Default Authorization Settings - Default User Role Permissions - Allowed to create Apps

Kāpēc tas ir svarīgi

Atļaut neadministratīviem lietotājiem veidot lietojumprogrammas Microsoft Entra ID rada būtiskus drošības riskus. Ļaunprātīgi vai neuzmanīgi lietotāji var reģistrēt trešo pušu lietojumprogrammas, kas pieprasa plašas atļaujas, potenciāli piešķirot nesankcionētu piekļuvi organizācijas datiem un resursiem. Ierobežojot lietojumprogrammu veidošanu tikai administratoriem, tiek samazināta uzbrukumu virsma un nodrošināta pienācīga visu integrēto lietojumprogrammu uzraudzība.

Ko pārbauda Aether365

Aether365 pārbauda, vai defaultUserRolePermissions.allowedToCreateApps iestatījums autorizācijas politikā ir iestatīts uz false. Šī pārbaude ir redzama Aether365 informācijas panelī sadaļā Entra ID drošības pārbaudes.

Kā labot

1. Atveriet Microsoft Graph PowerShell kā administrators.
2. Palaidiet šādu komandu:

   Update-MgPolicyAuthorizationPolicy -BodyParameter @{ DefaultUserRolePermissions = @{ AllowedToCreateApps = $false }}

3. Apstipriniet izmaiņas, palaižot Get-MgPolicyAuthorizationPolicy un pārliecinoties, ka DefaultUserRolePermissions.AllowedToCreateApps ir false.

Alternatīvi, šo iestatījumu varat konfigurēt Microsoft Entra admin center sadaļā Identity > External Identities > External collaboration settings. Iestatiet "Users can register applications" uz No.

Atbilstība

• CISA SCuBA 2.6: Tikai administratoriem jābūt atļautam reģistrēt trešo pušu lietojumprogrammas
• EIDSCA EIDSCA.AP10

Saistītie resursi

• authorizationPolicy resursa veids - Microsoft Graph v1.0 - Microsoft Learn
• Atvērt Graph Explorer

Microsoft references

• Authorizationpolicy
• Graph explorer