Default Authorization Settings - Default User Role Permissions - Allowed to create Apps
Чому це важливо
Дозвіл неадміністративним користувачам створювати застосунки в Microsoft Entra ID створює значні ризики безпеки. Недобросовісні або необережні користувачі можуть реєструвати сторонні застосунки, які запитують широкі дозволи, потенційно надаючи несанкціонований доступ до даних і ресурсів організації. Обмеження створення застосунків лише адміністраторами зменшує поверхню атаки та забезпечує належний нагляд за всіма інтегрованими застосунками.
Що перевіряє Aether365
Aether365 перевіряє, чи параметр defaultUserRolePermissions.allowedToCreateApps у політиці авторизації встановлено на false. Ця перевірка відображається в панелі Aether365 у розділі перевірок безпеки Entra ID.
Як виправити
- Відкрийте Microsoft Graph PowerShell від імені адміністратора.
- Виконайте наступну команду:
Update-MgPolicyAuthorizationPolicy -BodyParameter @{ DefaultUserRolePermissions = @{ AllowedToCreateApps = $false }} - Підтвердьте зміну, виконавши
Get-MgPolicyAuthorizationPolicyта перевіривши, щоDefaultUserRolePermissions.AllowedToCreateAppsмає значенняfalse.
Крім того, ви можете налаштувати цей параметр у Microsoft Entra admin center в розділі Identity > External Identities > External collaboration settings. Встановіть значення "Users can register applications" на No.
Відповідність стандартам
- CISA SCuBA 2.6: Тільки адміністратори можуть реєструвати сторонні застосунки
- EIDSCA EIDSCA.AP10