Správa souhlasu s aplikacemi a vyhodnocování žádostí o udělení souhlasu

Společnost Microsoft doporučuje omezit souhlas uživatele tak, aby uživatelům umožňovala souhlas pouze pro aplikace od ověřených vydavatelů a jenom pro oprávnění, která vyberete. U aplikací, které tato kritéria nesplňují, je rozhodovací proces centralizovaný s týmem pro správu zabezpečení a identit vaší organizace.

Po zakázání nebo omezení souhlasu uživatele máte několik důležitých kroků, které vám pomůžou zajistit zabezpečení vaší organizace při dalším povolení používání důležitých podnikových aplikací. Tyto kroky jsou zásadní pro minimalizaci dopadu na tým podpory vaší organizace a správce IT a aby se zabránilo použití nespravovaných účtů v aplikacích jiných společností než Microsoft.

Tento článek obsahuje pokyny ke správě souhlasu s aplikacemi a vyhodnocování žádostí o souhlas v doporučeních Microsoftu, včetně omezení souhlasu uživatele na ověřené vydavatele a vybraná oprávnění. Popisuje koncepty, jako jsou změny procesů, vzdělávání pro správce, auditování a monitorování a správa souhlasu správce v rámci celého tenanta.

Zpracování změn a vzdělávání

• Zvažte povolení pracovního postupu souhlasu správce, aby uživatelé mohli požádat o schválení správce přímo z obrazovky souhlasu.

• Ujistěte se, že všichni správci rozumí:

  • Architektura oprávnění a souhlasu
  • Jak funguje prostředí souhlasu a výzvy .
  • Postup vyhodnocení žádosti o souhlas správce v rámci celého tenanta

• Zkontrolujte stávající procesy vaší organizace, aby uživatelé požádali o schválení správcem aplikace, a v případě potřeby je aktualizujte. Pokud se změní procesy:

  • Aktualizujte příslušnou dokumentaci, monitorování, automatizaci atd.
  • Komunikujte změny procesů se všemi ovlivněnými uživateli, vývojáři, týmy podpory a správci IT.

Auditování a monitorování

• Auditujte aplikace a udělená oprávnění ve vaší organizaci, abyste měli jistotu, že k datům už nejsou uděleny žádné neoprávněné nebo podezřelé aplikace.

• Další osvědčené postupy a ochrana před podezřelými aplikacemi, které požadují souhlas OAuth, najdete v článku o zjištění a nápravě neoprávněných udělení souhlasu v Office 365.

• Pokud má vaše organizace příslušnou licenci:

  • Používejte další funkce auditování aplikací OAuth v Programu Microsoft Defender for Cloud Apps.
  • Pomocí služby Azure Monitor Workbooks můžete monitorovat oprávnění a aktivitu související se souhlasem. Sešit Přehledy souhlasu poskytuje zobrazení aplikací podle počtu neúspěšných žádostí o souhlas. Tyto informace vám můžou pomoct určit prioritu aplikací pro správce a rozhodnout se, jestli jim udělí souhlas správce.

Další aspekty pro snížení tření

Pokud chcete minimalizovat dopad na důvěryhodné, důležité obchodní aplikace, které se už používají, zvažte proaktivně udělení souhlasu správce aplikacím s vysokým počtem udělených souhlasu uživatele:

• Proveďte inventarizaci aplikací, které už byly do vaší organizace přidány s vysokým využitím, na základě protokolů přihlašování nebo aktivit udělení souhlasu. Skript PowerShellu můžete použít k rychlému a snadnému zjišťování aplikací s velkým počtem udělení souhlasu uživatele.

• Vyhodnoťte hlavní aplikace a udělte souhlas správce.

  Důležité

  Pečlivě vyhodnoťte aplikaci před udělením souhlasu správce v rámci celého tenanta, a to i v případě, že mnoho uživatelů v organizaci už souhlasilo.

• U každé schválené aplikace udělte souhlas správce celého tenanta a zvažte omezení přístupu uživatelů vyžadováním přiřazení uživatele.

Vyhodnocení žádosti o souhlas správce v rámci celého tenanta

Udělení souhlasu správce v rámci celého tenanta je citlivá operace. Oprávnění jsou udělena jménem celé organizace a můžou zahrnovat oprávnění k pokusům o vysoce privilegované operace. Příkladem takových operací je správa rolí, úplný přístup ke všem poštovním schránkám nebo všem webům a úplná zosobnění uživatele.

