Default Authorization Settings - User consent policy assigned for applications
Varför detta är viktigt
Att låta icke-administratörsanvändare ge sitt samtycke till tredjepartsprogram medför betydande säkerhetsrisker. Skadliga program kan begära behörigheter för att få tillgång till känslig organisationsdata, postlådor och filer utan administrativ tillsyn. Genom att begränsa användarsamtycke till endast verifierade utgivare minskar du attackytan och behåller kontrollen över vilka program som kan få tillgång till din tenants resurser.
Vad Aether365 kontrollerar
Denna kontroll verifierar att inställningen permissionGrantPolicyIdsAssignedToDefaultUserRole i auktoriseringspolicyn är konfigurerad för att begränsa användarsamtycke till appar från verifierade utgivare. I Aether365-instrumentpanelen visas detta under entra-id-kontroller med identifieraren EIDSCA.AP08.
Åtgärd
- Logga in i Microsoft Entra admin center (https://entra.microsoft.com) som global administratör.
- Gå till Identity > Applications > Enterprise applications > Consent and permissions > User consent settings.
- Under “User consent for applications” väljer du “Allow user consent for apps from verified publishers, for selected permissions.”
- Välj den rekommenderade behörighetsprincipen i listrutan:
ManagePermissionGrantsForSelf.microsoft-user-default-low. - Klicka på “Save” för att tillämpa ändringarna.
- Alternativt kan du använda Microsoft Graph PowerShell med kommandot:
Update-MgPolicyAuthorizationPolicy -PermissionGrantPolicyIdsAssignedToDefaultUserRole @("ManagePermissionGrantsForSelf.microsoft-user-default-low")
Efterlevnad
- EIDSCA: EIDSCA.AP08
- CISA SCuBA 2.7: Icke-administratörsanvändare ska förhindras från att ge samtycke till tredjepartsprogram