Default Authorization Settings - Default User Role Permissions - Allowed to create Apps
Hvorfor Dette Er Viktig
Å tillate ikke-administrative brukere å opprette applikasjoner i Microsoft Entra ID medfører betydelige sikkerhetsrisikoer. Ondsinnede eller uforsiktige brukere kan registrere tredjepartsapplikasjoner som ber om brede tillatelser, noe som potensielt kan gi uautorisert tilgang til organisasjonens data og ressurser. Ved å begrense applikasjonsoppretting til kun administratorer reduseres angrepsoverflaten, og det sikres forsvarlig tilsyn med alle integrerte applikasjoner.
Hva Aether365 Sjekker
Aether365 kontrollerer at innstillingen defaultUserRolePermissions.allowedToCreateApps i autorisasjonspolicyen er satt til false. Denne kontrollen vises i Aether365-dashbordet under Entra ID-sikkerhetskontroller.
Slik Fikser Du Det
- Åpne Microsoft Graph PowerShell som administrator.
- Kjør følgende kommando:
Update-MgPolicyAuthorizationPolicy -BodyParameter @{ DefaultUserRolePermissions = @{ AllowedToCreateApps = $false }} - Bekreft endringen ved å kjøre
Get-MgPolicyAuthorizationPolicyog kontroller atDefaultUserRolePermissions.AllowedToCreateAppserfalse.
Alternativt kan du konfigurere denne innstillingen i Microsoft Entra admin center under Identity > External Identities > External collaboration settings. Sett "Users can register applications" til No.
Samsvar
- CISA SCuBA 2.6: Only Administrators Shall Be Allowed To Register Third-Party Applications
- EIDSCA EIDSCA.AP10