应用程序的无限制用户同意

Entra ID 实施了 OAuth 2.0 委派机制，允许用户同意任何第三方应用程序的访问请求。这样做，即表示用户授予这些应用程序访问其数据的权限，进而授予应用程序对其所能接触的任何组织数据的访问权限。

攻击者设计了使用恶意应用程序的社交工程攻击，这些应用程序通常伪装成合法的业务应用程序，并要求敏感权限。攻击者获得这些权限后，便可以窃取数据或代表用户执行操作。此类攻击被称为“非法同意授予”或“同意网络钓鱼”。

Entra ID 提供三个与应用程序用户同意相关的选项：

• “不允许用户同意”：这是最安全的选项。
• “允许用户同意经验证发布者的应用的请求，但仅限于选定权限”：Microsoft 建议使用此中间选项，因为它只允许敏感度较低的权限，并将访问限制于“经验证的发布者”的应用程序，从而可降低风险。
• “允许用户同意应用请求”：这是最不安全的选项。默认情况下，此选项允许用户同意任何应用程序（包括外部应用程序）的大多数权限请求（为管理员保留的权限除外）。

默认情况下，IoE 只将 Entra ID 中安全性较低的选项标记为不正确。为了提高安全敏感度，您可以启用 IoE 的“严格”选项，该选项会将 Entra ID 中安全性较低的选项和中间选项都标记为不正确。

根据 BOD 25-01 的规定，CISA“Microsoft Entra ID 的 M365 安全配置基准”中的 MS.AAD.5.2v1 策略明确要求：“仅管理员有权同意发布应用程序”。

Tenable 建议遵循 Microsoft 的建议，至少选择中间选项：“允许用户同意经验证发布者的应用的请求，但仅限于选定权限”。对于安全要求更严格的组织，您可以选择最安全的选项：“不允许用户同意”。

启用限制后，具有特定角色的 Microsoft Entra 管理员必须管理应用程序的同意情况并评估同意请求。他们还必须审查管理员同意请求，而这会增加他们的工作量。请确保他们接受了充分的培训，可以仅批准合法的应用程序和权限。

请遵循 Microsoft 指南，该指南描述了如何配置用户同意应用程序的方式。该指南提供关于 Microsoft Entra 管理中心、Microsoft Graph PowerShell 或 Microsoft Graph API 的使用说明。

更改所选选项不会撤消之前的同意。​因此，如果您怀疑社交工程攻击可能利用了这一技术，请务必谨慎处理。您可以参考“影响租户的危险 API 权限”和“影响数据的危险 API 权限”IoE 的结果，以识别潜在恶意或过度授予的权限。

您也可以考虑启用“基于风险的逐步提升同意”。

名称: 应用程序的无限制用户同意

代码名称: UNRESTRICTED-USER-CONSENT-FOR-APPLICATIONS

严重性: Medium

类型: Microsoft Entra ID Indicator of Exposure