Uprawnienia Microsoft

Autor: Zespół Aether365 Odbiorcy: Administratorzy globalni Microsoft 365 i zespoły ds. bezpieczeństwa Zakres: Pełna lista uprawnień Microsoft Graph wymaganych przez Aether365

Po podłączeniu tenanta Microsoft 365 do Aether365 administrator globalny zatwierdza zestaw uprawnień tylko do odczytu na ekranie zgody Microsoft. Na tej stronie wymieniono każde uprawnienie, jego typ i powód, dla którego jest potrzebne.

Kluczowe informacje

• Wszystkie uprawnienia są na poziomie aplikacji (nie delegowane do użytkownika)
• Wszystkie uprawnienia są tylko do odczytu - Aether365 nie może tworzyć, modyfikować ani usuwać żadnych danych w Twoim tenancie
• Uprawnienia są nadawane jednorazowo poprzez zgodę administratora globalnego i obowiązują do momentu odłączenia tenanta lub usunięcia jednostki usługowej Aether365 z Twojego tenanta
• Uprawnienia możesz przeglądać i cofać w dowolnym momencie w Microsoft Entra admin center > Enterprise Applications > Aether365

Referencja uprawnień

Kolumna Używane przez wskazuje, który typ skanu wymaga danego uprawnienia: C = skan Compliance, E = skan Exposure, C+E = oba.

Uprawnienie	Typ	Używane przez	Dlaczego jest potrzebne
AccessReview.Read.All	Application	E	Odczyt definicji i wyników przeglądów dostępu dla kontroli zarządzania
AppCatalog.Read.All	Application	E	Odczyt wpisów katalogu aplikacji firmowych i zasad zatwierdzania
Application.Read.All	Application	E	Odczyt rejestracji aplikacji i konfiguracji poświadczeń
AuditLog.Read.All	Application	E	Odczyt dzienników audytu i logowań wymaganych przez kontrole EIDSCA i CISA
ConsentRequest.Read.All	Application	E	Odczyt żądań zgody użytkowników i stanu przepływu zgody administratora
CrossTenantInformation.ReadBasic.All	Application	E	Odczyt ustawień dostępu międzytenantowego dla kontroli współpracy B2B
DeviceManagementApps.Read.All	Application	E	Odczyt zasad ochrony i konfiguracji aplikacji Intune
DeviceManagementConfiguration.Read.All	Application	E	Odczyt zasad konfiguracji urządzeń Intune
DeviceManagementManagedDevices.Read.All	Application	E	Odczyt inwentarza zarządzanych urządzeń i stanu zgodności
DeviceManagementRBAC.Read.All	Application	E	Odczyt przypisań ról RBAC Intune
Directory.Read.All	Application	C+E	Odczyt użytkowników, grup, jednostek usługowych i obiektów katalogu w celu oceny konfiguracji tożsamości
DirectoryRecommendations.Read.All	Application	E	Odczyt rekomendacji Entra ID dotyczących poprawy poziomu bezpieczeństwa
EntitlementManagement.Read.All	Application	E	Odczyt pakietów dostępu i zasad zarządzania uprawnieniami
ExternalConnection.Read.All	Application	E	Odczyt połączeń zewnętrznych i konektorów pod kątem ekspozycji danych
GroupMember.Read.All	Application	E	Odczyt członkostwa w grupach w celu oceny dziedziczenia ról i uprawnień
IdentityProvider.Read.All	Application	E	Odczyt skonfigurowanych dostawców tożsamości i ustawień federacji
IdentityRiskEvent.Read.All	Application	E	Odczyt wykrytych zdarzeń ryzyka z Identity Protection
IdentityRiskyUser.Read.All	Application	E	Odczyt wykrytych ryzykownych użytkowników z Microsoft Entra ID Protection
MailboxSettings.Read	Application	C	Odczyt ustawień skrzynek Exchange Online dla kontroli bezpieczeństwa poczty CIS
Organization.Read.All	Application	C+E	Odczyt konfiguracji na poziomie tenanta, przypisań licencji i profilu organizacji
Policy.Read.All	Application	C+E	Odczyt zasad dostępu warunkowego, zasad siły uwierzytelniania i innych zasad bezpieczeństwa
Policy.Read.ConditionalAccess	Application	E	Odczyt szczegółów zasad dostępu warunkowego pod kątem błędów konfiguracji
PrivilegedAccess.Read.AzureAD	Application	E	Odczyt uprawnień ról PIM i ustawień aktywacji
PrivilegedEligibilitySchedule.Read.AzureADGroup	Application	E	Odczyt harmonogramów uprawnień PIM dla grup
Reports.Read.All	Application	C+E	Odczyt raportów użytkowania i aktywności logowań wymaganych przez kontrole CIS i CISA
RoleEligibilitySchedule.Read.Directory	Application	E	Odczyt harmonogramów uprawnień ról PIM dla kontroli dostępu just-in-time
RoleManagement.Read.All	Application	C+E	Odczyt przypisań ról Entra ID w celu wykrycia kont z nadmiernymi uprawnieniami
RoleManagementPolicy.Read.AzureADGroup	Application	E	Odczyt zasad PIM zastosowanych do przypisań ról grup
SecurityEvents.Read.All	Application	C+E	Odczyt alertów i zdarzeń bezpieczeństwa w celu oceny ekspozycji na zagrożenia
SharePointTenantSettings.Read.All	Application	E	Odczyt ustawień udostępniania i bezpieczeństwa całego tenanta SharePoint
Sites.Read.All	Application	E	Odczyt konfiguracji witryn SharePoint i ustawień udostępniania
Team.ReadBasic.All	Application	E	Odczyt ustawień zespołów Teams w celu oceny kontroli dostępu zewnętrznego i federacji
TeamsAppInstallation.ReadForUser.All	Application	E	Odczyt zainstalowanych aplikacji Teams w celu wykrycia niezatwierdzonych aplikacji firm trzecich
User.Read.All	Application	C+E	Odczyt profili użytkowników, ustawień logowania i przypisań licencji
UserAuthenticationMethod.Read.All	Application	C+E	Odczyt zarejestrowanych metod MFA w celu weryfikacji siły uwierzytelniania użytkowników

Przeglądanie nadanych uprawnień

Aby sprawdzić, jakie uprawnienia Aether365 posiada w Twoim tenancie:

1. Zaloguj się do Microsoft Entra admin center
2. Przejdź do Enterprise Applications
3. Wyszukaj "Aether365"
4. Wybierz aplikację i otwórz Permissions

Strona uprawnień pokazuje wszystkie zatwierdzone uprawnienia wraz z informacją, kto udzielił zgody i kiedy.

Cofanie uprawnień

Aby cofnąć wszystkie uprawnienia Aether365 w tenancie:

1. W Microsoft Entra admin center > Enterprise Applications wybierz Aether365
2. Kliknij Delete, aby całkowicie usunąć jednostkę usługową

To cofa wszystkie uprawnienia i uniemożliwia Aether365 dostęp do tenanta. Przyszłe próby skanowania tego tenanta zakończą się niepowodzeniem. Aby zatrzymać skany, odłącz również tenanta w panelu Aether365 (Ustawienia > Połączenia).

Pytania

W razie pytań dotyczących konkretnego uprawnienia lub konieczności omówienia zakresu uprawnień w ramach wdrożenia Enterprise skontaktuj się z security@aether365.io.