CHK-1128: User Consent Policies configured

Omschrijving

• Type: CUSTOMER
• Severity: WARNING
• Bescherming tegen: Social Engineering
• CIS: M365 2.6 – (L2) Ensure user consent to apps accessing company data on their behalf is not allowed
• Fix Available: YES

Deze Customer Check controleert of instellingen actief zijn die regelen dat medewerkers geen toestemming (consent) kunnen geven aan apps om toegang tot de Microsoft tenant te krijgen. 

Waarom deze check?

Aanvallers maken gebruik van zelfgebouwde web applicaties die gebruikers misleiden om toegang te krijgen tot bedrijfsdata. Dus alhoewel dergelijke apps ook heel nuttig kunnen zijn in het werken met Microsoft365, het levert tegelijkertijd een risico op en kan het best zoveel mogelijk worden beperkt.

Het uitschakelen van de mogelijkheid voor medewerkers om consent te geven, werkt alleen naar toekomstige nieuwe goedkeuringen. Apps die al toegelaten zijn, dienen via andere checks te worden geïdentificeerd.

CIS Benchmarks

Deze maatregel is in lijn met het volgende item uit de Center for Internet Security (CIS) Microsoft 365 Foundations Benchmark: 

• CIS M365 2.6 – (L2) Ensure user consent to apps accessing company data on their behalf is not allowed

Welke mogelijke uitkomsten heeft de check?

Deze check heeft twee mogelijke uitkomsten. In Attic komt dit als volgt tot uiting:

• Okay: Alle instellingen rondom user content zijn in lijn met best-practices ingesteld
• Warning: Tenminste 1 van de instellingen wijkt af van aanbevolen best-practices

Hoe moet dit worden opgevolgd?

Indien de output Warning is, adviseren wij de instellingen aan te passen naar best-practices.
Voor deze check is een Fix beschikbaar, deze zullen wij via Attic aanbieden.

Dit zijn de instellingen die in de fix worden ingesteld:

1. EnableGroupSpecificConsent = UIT – Regelt of een gebruiker namens een groep apps consent mag geven.
2. BlockUserConsentForRiskyApps = AAN – Regelt of risky apps geblokkeerd worden.
3. PermissionGrantPolicyIdsAssignedToDefaultUserRole = AAN + Specifieke settings – Of een gebruiker apps mag toestaan die toegang tot data vragen, mits de apps van verified publisher is EN de permissies binnen de ingestelde set staan.
4. UserPermissions = LIJST – Lijst van permissies die een gebruiker weg zou moeten mogen geven zonder beheerders toestemming: User.Read – Email – Openid – Profile – Offline_Access.