Default Authorization Settings - Enabled Self service password reset for administrators
Kāpēc tas ir svarīgi
Administratoru konti ir augstas vērtības mērķis uzbrucējiem. Ja administratoriem ir iespējota pašapkalpošanās paroles atiestatīšana (SSPR), tas rada potenciālu vājumu, ja uzbrucējs apdraud administratora autentifikācijas metodes. Administratoriem ar sensitīvām lomām būtu jāizmanto pret pikšķerēšanu izturīgas autentifikācijas metodes, nevis pašapkalpošanās paroles atiestatīšana, lai samazinātu konta pārņemšanas risku.
Ko pārbauda Aether365
Aether365 pārbauda, vai allowedToUseSSPR iestatījums Entra ID autorizācijas politikā ir iestatīts uz false. Šī pārbaude ir redzama Aether365 informācijas panelī sadaļā entra-id.
Kā labot
Lai atspējotu SSPR administratoriem jūsu nomniekā:
- Piesakieties Microsoft Entra admin center.
- Dodieties uz Identity > External Identities > Authorization settings (vai izmantojiet Graph Explorer, lai piekļūtu tieši API).
- Atrodiet iestatījumu, kas ļauj pašapkalpošanās paroles atiestatīšanu administratoriem, un iestatiet to uz
false. - Alternatīvi, izmantojiet Microsoft Graph PowerShell ar šādu komandu:
Update-MgPolicyAuthorizationPolicy -BodyParameter @{ allowedToUseSSPR = $false }
Atbilstība
- EIDSCA: EIDSCA.AP01