App Consent Policy Check [CHK-1128] (nl)
Deze controle verifieert of er beleidsregels actief zijn die voorkomen dat medewerkers toestemming geven aan apps om toegang te krijgen tot de Microsoft tenant.
Rationale
Aanvallers gebruiken zelfgemaakte webapplicaties om gebruikers te misleiden en toegang te krijgen tot bedrijfsgegevens. Hoewel dergelijke apps nuttig kunnen zijn bij het werken met Microsoft365, vormen ze tegelijkertijd een risico dat zoveel mogelijk moet worden beperkt.
Fix
Een geautomatiseerde oplossing is beschikbaar via Attic.
Voor handmatige stappen:
- Navigeer naar Entra ID portal op https://entra.microsoft.com
- Ga naar Enterprise applications > Consent and permissions
- Klik op "User consent settings"
- Selecteer "Do not allow user consent" of "Allow user consent for apps from verified publishers, for selected permissions"
- Als u de tweede optie selecteert, klik op "Configure permission classifications"
- Voeg de aanbevolen laagrisicomachtigingen toe waarvoor gebruikers toestemming kunnen geven
- Sla de wijzigingen op
Impact
Het uitschakelen van de mogelijkheid voor medewerkers om toestemming te geven, werkt alleen naar toekomstige nieuwe goedkeuringen. Apps die al toegelaten zijn, dienen via andere checks te worden geïdentificeerd.
Meer informatie
Deze maatregel is in lijn met het volgende item uit de Center for Internet Security (CIS) Microsoft 365 Foundations Benchmark:
- CIS M365 2.6 - (L2) Ensure user consent to apps accessing company data on their behalf is not allowed