Permissões Microsoft
Quando liga um tenant Microsoft 365 ao Aether365, o seu Administrador Global aprova um conjunto de permissões apenas de leitura no ecrã de consentimento da Microsoft. Esta página lista todas as permissões, o seu tipo e a razão pela qual são necessárias.
Pontos-Chave
- Todas as permissões são de nível de aplicação (não delegadas a um utilizador)
- Todas as permissões são apenas de leitura - o Aether365 não pode criar, modificar ou eliminar quaisquer dados no seu tenant
- As permissões são concedidas uma vez através do consentimento do Administrador Global e persistem até desligar o tenant ou eliminar o service principal do Aether365 do seu tenant
- Pode rever e revogar permissões a qualquer momento a partir do Centro de administração do Microsoft Entra > Aplicações Empresariais > Aether365
Referência de Permissões
A coluna Utilizado por indica qual tipo de análise requer a permissão: C = análise de Compliance, E = análise de Exposure, C+E = ambas.
| Permissão | Tipo | Utilizado por | Razão pela qual é necessária |
|---|---|---|---|
AccessReview.Read.All | Application | E | Ler definições e resultados de revisões de acesso para verificações de governação |
AppCatalog.Read.All | Application | E | Ler entradas do catalogo de aplicações empresariais e políticas de aprovação |
Application.Read.All | Application | E | Ler registos de aplicações e configurações de credenciais |
AuditLog.Read.All | Application | E | Ler registos de auditoria e início de sessão necessários para verificações EIDSCA e CISA |
ConsentRequest.Read.All | Application | E | Ler pedidos de consentimento de utilizadores e estado do fluxo de consentimento administrativo |
CrossTenantInformation.ReadBasic.All | Application | E | Ler definições de acesso entre tenants para verificações de colaboração B2B |
DeviceManagementApps.Read.All | Application | E | Ler políticas de proteção e configuração de aplicações Intune |
DeviceManagementConfiguration.Read.All | Application | E | Ler políticas de configuração de dispositivos Intune |
DeviceManagementManagedDevices.Read.All | Application | E | Ler inventário de dispositivos geridos e estado de conformidade |
DeviceManagementRBAC.Read.All | Application | E | Ler atribuições de funções RBAC do Intune |
Directory.Read.All | Application | C+E | Ler utilizadores, grupos, service principals e objetos de diretorio para avaliar configuração de identidade |
DirectoryRecommendations.Read.All | Application | E | Ler recomendações do Entra ID para melhorias de postura de segurança |
EntitlementManagement.Read.All | Application | E | Ler pacotes de acesso e políticas de gestão de direitos |
ExternalConnection.Read.All | Application | E | Ler ligações externas e conectores para verificações de exposição de dados |
GroupMember.Read.All | Application | E | Ler membros de grupos para avaliar herança de funções e permissões |
IdentityProvider.Read.All | Application | E | Ler fornecedores de identidade configurados e definições de federação |
IdentityRiskEvent.Read.All | Application | E | Ler deteções de eventos de risco do Identity Protection |
IdentityRiskyUser.Read.All | Application | E | Ler deteções de utilizadores de risco do Microsoft Entra ID Protection |
MailboxSettings.Read | Application | C | Ler definições de caixas de correio do Exchange Online para controlos de segurança de email CIS |
Organization.Read.All | Application | C+E | Ler configuração ao nível do tenant, atribuições de licenças e perfil da organização |
Policy.Read.All | Application | C+E | Ler políticas de acesso condicional, políticas de força de autenticação e outras políticas de segurança |
Policy.Read.ConditionalAccess | Application | E | Ler detalhes de políticas de acesso condicional para verificações de configuração incorreta |
PrivilegedAccess.Read.AzureAD | Application | E | Ler elegibilidade de funções PIM e definições de ativação |
PrivilegedEligibilitySchedule.Read.AzureADGroup | Application | E | Ler agendamentos de elegibilidade de grupos PIM |
Reports.Read.All | Application | C+E | Ler relatórios de utilização e atividade de início de sessão necessários para verificações CIS e CISA |
RoleEligibilitySchedule.Read.Directory | Application | E | Ler agendamentos de elegibilidade de funções PIM para verificações de acesso just-in-time |
RoleManagement.Read.All | Application | C+E | Ler atribuições de funções do Entra ID para detetar contas com privilegios excessivos |
RoleManagementPolicy.Read.AzureADGroup | Application | E | Ler políticas PIM aplicadas a atribuições de funções de grupo |
SecurityEvents.Read.All | Application | C+E | Ler alertas e eventos de segurança para avaliação de exposição a ameacas |
SharePointTenantSettings.Read.All | Application | E | Ler definições de partilha e segurança ao nível do tenant do SharePoint |
Sites.Read.All | Application | E | Ler configurações de sites SharePoint e definições de partilha |
Team.ReadBasic.All | Application | E | Ler definições de equipas Teams para avaliar controlos de acesso externo e federação |
TeamsAppInstallation.ReadForUser.All | Application | E | Ler aplicações Teams instaladas para detetar aplicações de terceiros não aprovadas |
User.Read.All | Application | C+E | Ler perfis de utilizadores, definições de início de sessão e atribuições de licenças |
UserAuthenticationMethod.Read.All | Application | C+E | Ler métodos MFA registados para verificar a força de autenticação por utilizador |
Rever Permissões Concedidas
Para verificar que permissões o Aether365 tem no seu tenant:
- Inicie sessão no Centro de administração do Microsoft Entra
- Navegue até Aplicações Empresariais
- Procure "Aether365"
- Selecione a aplicação e abra Permissões
A página de permissões mostra todas as permissões consentidas, juntamente com quem concedeu o consentimento e quando.
Revogar Permissões
Para revogar todas as permissões do Aether365 de um tenant:
- No Centro de administração do Microsoft Entra > Aplicações Empresariais, selecione Aether365
- Clique em Eliminar para remover o service principal completamente
Isto revoga todas as permissões e impede o Aether365 de aceder ao tenant. Tentativas futuras de análise para este tenant falharão. Para parar as análises, desligue também o tenant no painel de controlo do Aether365 (Definições > Ligações).
Questões
Se tiver questões sobre uma permissão específica ou necessitar de discutir o âmbito de permissões para um deploy Enterprise, contacte security@aether365.io.