Microsoft-tillatelser

Vedlikeholdt av: Aether365 Team Målgruppe: Microsoft 365 Global Administrators og sikkerhetsteam Omfang: Fullstendig liste over Microsoft Graph-tillatelser som Aether365 ber om

Når du kobler en Microsoft 365-leietaker til Aether365, godkjenner din Global Administrator et sett med skrivebeskyttede tillatelser på Microsofts samtykkeskjerm. Denne siden lister opp alle tillatelser, deres type og hvorfor de er nødvendige.

Hovedpunkter

• Alle tillatelser er på applikasjonsnivå (ikke delegert til en bruker)
• Alle tillatelser er skrivebeskyttet - Aether365 kan ikke opprette, endre eller slette data i leietakeren din
• Tillatelser gis en gang via Global Admin-samtykke og varer til du kobler fra leietakeren eller sletter Aether365 sin service principal fra leietakeren
• Du kan gjennomgå og tilbakekalle tillatelser når som helst fra Microsoft Entra administrasjonssenter > Bedriftsprogrammer > Aether365

Tillatelsesreferanse

Brukes av-kolonnen indikerer hvilken skannetype som krever tillatelsen: C = Compliance-skanning, E = Exposure-skanning, C+E = begge.

Tillatelse	Type	Brukes av	Hvorfor den trengs
AccessReview.Read.All	Application	E	Lese tilgangsgjennomgangsdefinisjoner og resultater for styringssjekker
AppCatalog.Read.All	Application	E	Lese oppføringer i bedriftsappkatalogen og godkjenningspolicyer
Application.Read.All	Application	E	Lese applikasjonsregistreringer og legitimasjonskonfigurasjoner
AuditLog.Read.All	Application	E	Lese revisjons- og påloggingslogger som kreves for EIDSCA- og CISA-referansekontroller
ConsentRequest.Read.All	Application	E	Lese brukersamtykkeforespørsler og admin-samtykkearbeidsflyttilstand
CrossTenantInformation.ReadBasic.All	Application	E	Lese tilgangsinnstillinger på tvers av leietakere for B2B-samarbeidskontroller
DeviceManagementApps.Read.All	Application	E	Lese Intune-appbeskyttelses- og appkonfigurasjonspolicyer
DeviceManagementConfiguration.Read.All	Application	E	Lese Intune-enhetskonfigurasjonspolicyer
DeviceManagementManagedDevices.Read.All	Application	E	Lese administrert enhetsbeholdning og samsvarsstatus
DeviceManagementRBAC.Read.All	Application	E	Lese Intune RBAC-rolletildelinger
Directory.Read.All	Application	C+E	Lese brukere, grupper, service principals og katalogobjekter for å vurdere identitetskonfigurasjon
DirectoryRecommendations.Read.All	Application	E	Lese Entra ID-anbefalinger for forbedring av sikkerhetsstilling
EntitlementManagement.Read.All	Application	E	Lese tilgangspakker og rettighetsstyringspolicyer
ExternalConnection.Read.All	Application	E	Lese eksterne tilkoblinger og kontakter for dataeksponeringssjekker
GroupMember.Read.All	Application	E	Lese gruppemedlemskap for å vurdere rolle- og tillatelsesarv
IdentityProvider.Read.All	Application	E	Lese konfigurerte identitetsleverandører og federasjonsinnstillinger
IdentityRiskEvent.Read.All	Application	E	Lese risikohendelsedeteksjoner fra Identity Protection
IdentityRiskyUser.Read.All	Application	E	Lese risikable brukerdeteksjoner fra Microsoft Entra ID Protection
MailboxSettings.Read	Application	C	Lese Exchange Online-postboksinnstillinger for CIS-e-postsikkerhetskontroller
Organization.Read.All	Application	C+E	Lese konfigurasjon på leietakernivå, lisenstildelinger og organisasjonsprofil
Policy.Read.All	Application	C+E	Lese policyer for betinget tilgang, autentiseringsstyrke og andre sikkerhetspolicyer
Policy.Read.ConditionalAccess	Application	E	Lese policydetaljer for betinget tilgang for feilkonfigurasjonssjekker
PrivilegedAccess.Read.AzureAD	Application	E	Lese PIM-rolleberettigelse og aktiveringsinnstillinger
PrivilegedEligibilitySchedule.Read.AzureADGroup	Application	E	Lese PIM-gruppeberettigelsestidsplaner
Reports.Read.All	Application	C+E	Lese bruksrapporter og påloggingsaktivitet som kreves av CIS- og CISA-referansekontroller
RoleEligibilitySchedule.Read.Directory	Application	E	Lese PIM-rolleberettigelsestidsplaner for just-in-time-tilgangskontroller
RoleManagement.Read.All	Application	C+E	Lese Entra ID-rolletildelinger for å oppdage overrettighetskontoer
RoleManagementPolicy.Read.AzureADGroup	Application	E	Lese PIM-policyer brukt på grupperolletildelinger
SecurityEvents.Read.All	Application	C+E	Lese sikkerhetsvarsler og hendelser for trusselvurdering
SharePointTenantSettings.Read.All	Application	E	Lese SharePoint-leietakerbredte delings- og sikkerhetsinnstillinger
Sites.Read.All	Application	E	Lese SharePoint-sidekonfigurasjoner og delingsinnstillinger
Team.ReadBasic.All	Application	E	Lese Teams-teaminnstillinger for å vurdere ekstern tilgang og federasjonskontroller
TeamsAppInstallation.ReadForUser.All	Application	E	Lese installerte Teams-apper for å oppdage ikke-godkjente tredjepartsapplikasjoner
User.Read.All	Application	C+E	Lese brukerprofiler, påloggingsinnstillinger og lisenstildelinger
UserAuthenticationMethod.Read.All	Application	C+E	Lese registrerte MFA-metoder for å verifisere autentiseringsstyrke per bruker

Gjennomgå innvilgede tillatelser

For å verifisere hvilke tillatelser Aether365 har i leietakeren din:

1. Logg på Microsoft Entra administrasjonssenter
2. Naviger til Bedriftsprogrammer
3. Søk etter "Aether365"
4. Velg applikasjonen og åpne Tillatelser

Tillatelsessiden viser alle samtykketillatelser sammen med hvem som ga samtykke og når.

Tilbakekalle tillatelser

For å tilbakekalle alle Aether365-tillatelser fra en leietaker:

1. I Microsoft Entra administrasjonssenter > Bedriftsprogrammer, velg Aether365
2. Klikk Slett for å fjerne service principal helt

Dette tilbakekaller alle tillatelser og stopper Aether365 fra å få tilgang til leietakeren. Fremtidige skanningsforsøk for denne leietakeren vil feile. For å stoppe skanninger, koble også fra leietakeren i Aether365-dashboardet (Innstillinger > Tilkoblinger).

Spørsmål

Hvis du har spørsmål om en spesifikk tillatelse eller trenger å diskutere tillatelsesomfang for en Enterprise-utrulling, kontakt security@aether365.io.