Default Authorization Settings - Allow user consent on risk-based apps
De ce este important
Setarea allowUserConsentForRiskyApps controlează dacă utilizatorii își pot da consimțământul pentru aplicațiile pe care Microsoft Entra ID le identifică ca fiind riscante pe baza semnalelor în timp real. Dacă este activată, utilizatorii ar putea acorda, fără să știe, permisiuni unor aplicații rău intenționate sau suspecte, crescând riscul de expunere a datelor și de acces neautorizat. Dezactivarea acestei setări asigură că doar administratorii pot autoriza aplicațiile riscante, oferind un strat critic de protecție împotriva atacurilor bazate pe consimțământ.
Ce verifică Aether365
Aether365 verifică dacă proprietatea allowUserConsentForRiskyApps din authorizationPolicy este setată pe false. Această verificare apare în tabloul de bord Aether365, în secțiunea entra-id.
Cum se remediază
- Deschideți Microsoft Entra admin center și navigați la Identity > Applications > Enterprise applications > Consent and permissions > User consent settings.
- Sub Risk-based step-up consent, setați comutatorul pe No pentru a împiedica utilizatorii să își dea consimțământul pentru aplicațiile riscante.
- Alternativ, utilizați Microsoft Graph API cu punctul final
PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicyși setați proprietateaallowUserConsentForRiskyAppspefalse.
Conformitate
- EIDSCA EIDSCA.AP09
- CIS Microsoft 365 Foundations (atunci când este mapat)
Resurse conexe
- Configurați consimțământul gradual bazat pe risc - Microsoft Learn
- Tipul resursei authorizationPolicy - Microsoft Graph v1.0