Než udělíte souhlas správce celého tenanta, je důležité zajistit, abyste aplikaci důvěřovali a vydavateli aplikace pro úroveň přístupu, kterou udělujete. Pokud si nejste jisti, že rozumíte tomu, kdo aplikaci řídí a proč aplikace žádá o oprávnění, neudělujte souhlas.

Při vyhodnocování žádosti o udělení souhlasu správce tady je několik doporučení, která byste měli zvážit:

• Seznamte se s oprávněními a architekturou souhlasu na platformě Microsoft Identity Platform.

• Seznamte se s rozdílem mezi delegovanými oprávněními a oprávněními aplikace.

  Oprávnění aplikace umožňují aplikaci přistupovat k datům pro celou organizaci bez zásahu uživatele. Delegovaná oprávnění umožňují aplikaci jednat jménem uživatele, který byl v určitém okamžiku přihlášený k aplikaci.

• Seznamte se s požadovanými oprávněními.

  Oprávnění požadovaná aplikací jsou uvedena v výzvě k vyjádření souhlasu. Rozbalením názvu oprávnění se zobrazí popis oprávnění. Popis oprávnění aplikace obvykle končí na "bez přihlášeného uživatele". Popis delegovaných oprávnění obecně končí textem "jménem přihlášeného uživatele". Oprávnění pro rozhraní Microsoft Graph API jsou popsaná v referenčních informacích k oprávněním Microsoft Graphu. Informace o oprávněních, která zpřístupňují, najdete v dokumentaci k ostatním rozhraním API.

  Pokud nerozumíte požadovanému oprávnění, neudělujte souhlas.

• Zjistěte, která aplikace požaduje oprávnění a kdo aplikaci publikoval.

  Dávejte pozor na škodlivé aplikace, které se snaží vypadat jako jiné aplikace.

  Pokud pochybujete o oprávněnosti aplikace nebo jejího vydavatele, neudělujte souhlas. Místo toho vyhledejte potvrzení (například přímo od vydavatele aplikace).

• Ujistěte se, že požadovaná oprávnění odpovídají funkcím, které od aplikace očekáváte.

  Například aplikace, která nabízí správu sharepointového webu, může vyžadovat delegovaný přístup ke čtení všech kolekcí webů, ale nemusí nutně potřebovat úplný přístup ke všem poštovním schránkám nebo úplným oprávněním zosobnění v adresáři.

  Pokud máte podezření, že aplikace požaduje více oprávnění, než potřebuje, neudělujte souhlas. Pokud chcete získat další podrobnosti, obraťte se na vydavatele aplikace.

Udělení souhlasu správce v rámci celého tenanta

Podrobné pokyny k udělení souhlasu správce v rámci celého tenanta z Centra pro správu Microsoft Entra najdete v tématu Udělení souhlasu správce v rámci celého tenanta pro aplikaci.

Odvolání souhlasu správce v rámci celého tenanta

Pokud chcete odvolat souhlas správce celého tenanta, můžete oprávnění udělená aplikacím zkontrolovat a odvolat. Další informace najdete v tématu Kontrola oprávnění udělených aplikacím. Přístup uživatele k aplikaci můžete odebrat také tak, že zakážete přihlášení uživatele k aplikaci nebo ji skryjete tak, aby se nezobravila na portálu Moje aplikace.

Udělení souhlasu jménem konkrétního uživatele

Místo udělení souhlasu pro celou organizaci může správce také s využitím rozhraní Microsoft Graph API udělit souhlas s delegovanými oprávněními jménem jednoho uživatele. Podrobný příklad, který používá Microsoft Graph PowerShell, najdete v tématu Udělení souhlasu jménem jednoho uživatele pomocí PowerShellu.

Omezení přístupu uživatelů k aplikacím

Přístup uživatelů k aplikacím může být stále omezený i v případě, že je udělen souhlas správce v rámci celého tenanta. Pokud chcete omezit přístup uživatelů, vyžadovat přiřazení uživatele k aplikaci. Další informace naleznete v tématu Metody pro přiřazování uživatelů a skupin. Správci můžou také omezit přístup uživatelů k aplikacím zakázáním všech budoucích operací souhlasu uživatele s libovolnou aplikací.

Širší přehled, včetně způsobu zpracování složitějších scénářů, najdete v tématu Použití ID Microsoft Entra pro správu přístupu k aplikacím.

Další kroky

• Konfigurace pracovního postupu souhlasu správce
• Konfigurace způsobu vyjadřování souhlasu uživatelů s aplikacemi