Default Authorization Settings - Enabled Self service password reset for administrators
Dlaczego to jest ważne
Konta administratorów są dla atakujących cennym celem. Gdy samoobsługowe resetowanie hasła (SSPR) jest włączone dla administratorów, stwarza to potencjalną słabość, jeśli atakujący przejmie metody uwierzytelniania administratora. Administratorzy z wrażliwymi rolami powinni polegać na metodach uwierzytelniania odpornych na phishing, a nie na samoobsługowym resetowaniu hasła, aby zmniejszyć ryzyko przejęcia konta.
Co sprawdza Aether365
Aether365 weryfikuje, czy ustawienie allowedToUseSSPR w zasadach autoryzacji Entra ID ma wartość false. To sprawdzenie jest widoczne w panelu Aether365 w sekcji entra-id.
Jak naprawić
Aby wyłączyć SSPR dla administratorów w Twojej dzierżawie:
- Zaloguj się do Microsoft Entra admin center.
- Przejdź do Identity > External Identities > Authorization settings (lub użyj Graph Explorer, aby bezpośrednio skorzystać z API).
- Znajdź ustawienie zezwalające na samoobsługowe resetowanie hasła dla administratorów i ustaw je na
false. - Alternatywnie użyj Microsoft Graph PowerShell z następującym poleceniem:
Update-MgPolicyAuthorizationPolicy -BodyParameter @{ allowedToUseSSPR = $false }
Zgodność
- EIDSCA: EIDSCA.AP01