Default Authorization Settings - User consent policy assigned for applications
Zakaj je to pomembno
Dovoljevanje uporabnikom brez skrbniških pravic, da dajejo soglasje aplikacijam tretjih oseb, predstavlja veliko varnostno tveganje. Zlonamerne aplikacije lahko zahtevajo dovoljenja za dostop do občutljivih organizacijskih podatkov, nabiralnikov in datotek brez nadzora skrbnika. Če omejite soglasje uporabnikov samo na preverjene založnike, zmanjšate površino napadov in ohranite nadzor nad tem, katere aplikacije lahko dostopajo do virov vašega najemnika.
Kaj preverja Aether365
To preverjanje potrdi, da je nastavitev permissionGrantPolicyIdsAssignedToDefaultUserRole v pravilniku o avtorizaciji konfigurirana tako, da omejuje soglasje uporabnikov na aplikacije preverjenih založnikov. V nadzorni plošči Aether365 je to prikazano pod preverjanji Entra ID z identifikatorjem EIDSCA.AP08.
Kako popraviti
- Prijavite se v Microsoft Entra admin center (https://entra.microsoft.com) kot globalni skrbnik.
- Pomaknite se do Identity > Applications > Enterprise applications > Consent and permissions > User consent settings.
- Pod "User consent for applications" izberite "Allow user consent for apps from verified publishers, for selected permissions."
- S spustnega seznama izberite priporočeni pravilnik za dodeljevanje dovoljenj:
ManagePermissionGrantsForSelf.microsoft-user-default-low. - Kliknite "Save" za uveljavitev sprememb.
- Druga možnost: uporabite Microsoft Graph PowerShell z ukazom:
Update-MgPolicyAuthorizationPolicy -PermissionGrantPolicyIdsAssignedToDefaultUserRole @("ManagePermissionGrantsForSelf.microsoft-user-default-low")
Skladnost
- EIDSCA: EIDSCA.AP08
- CISA SCuBA 2.7: Uporabnikom brez skrbniških pravic je treba preprečiti dajanje soglasja aplikacijam tretjih oseb