Default Authorization Settings - Allow user consent on risk-based apps

Por que Isso é Importante

A configuração allowUserConsentForRiskyApps controla se os usuários podem consentir com aplicativos que o Microsoft Entra ID identifica como arriscados com base em sinais em tempo real. Se habilitada, os usuários podem, sem saber, conceder permissões a aplicativos maliciosos ou suspeitos, aumentando o risco de exposição de dados e acesso não autorizado. Desabilitar essa configuração garante que apenas administradores possam autorizar aplicativos arriscados, fornecendo uma camada crítica de proteção contra ataques baseados em consentimento.

O que o Aether365 Verifica

O Aether365 verifica se a propriedade allowUserConsentForRiskyApps na authorizationPolicy está definida como false. Essa verificação aparece no painel do Aether365 na seção entra-id.

Como Corrigir

1. Abra o Microsoft Entra admin center e navegue até Identity > Applications > Enterprise applications > Consent and permissions > User consent settings.
2. Em Risk-based step-up consent, defina a alternância para No para impedir que os usuários consintam com aplicativos arriscados.
3. Como alternativa, use a API do Microsoft Graph com o endpoint PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy e defina a propriedade allowUserConsentForRiskyApps como false.

Conformidade

• EIDSCA EIDSCA.AP09
• CIS Microsoft 365 Foundations (quando mapeado)

Recursos Relacionados

• Configurar consentimento progressivo baseado em risco - Microsoft Learn
• Tipo de recurso authorizationPolicy - Microsoft Graph v1.0

Microsoft references

• Configure risk based step up consent
• Authorizationpolicy
• Graph explorer