazioni estese, potenzialmente concedendo accesso non autorizzato a dati e risorse organizzativi. Limitare la creazione di applicazioni ai soli amministratori riduce la superficie d'attacco e garantisce una supervisione adeguata di tutte le applicazioni integrate.
Cosa controlla Aether365
Aether365 verifica che l'impostazione defaultUserRolePermissions.allowedToCreateApps nei criteri di autorizzazione sia impostata su false. Questo controllo appare nel dashboard di Aether365 sotto i controlli di sicurezza di Entra ID.
Come risolvere
- Aprire Microsoft Graph PowerShell come amministratore.
- Eseguire il comando seguente:
Update-MgPolicyAuthorizationPolicy -BodyParameter @{ DefaultUserRolePermissions = @{ AllowedToCreateApps = $false }} - Confermare la modifica eseguendo
Get-MgPolicyAuthorizationPolicye verificando cheDefaultUserRolePermissions.AllowedToCreateAppssiafalse.
In alternativa, è possibile configurare questa impostazione nel Microsoft Entra admin center in Identity > External Identities > External collaboration settings. Impostare "Users can register applications" su No.
Conformità
- CISA SCuBA 2.6: Solo gli amministratori devono poter registrare applicazioni di terze parti
- EIDSCA EIDSCA.AP10