Oprávnenia Microsoftu
Keď pripojíte Microsoft 365 tenanta k Aether365, váš globálny správca schváli súbor oprávnení len na čítanie na obrazovke súhlasu Microsoftu. Táto stránka uvádza každé oprávnenie, jeho typ a dôvod, prečo je potrebné.
Hlavné body
- Všetky oprávnenia sú na úrovni aplikácie (nie delegované na používateľa)
- Všetky oprávnenia sú len na čítanie - Aether365 nemôže vytvárať, meniť ani mazať žiadne dáta vo vašom tenante
- Oprávnenia sa udeľujú jednorazovo cez súhlas globálneho správcu a platia, kým tenant neodpojíte alebo nevymažete service principal Aether365 z vášho tenantu
- Oprávnenia môžete kedykoľvek skontrolovať a odvolať v časti Microsoft Entra admin center > Enterprise Applications > Aether365
Referencia oprávnení
Stĺpec Používa označuje, ktorý typ skenu vyžaduje dané oprávnenie: C = sken zhody, E = sken expozície, C+E = oba.
| Oprávnenie | Typ | Používa | Prečo je potrebné |
|---|---|---|---|
AccessReview.Read.All | Application | E | Čítanie definícií a výsledkov kontrol prístupu pre overenie správy |
AppCatalog.Read.All | Application | E | Čítanie položiek katalógu podnikových aplikácií a politík schvaľovania |
Application.Read.All | Application | E | Čítanie registrácií aplikácií a konfigurácií prihlasovacích údajov |
AuditLog.Read.All | Application | E | Čítanie auditných a prihlasovacích protokolov potrebných pre kontroly EIDSCA a CISA |
ConsentRequest.Read.All | Application | E | Čítanie žiadostí o súhlas používateľov a stavu toku administrátorského súhlasu |
CrossTenantInformation.ReadBasic.All | Application | E | Čítanie nastavení prístupu medzi tenantmi pre kontroly B2B spolupráce |
DeviceManagementApps.Read.All | Application | E | Čítanie politík ochrany a konfigurácie aplikácií Intune |
DeviceManagementConfiguration.Read.All | Application | E | Čítanie politík konfigurácie zariadení Intune |
DeviceManagementManagedDevices.Read.All | Application | E | Čítanie inventáru spravovaných zariadení a stavu zhody |
DeviceManagementRBAC.Read.All | Application | E | Čítanie priradení RBAC rolí Intune |
Directory.Read.All | Application | C+E | Čítanie používateľov, skupín, service principals a objektov adresára na posúdenie konfigurácie identity |
DirectoryRecommendations.Read.All | Application | E | Čítanie odporúčaní Entra ID na zlepšenie bezpečnostnej pozície |
EntitlementManagement.Read.All | Application | E | Čítanie prístupových balíkov a politík správy oprávnení |
ExternalConnection.Read.All | Application | E | Čítanie externých pripojení a konektorov pre kontroly expozície dát |
GroupMember.Read.All | Application | E | Čítanie členstva v skupinách na posúdenie dedičnosti rolí a oprávnení |
IdentityProvider.Read.All | Application | E | Čítanie nakonfigurovaných poskytovateľov identity a nastavení federácie |
IdentityRiskEvent.Read.All | Application | E | Čítanie detekcií rizikových udalostí z Identity Protection |
IdentityRiskyUser.Read.All | Application | E | Čítanie detekcií rizikových používateľov z Microsoft Entra ID Protection |
MailboxSettings.Read | Application | C | Čítanie nastavení poštových schránok Exchange Online pre kontroly zabezpečenia e-mailov CIS |
Organization.Read.All | Application | C+E | Čítanie konfigurácie na úrovni tenantu, priradení licencií a profilu organizácie |
Policy.Read.All | Application | C+E | Čítanie politík podmieneného prístupu, politík sily autentifikácie a ďalších bezpečnostných politík |
Policy.Read.ConditionalAccess | Application | E | Čítanie detailov politík podmieneného prístupu pre kontroly nesprávnej konfigurácie |
PrivilegedAccess.Read.AzureAD | Application | E | Čítanie oprávnenosti PIM rolí a nastavení aktivácie |
PrivilegedEligibilitySchedule.Read.AzureADGroup | Application | E | Čítanie harmonogramov oprávnenosti PIM skupín |
Reports.Read.All | Application | C+E | Čítanie správ o používaní a prihlasovacej aktivite potrebných pre kontroly CIS a CISA |
RoleEligibilitySchedule.Read.Directory | Application | E | Čítanie harmonogramov oprávnenosti PIM rolí pre kontroly prístupu just-in-time |
RoleManagement.Read.All | Application | C+E | Čítanie priradení rolí Entra ID na detekciu nadmerne privilegovaných účtov |
RoleManagementPolicy.Read.AzureADGroup | Application | E | Čítanie PIM politík aplikovaných na priradenia skupinových rolí |
SecurityEvents.Read.All | Application | C+E | Čítanie bezpečnostných upozornení a udalostí pre posúdenie expozície hrozbám |
SharePointTenantSettings.Read.All | Application | E | Čítanie nastavení zdieľania a bezpečnosti na úrovni celého tenantu SharePoint |
Sites.Read.All | Application | E | Čítanie konfigurácií stránok SharePoint a nastavení zdieľania |
Team.ReadBasic.All | Application | E | Čítanie nastavení tímov Teams na posúdenie kontrol externého prístupu a federácie |
TeamsAppInstallation.ReadForUser.All | Application | E | Čítanie nainštalovaných aplikácií Teams na detekciu neschválených aplikácií tretích strán |
User.Read.All | Application | C+E | Čítanie profilov používateľov, nastavení prihlásenia a priradení licencií |
UserAuthenticationMethod.Read.All | Application | C+E | Čítanie registrovaných metód MFA na overenie sily autentifikácie jednotlivých používateľov |
Kontrola udelených oprávnení
Ak chcete overiť, aké oprávnenia má Aether365 vo vašom tenante:
- Prihláste sa do Microsoft Entra admin center
- Prejdite na Enterprise Applications
- Vyhľadajte "Aether365"
- Vyberte aplikáciu a otvorte Permissions
Stránka oprávnení zobrazuje všetky schválené oprávnenia spolu s tým, kto súhlas udelil a kedy.
Odvolanie oprávnení
Ak chcete odvolať všetky oprávnenia Aether365 z tenantu:
- V Microsoft Entra admin center > Enterprise Applications vyberte Aether365
- Kliknite na Delete pre úplné odstránenie service principal
Toto odvolá všetky oprávnenia a zastaví prístup Aether365 k tenantu. Budúce pokusy o sken pre tohto tenanta zlyhajú. Pre zastavenie skenov tiež odpojte tenanta v dashboarde Aether365 (Nastavenia > Pripojenia).
Otázky
Ak máte otázky ku konkrétnemu oprávneniu alebo potrebujete prediskutovať rozsah oprávnení pre nasadenie Enterprise, kontaktujte security@aether365.io.