Permessi Microsoft
Maintainer: Aether365 Team Destinatari: Global Administrator di Microsoft 365 e team di sicurezza Ambito: Elenco completo dei permessi Microsoft Graph richiesti da Aether365
Quando colleghi un tenant Microsoft 365 ad Aether365, il tuo Global Administrator approva un insieme di permessi in sola lettura nella schermata di consent Microsoft. Questa pagina elenca ogni permesso, il suo tipo e il motivo per cui è necessario.
Punti chiave
- Tutti i permessi sono di livello applicazione (non delegati a un utente)
- Tutti i permessi sono in sola lettura - Aether365 non può creare, modificare o eliminare dati nel tuo tenant
- I permessi vengono concessi una sola volta tramite il consent del Global Admin e restano attivi fino alla disconnessione del tenant o all'eliminazione del service principal di Aether365
- Puoi verificare e revocare i permessi in qualsiasi momento dal centro di amministrazione Microsoft Entra > Enterprise Applications > Aether365
Riferimento permessi
La colonna Usato da indica quale tipo di scansione richiede il permesso: C = scansione Compliance, E = scansione Exposure, C+E = entrambe.
| Permesso | Tipo | Usato da | Motivo della richiesta |
|---|---|---|---|
AccessReview.Read.All | Application | E | Leggere le definizioni e i risultati delle access review per i controlli di governance |
AppCatalog.Read.All | Application | E | Leggere le voci del catalogo app enterprise e le policy di approvazione |
Application.Read.All | Application | E | Leggere le registrazioni delle applicazioni e le configurazioni delle credenziali |
AuditLog.Read.All | Application | E | Leggere i log di audit e di accesso richiesti dai benchmark EIDSCA e CISA |
ConsentRequest.Read.All | Application | E | Leggere le richieste di consenso utente e lo stato del workflow di admin consent |
CrossTenantInformation.ReadBasic.All | Application | E | Leggere le impostazioni di accesso cross-tenant per i controlli di collaborazione B2B |
DeviceManagementApps.Read.All | Application | E | Leggere le policy di protezione e configurazione app di Intune |
DeviceManagementConfiguration.Read.All | Application | E | Leggere le policy di configurazione dispositivi di Intune |
DeviceManagementManagedDevices.Read.All | Application | E | Leggere l'inventario dispositivi gestiti e lo stato di conformità |
DeviceManagementRBAC.Read.All | Application | E | Leggere le assegnazioni di ruolo RBAC di Intune |
Directory.Read.All | Application | C+E | Leggere utenti, gruppi, service principal e oggetti directory per valutare la configurazione di identità |
DirectoryRecommendations.Read.All | Application | E | Leggere le raccomandazioni Entra ID per miglioramenti della postura di sicurezza |
EntitlementManagement.Read.All | Application | E | Leggere i pacchetti di accesso e le policy di gestione dei diritti |
ExternalConnection.Read.All | Application | E | Leggere le connessioni esterne e i connettori per i controlli di esposizione dati |
GroupMember.Read.All | Application | E | Leggere le appartenenze ai gruppi per valutare l'ereditarietà di ruoli e permessi |
IdentityProvider.Read.All | Application | E | Leggere gli identity provider configurati e le impostazioni di federazione |
IdentityRiskEvent.Read.All | Application | E | Leggere le rilevazioni di eventi di rischio da Identity Protection |
IdentityRiskyUser.Read.All | Application | E | Leggere le rilevazioni di utenti a rischio da Microsoft Entra ID Protection |
MailboxSettings.Read | Application | C | Leggere le impostazioni delle caselle di posta Exchange Online per i controlli CIS |
Organization.Read.All | Application | C+E | Leggere la configurazione a livello di tenant, le assegnazioni di licenza e il profilo organizzazione |
Policy.Read.All | Application | C+E | Leggere le policy di accesso condizionale, le policy di forza autenticazione e altre policy di sicurezza |
Policy.Read.ConditionalAccess | Application | E | Leggere i dettagli delle policy di accesso condizionale per i controlli di configurazione errata |
PrivilegedAccess.Read.AzureAD | Application | E | Leggere le impostazioni di idoneità e attivazione ruoli PIM |
PrivilegedEligibilitySchedule.Read.AzureADGroup | Application | E | Leggere le pianificazioni di idoneità dei gruppi PIM |
Reports.Read.All | Application | C+E | Leggere i report di utilizzo e attività di accesso richiesti dai benchmark CIS e CISA |
RoleEligibilitySchedule.Read.Directory | Application | E | Leggere le pianificazioni di idoneità dei ruoli PIM per i controlli di accesso just-in-time |
RoleManagement.Read.All | Application | C+E | Leggere le assegnazioni dei ruoli Entra ID per rilevare account con privilegi eccessivi |
RoleManagementPolicy.Read.AzureADGroup | Application | E | Leggere le policy PIM applicate alle assegnazioni di ruolo dei gruppi |
SecurityEvents.Read.All | Application | C+E | Leggere gli avvisi e gli eventi di sicurezza per la valutazione dell'esposizione alle minacce |
SharePointTenantSettings.Read.All | Application | E | Leggere le impostazioni di condivisione e sicurezza a livello di tenant SharePoint |
Sites.Read.All | Application | E | Leggere le configurazioni dei siti SharePoint e le impostazioni di condivisione |
Team.ReadBasic.All | Application | E | Leggere le impostazioni dei team Teams per valutare i controlli di accesso esterno e federazione |
TeamsAppInstallation.ReadForUser.All | Application | E | Leggere le app Teams installate per rilevare applicazioni di terze parti non approvate |
User.Read.All | Application | C+E | Leggere profili utente, impostazioni di accesso e assegnazioni di licenza |
UserAuthenticationMethod.Read.All | Application | C+E | Leggere i metodi MFA registrati per verificare la forza dell'autenticazione per utente |
Verificare i permessi concessi
Per verificare quali permessi Aether365 ha nel tuo tenant:
- Accedi al centro di amministrazione Microsoft Entra
- Vai su Enterprise Applications
- Cerca "Aether365"
- Seleziona l'applicazione e apri Permessi
La pagina dei permessi mostra tutti i permessi consentiti insieme a chi ha concesso il consenso e quando.
Revocare i permessi
Per revocare tutti i permessi di Aether365 da un tenant:
- Nel centro di amministrazione Microsoft Entra > Enterprise Applications, seleziona Aether365
- Clicca su Elimina per rimuovere completamente il service principal
Questo revoca tutti i permessi e impedisce ad Aether365 di accedere al tenant. I futuri tentativi di scansione per questo tenant falliranno. Per interrompere le scansioni, disconnetti anche il tenant nella dashboard di Aether365 (Impostazioni > Connessioni).
Domande
Per domande su un permesso specifico o per discutere l'ambito dei permessi per un deployment Enterprise, contatta security@aether365.io.