Default Authorization Settings - Enabled Self service password reset for administrators

Bunun Önemi Nedir?

Yönetici hesapları, saldırganlar için yüksek değerli hedeflerdir. Yöneticiler için self-service password reset (SSPR) etkinleştirildiğinde, bir saldırganın yöneticinin kimlik doğrulama yöntemlerini ele geçirmesi durumunda potansiyel bir güvenlik açığı oluşur. Hassas rollere sahip yöneticiler, hesap ele geçirme riskini azaltmak için self-service password reset yerine phishing'e dayanıklı kimlik doğrulama yöntemlerini kullanmalıdır.

Aether365 Ne Kontrol Eder?

Aether365, Entra ID yetkilendirme politikasındaki allowedToUseSSPR ayarının false olarak ayarlandığını doğrular. Bu kontrol, Aether365 panosunda entra-id bölümü altında görünür.

Nasıl Düzeltilir?

Kiracınızda yöneticiler için SSPR'yi devre dışı bırakmak için:

1. Microsoft Entra admin center'da oturum açın.
2. Identity > External Identities > Authorization settings (veya doğrudan API yaklaşımı için Graph Explorer) bölümüne gidin.
3. Yöneticiler için self-service password reset'e izin ver ayarını bulun ve false olarak ayarlayın.
4. Alternatif olarak, aşağıdaki komutla Microsoft Graph PowerShell'i kullanın:

   Update-MgPolicyAuthorizationPolicy -BodyParameter @{ allowedToUseSSPR = $false }

Uyumluluk

• EIDSCA: EIDSCA.AP01

İlgili Kaynaklar

• authorizationPolicy kaynak türü - Microsoft Graph v1.0 - Microsoft Learn
• Graph Explorer'da Aç

Microsoft references

• Authorizationpolicy
• Graph explorer