Microsoft-machtigingen

Onderhouden door: Aether365 Team Doelgroep: Microsoft 365 Global Administrators en beveiligingsteams Scope: Volledige lijst van Microsoft Graph-machtigingen die Aether365 aanvraagt

Wanneer je een Microsoft 365 tenant koppelt aan Aether365, keurt je Global Administrator een set alleen-lezen machtigingen goed op het Microsoft consent-scherm. Deze pagina vermeldt elke machtiging, het type en waarom deze nodig is.

Belangrijke punten

• Alle machtigingen zijn op applicatieniveau (niet gedelegeerd aan een gebruiker)
• Alle machtigingen zijn alleen-lezen - Aether365 kan geen gegevens aanmaken, wijzigen of verwijderen in je tenant
• Machtigingen worden eenmalig verleend via Global Admin consent en blijven geldig totdat je de tenant ontkoppelt of de Aether365 service principal uit je tenant verwijdert
• Je kunt machtigingen op elk moment bekijken en intrekken via Microsoft Entra-beheercentrum > Enterprise Applications > Aether365

Machtigingenreferentie

De kolom Gebruikt door geeft aan welk scantype de machtiging vereist: C = Compliance scan, E = Exposure scan, C+E = beide.

Machtiging	Type	Gebruikt door	Waarom het nodig is
AccessReview.Read.All	Application	E	Toegangsreviewdefinities en -resultaten lezen voor governance-controles
AppCatalog.Read.All	Application	E	Enterprise-appcatalogus en goedkeuringsbeleid lezen
Application.Read.All	Application	E	Applicatieregistraties en referentieconfiguraties lezen
AuditLog.Read.All	Application	E	Audit- en aanmeldlogboeken lezen die vereist zijn voor EIDSCA- en CISA-benchmarkcontroles
ConsentRequest.Read.All	Application	E	Gebruikers-consentverzoeken en admin consent-workflowstatus lezen
CrossTenantInformation.ReadBasic.All	Application	E	Cross-tenant toegangsinstellingen lezen voor B2B-samenwerkingscontroles
DeviceManagementApps.Read.All	Application	E	Intune-appbeveiligings- en appconfiguratiebeleidsregels lezen
DeviceManagementConfiguration.Read.All	Application	E	Intune-apparaatconfiguratiebeleidsregels lezen
DeviceManagementManagedDevices.Read.All	Application	E	Inventaris van beheerde apparaten en compliancestatus lezen
DeviceManagementRBAC.Read.All	Application	E	Intune RBAC-roltoewijzingen lezen
Directory.Read.All	Application	C+E	Gebruikers, groepen, service principals en directoryobjecten lezen om identiteitsconfiguratie te beoordelen
DirectoryRecommendations.Read.All	Application	E	Entra ID-aanbevelingen lezen voor verbeteringen van de beveiligingsstatus
EntitlementManagement.Read.All	Application	E	Toegangspakketten en entitlement management-beleidsregels lezen
ExternalConnection.Read.All	Application	E	Externe verbindingen en connectors lezen voor gegevensblootstellingscontroles
GroupMember.Read.All	Application	E	Groepslidmaatschap lezen om rol- en machtigingsovererving te beoordelen
IdentityProvider.Read.All	Application	E	Geconfigureerde identiteitsproviders en federatie-instellingen lezen
IdentityRiskEvent.Read.All	Application	E	Risicogebeurtenisdetecties lezen van Identity Protection
IdentityRiskyUser.Read.All	Application	E	Risicovolle gebruikersdetecties lezen van Microsoft Entra ID Protection
MailboxSettings.Read	Application	C	Exchange Online-postvakinstellingen lezen voor CIS-e-mailbeveiligingscontroles
Organization.Read.All	Application	C+E	Tenantconfiguratie, licentietoewijzingen en organisatieprofiel lezen
Policy.Read.All	Application	C+E	Conditional access-beleid, authenticatiesterktebeleid en ander beveiligingsbeleid lezen
Policy.Read.ConditionalAccess	Application	E	Conditional access-beleidsdetails lezen voor controles op verkeerde configuratie
PrivilegedAccess.Read.AzureAD	Application	E	PIM-rolgeschiktheid en activatie-instellingen lezen
PrivilegedEligibilitySchedule.Read.AzureADGroup	Application	E	PIM-groepsgeschiktheidsschema's lezen
Reports.Read.All	Application	C+E	Gebruiksrapporten en aanmeldactiviteit lezen die vereist zijn voor CIS- en CISA-benchmarkcontroles
RoleEligibilitySchedule.Read.Directory	Application	E	PIM-rolgeschiktheidsschema's lezen voor just-in-time toegangscontroles
RoleManagement.Read.All	Application	C+E	Entra ID-roltoewijzingen lezen om over-geprivilegieerde accounts te detecteren
RoleManagementPolicy.Read.AzureADGroup	Application	E	PIM-beleid lezen dat is toegepast op groepsroltoewijzingen
SecurityEvents.Read.All	Application	C+E	Beveiligingsmeldingen en -gebeurtenissen lezen voor beoordeling van bedreigingsblootstelling
SharePointTenantSettings.Read.All	Application	E	Tenant-brede SharePoint-delings- en beveiligingsinstellingen lezen
Sites.Read.All	Application	E	SharePoint-siteconfiguraties en deelinstellingen lezen
Team.ReadBasic.All	Application	E	Teams-teaminstellingen lezen om externe toegangs- en federatiecontroles te beoordelen
TeamsAppInstallation.ReadForUser.All	Application	E	Geinstalleerde Teams-apps lezen om niet-goedgekeurde applicaties van derden te detecteren
User.Read.All	Application	C+E	Gebruikersprofielen, aanmeldinstellingen en licentietoewijzingen lezen
UserAuthenticationMethod.Read.All	Application	C+E	Geregistreerde MFA-methoden lezen om authenticatiesterkte per gebruiker te verifieren

Verleende machtigingen bekijken

Om te verifieren welke machtigingen Aether365 heeft in je tenant:

1. Log in op het Microsoft Entra-beheercentrum
2. Navigeer naar Enterprise Applications
3. Zoek naar "Aether365"
4. Selecteer de applicatie en open Permissions

De machtigingenpagina toont alle goedgekeurde machtigingen samen met wie de consent heeft verleend en wanneer.

Machtigingen intrekken

Om alle Aether365-machtigingen uit een tenant in te trekken:

1. Selecteer in Microsoft Entra-beheercentrum > Enterprise Applications Aether365
2. Klik op Delete om de service principal volledig te verwijderen

Dit trekt alle machtigingen in en voorkomt dat Aether365 de tenant kan benaderen. Toekomstige scanpogingen voor deze tenant zullen mislukken. Om scans te stoppen, ontkoppel je ook de tenant in het Aether365 dashboard (Instellingen > Koppelingen).

Vragen

Als je vragen hebt over een specifieke machtiging of het machtigingsbereik wilt bespreken voor een Enterprise-implementatie, neem dan contact op met security@aether365.io.