Default Authorization Settings - Enabled Self service password reset for administrators
De ce conteaza
Conturile de administrator reprezinta tinte de mare valoare pentru atacatori. Atunci cand resetarea parolei prin autoservire (SSPR) este activata pentru administratori, se creeaza o vulnerabilitate potentiala daca un atacator compromite metodele de autentificare ale unui administrator. Administratorii cu roluri sensibile ar trebui sa se bazeze pe metode de autentificare rezistente la phishing, nu pe resetarile parolei prin autoservire, pentru a reduce riscul preluarii conturilor.
Ce verifica Aether365
Aether365 confirma ca setarea allowedToUseSSPR din politica de autorizare Entra ID este configurata pe false. Aceasta verificare apare in tabloul de bord Aether365, in sectiunea entra-id.
Cum se remediaza
Pentru a dezactiva SSPR pentru administratori in cadrul entitatii dvs.:
- Conectati-va la Microsoft Entra admin center.
- Navigati la Identity > External Identities > Authorization settings (sau utilizati Graph Explorer pentru o abordare directa prin API).
- Gasiti setarea care permite resetarea parolei prin autoservire pentru administratori si configurati-o pe
false. - Alternativ, utilizati Microsoft Graph PowerShell cu urmatoarea comanda:
Update-MgPolicyAuthorizationPolicy -BodyParameter @{ allowedToUseSSPR = $false }
Conformitate
- EIDSCA: EIDSCA.AP01
Resurse conexe
- Tipul de resurse authorizationPolicy - Microsoft Graph v1.0 - Microsoft Learn
- Deschideti in Graph Explorer