Default Authorization Settings - User consent policy assigned for applications
Por Que Isso Importa
Permitir que usuários não administradores consintam com aplicativos de terceiros introduz riscos significativos de segurança. Aplicativos maliciosos podem solicitar permissões para acessar dados organizacionais confidenciais, caixas de correio e arquivos sem supervisão do administrador. Ao restringir o consentimento do usuário apenas a editores verificados, você reduz a superfície de ataque e mantém o controle sobre quais aplicativos podem acessar os recursos do seu locatário.
O Que o Aether365 Verifica
Esta verificação confirma se a configuração permissionGrantPolicyIdsAssignedToDefaultUserRole na política de autorização está definida para restringir o consentimento do usuário a aplicativos de editores verificados. No painel do Aether365, isso aparece sob as verificações entra-id com o identificador EIDSCA.AP08.
Como Corrigir
- Faça login no Microsoft Entra admin center (https://entra.microsoft.com) como Administrador Global.
- Navegue até Identity > Applications > Enterprise applications > Consent and permissions > User consent settings.
- Em "User consent for applications", selecione "Allow user consent for apps from verified publishers, for selected permissions".
- No menu suspenso, selecione a política de concessão de permissão recomendada:
ManagePermissionGrantsForSelf.microsoft-user-default-low. - Clique em "Save" para aplicar as alterações.
- Como alternativa, use o Microsoft Graph PowerShell com o comando:
Update-MgPolicyAuthorizationPolicy -PermissionGrantPolicyIdsAssignedToDefaultUserRole @("ManagePermissionGrantsForSelf.microsoft-user-default-low")
Conformidade
- EIDSCA: EIDSCA.AP08
- CISA SCuBA 2.7: Usuários não administradores não devem poder fornecer consentimento a aplicativos de terceiros