同意的网络钓鱼防护已添加到Office 365

微软在昨天发布的帖子中说，微软的Office 365现在普遍具有同意钓鱼式保护，包括OAuth应用发布者验证和应用同意政策。

此保护将使Office 365用户免受基于应用程序的攻击（称为同意网络钓鱼），在这种攻击中，通过向恶意Office 365 oAuth应用授予权限，诱骗目标提供其Office 365帐户。

该公司表示，将为此发布三项更新，包括-发布商验证的常规可用性，未验证发布者的用户同意更新以及应用程序同意政策的常规可用性。

开发人员使用发布者验证“将经过验证的身份添加到他们的应用注册中，并向客户证明该应用来自真实来源”。

此功能已在今年5月的公共预览中输入。目前，Microsoft已验证了700多个应用程序发布者，并且已经注册了1300个应用程序。经过验证的发布者开发的应用程序在所有Azure AD同意提示上均带有蓝色的验证徽章。

管理员现在将获得“用户可以同意的应用程序和权限的更多控制权”，并获得最终用户同意的通用应用程序许可策略。

微软解释说：“为减少恶意应用程序企图诱骗用户授予他们对您组织数据的访问权限的风险，我们建议您仅允许经过验证的发布者发布的应用程序获得用户同意。”

一旦配置了应用同意政策，用户将只能向其开发人员经过验证的发布者的应用授予权限。管理员还可以在需要更精细的控制时设置自定义应用程序同意策略。这是执行此操作所需的步骤：

所有办公室用户都将受到保护，因为通常可以使用发布者验证，因为他们“将不再同意未经验证的发布者在2020年11月8日之后注册的新多租户应用”。