Дозволи Microsoft
Коли ви пiдключаєте Microsoft 365 tenant до Aether365, ваш Global Administrator затверджує набiр дозволiв лише для читання на екранi згоди Microsoft. На цiй сторiнцi перелiченi всi дозволи, їх тип та причина, чому вони потрiбнi.
Ключовi моменти
- Усi дозволи є на рiвнi застосунку (не делегованi користувачу)
- Усi дозволи є лише для читання - Aether365 не може створювати, змiнювати або видаляти будь-якi данi у вашому tenant'i
- Дозволи надаються одноразово через згоду Global Admin i дiють, доки ви не вiд'єднаєте tenant або не видалите service principal Aether365 з вашого tenant'у
- Ви можете переглянути та вiдкликати дозволи в будь-який час у Microsoft Entra admin center > Enterprise Applications > Aether365
Довiдник дозволiв
Стовпець Використовується вказує, який тип сканування потребує дозволу: C = Compliance сканування, E = Exposure сканування, C+E = обидва.
| Дозвiл | Тип | Використовується | Навiщо потрiбен |
|---|---|---|---|
AccessReview.Read.All | Application | E | Читання визначень та результатiв перевiрок доступу для governance перевiрок |
AppCatalog.Read.All | Application | E | Читання записiв каталогу корпоративних застосункiв та полiтик схвалення |
Application.Read.All | Application | E | Читання реєстрацiй застосункiв та конфiгурацiй облiкових даних |
AuditLog.Read.All | Application | E | Читання журналiв аудиту та входу для перевiрок EIDSCA та CISA |
ConsentRequest.Read.All | Application | E | Читання запитiв на згоду користувачiв та стану workflow адмiнiстративної згоди |
CrossTenantInformation.ReadBasic.All | Application | E | Читання налаштувань мiжтенантного доступу для перевiрок B2B-спiвпрацi |
DeviceManagementApps.Read.All | Application | E | Читання полiтик захисту та конфiгурацiї застосункiв Intune |
DeviceManagementConfiguration.Read.All | Application | E | Читання полiтик конфiгурацiї пристроїв Intune |
DeviceManagementManagedDevices.Read.All | Application | E | Читання iнвентаризацiї керованих пристроїв та стану вiдповiдностi |
DeviceManagementRBAC.Read.All | Application | E | Читання призначень ролей RBAC Intune |
Directory.Read.All | Application | C+E | Читання користувачiв, груп, service principal та об'єктiв каталогу для оцiнки конфiгурацiї |
DirectoryRecommendations.Read.All | Application | E | Читання рекомендацiй Entra ID для покращення стану безпеки |
EntitlementManagement.Read.All | Application | E | Читання пакетiв доступу та полiтик управлiння правами |
ExternalConnection.Read.All | Application | E | Читання зовнiшнiх пiдключень та конекторiв для перевiрки витоку даних |
GroupMember.Read.All | Application | E | Читання членства в групах для оцiнки успадкування ролей та дозволiв |
IdentityProvider.Read.All | Application | E | Читання налаштованих провайдерiв iдентифiкацiї та параметрiв федерацiї |
IdentityRiskEvent.Read.All | Application | E | Читання виявлених ризикових подiй з Identity Protection |
IdentityRiskyUser.Read.All | Application | E | Читання виявлених ризикових користувачiв з Microsoft Entra ID Protection |
MailboxSettings.Read | Application | C | Читання налаштувань поштових скриньок Exchange Online для перевiрок CIS |
Organization.Read.All | Application | C+E | Читання конфiгурацiї на рiвнi tenant'у, призначень лiцензiй та профiлю органiзацiї |
Policy.Read.All | Application | C+E | Читання полiтик умовного доступу, сили автентифiкацiї та iнших полiтик безпеки |
Policy.Read.ConditionalAccess | Application | E | Читання деталей полiтик умовного доступу для перевiрок на неправильну конфiгурацiю |
PrivilegedAccess.Read.AzureAD | Application | E | Читання правомiрностi ролей PIM та налаштувань активацiї |
PrivilegedEligibilitySchedule.Read.AzureADGroup | Application | E | Читання розкладiв правомiрностi груп PIM |
Reports.Read.All | Application | C+E | Читання звiтiв про використання та активнiсть входiв для перевiрок CIS та CISA |
RoleEligibilitySchedule.Read.Directory | Application | E | Читання розкладiв правомiрностi ролей PIM для перевiрок своєчасного доступу |
RoleManagement.Read.All | Application | C+E | Читання призначень ролей Entra ID для виявлення облiкових записiв з надмiрними привiлеями |
RoleManagementPolicy.Read.AzureADGroup | Application | E | Читання полiтик PIM, застосованих до призначень ролей груп |
SecurityEvents.Read.All | Application | C+E | Читання сповiщень та подiй безпеки для оцiнки загроз |
SharePointTenantSettings.Read.All | Application | E | Читання загальних налаштувань спiльного доступу та безпеки SharePoint |
Sites.Read.All | Application | E | Читання конфiгурацiй сайтiв SharePoint та налаштувань спiльного доступу |
Team.ReadBasic.All | Application | E | Читання налаштувань Teams для оцiнки контролiв зовнiшнього доступу та федерацiї |
TeamsAppInstallation.ReadForUser.All | Application | E | Читання встановлених застосункiв Teams для виявлення незатверджених стороннiх застосункiв |
User.Read.All | Application | C+E | Читання профiлiв користувачiв, налаштувань входу та призначень лiцензiй |
UserAuthenticationMethod.Read.All | Application | C+E | Читання зареєстрованих методiв MFA для перевiрки сили автентифiкацiї кожного користувача |
Перегляд наданих дозволiв
Щоб переконатися, якi дозволи має Aether365 у вашому tenant'i:
- Увiйдiть до Microsoft Entra admin center
- Перейдiть до Enterprise Applications
- Знайдiть "Aether365"
- Оберiть застосунок та вiдкрийте Permissions
На сторiнцi дозволiв показанi всi наданi дозволи разом з тим, хто надав згоду та коли.
Вiдкликання дозволiв
Щоб вiдкликати всi дозволи Aether365 з tenant'у:
- У Microsoft Entra admin center > Enterprise Applications оберiть Aether365
- Натиснiть Delete, щоб повнiстю видалити service principal
Це вiдкликає всi дозволи та зупиняє доступ Aether365 до tenant'у. Подальшi спроби сканування цього tenant'у будуть невдалими. Щоб зупинити сканування, також вiд'єднайте tenant у dashboard Aether365 (Налаштування > Пiдключення).
Питання
Якщо у вас є питання щодо конкретного дозволу або потрiбно обговорити обсяг дозволiв для Enterprise-розгортання, зверніться до security@aether365.io.