Alkalmazás-hozzájárulások kezelése és a hozzájárulási kérések értékelése

A Microsoft azt javasolja, hogy korlátozza a felhasználói hozzájárulást , hogy a felhasználók csak az ellenőrzött közzétevőktől származó alkalmazásokhoz és csak az Ön által kiválasztott engedélyekhez engedélyezzenek hozzájárulást. Azon alkalmazások esetében, amelyek nem felelnek meg ezeknek a feltételeknek, a döntéshozatali folyamat a szervezet biztonsági és identitásadminisztrátori csapatával van központosítva.

Miután letiltotta vagy korlátozta a felhasználói hozzájárulást, számos fontos lépést kell tennie a szervezet biztonságának megőrzéséhez, mivel továbbra is engedélyezi az üzleti szempontból kritikus fontosságú alkalmazások használatát. Ezek a lépések kulcsfontosságúak a szervezet támogatási csapatára és rendszergazdáira gyakorolt hatás minimalizálása, valamint a nem felügyelt fiókok külső alkalmazásokban való használatának megakadályozása érdekében.

Ez a cikk útmutatást nyújt az alkalmazásokhoz való hozzájárulás kezeléséhez és a Microsoft javaslataiban szereplő hozzájárulási kérelmek kiértékeléséhez, beleértve a felhasználói hozzájárulás ellenőrzött közzétevőkre és a kiválasztott engedélyekre való korlátozását. Olyan fogalmakat tartalmaz, mint a folyamatmódosítások, a rendszergazdák oktatása, a naplózás és a figyelés, valamint a bérlőszintű rendszergazdai hozzájárulás kezelése.

Változások feldolgozása és oktatás

• Fontolja meg a rendszergazdai hozzájárulási munkafolyamat engedélyezését, hogy a felhasználók közvetlenül a hozzájárulási képernyőről kérhessenek rendszergazdai jóváhagyást.

• Győződjön meg arról, hogy minden rendszergazdának ismernie kell a következőt:

  • Engedélyek és hozzájárulási keretrendszer
  • A hozzájárulási felület és a kérések működése.
  • Bérlőszintű rendszergazdai hozzájárulásra vonatkozó kérés kiértékelése.

• Tekintse át a szervezet meglévő folyamatait, amelyek alapján a felhasználók rendszergazdai jóváhagyást kérhetnek egy alkalmazáshoz, és szükség esetén frissíthetik őket. Ha a folyamatok módosulnak:

  • Frissítse a vonatkozó dokumentációt, monitorozást, automatizálást stb.
  • A folyamat változásainak közlése az érintett felhasználókkal, fejlesztőkkel, támogatási csapatokkal és informatikai rendszergazdákkal.

Naplózás és figyelés

• Az alkalmazások naplózása és a szervezeten belüli engedélyek megadása annak biztosítása érdekében, hogy korábban ne kapjanak jogosulatlan vagy gyanús alkalmazásokat az adatokhoz való hozzáféréshez.

• Tekintse át az Office 365 tiltott hozzájárulási támogatásainak észleléséről és elhárításáról szóló cikket, amely további ajánlott eljárásokat és védelmet nyújt az OAuth-hozzájárulást kérő gyanús alkalmazások ellen.

• Ha a szervezet rendelkezik a megfelelő licenccel:

  • Más OAuth-alkalmazások naplózási funkcióit is használhatja az Felhőhöz készült Microsoft Defender-alkalmazásokban.
  • Az Azure Monitor-munkafüzetek használatával figyelheti az engedélyeket és a hozzájárulással kapcsolatos tevékenységeket. A hozzájárulási Elemzések munkafüzet a sikertelen hozzájárulási kérelmek száma alapján jeleníti meg az alkalmazásokat. Ezek az információk segíthetnek rangsorolni az alkalmazásokat a rendszergazdák számára, hogy áttekintsék és eldöntsék, hogy engedélyezik-e nekik a rendszergazdai hozzájárulást.

A súrlódás csökkentésének egyéb szempontjai

A már használatban lévő megbízható, üzleti szempontból kritikus alkalmazásokra gyakorolt hatás minimalizálása érdekében fontolja meg proaktív módon a rendszergazdai hozzájárulás megadását a nagy számú felhasználói hozzájárulást kapó alkalmazásokhoz:

• Készítsen leltárt a szervezethez már hozzáadott, magas kihasználtságú alkalmazásokról a bejelentkezési naplók vagy a hozzájárulás megadására vonatkozó tevékenység alapján. A PowerShell-szkriptekkel gyorsan és egyszerűen felderítheti azokat az alkalmazásokat, amelyekhez nagy számú felhasználói hozzájárulási engedélyt ad.

• Értékelje ki a legfontosabb alkalmazásokat a rendszergazdai hozzájárulás megadásához.

  Fontos

  A bérlőszintű rendszergazdai hozzájárulás megadása előtt gondosan értékelje ki az alkalmazást, még akkor is, ha a szervezet számos felhasználója már beleegyezett.

• Minden jóváhagyott alkalmazáshoz adjon bérlői szintű rendszergazdai hozzájárulást, és fontolja meg a felhasználói hozzáférés korlátozását felhasználói hozzárendelés megkövetelésével.

Bérlőszintű rendszergazdai hozzájárulásra irányuló kérés értékelése

A bérlőszintű rendszergazdai hozzájárulás megadása érzékeny művelet. Az engedélyek a teljes szervezet nevében vannak megadva, és a magas szintű jogosultsági szintű műveletekre vonatkozó engedélyeket is tartalmazhatnak. Ilyen műveletek például a szerepkör-kezelés, az összes postaládához vagy minden webhelyhez való teljes hozzáférés, valamint a teljes felhasználói megszemélyesítés.

A bérlőszintű rendszergazdai hozzájárulás megadása előtt fontos meggyőződni arról, hogy megbízik az alkalmazásban és az alkalmazás közzétevőjében a megadott hozzáférési szinthez. Ha nem biztos abban, hogy tisztában van azzal, hogy ki irányítja az alkalmazást, és miért kéri az alkalmazás az engedélyeket, ne adjon engedélyt.

A rendszergazdai hozzájárulás megadására irányuló kérés kiértékelésekor az alábbiakat érdemes megfontolni:

• Ismerje meg a Microsoft Identitásplatform engedély- és hozzájárulási keretrendszerét.

• Ismerje meg a delegált engedélyek és az alkalmazásengedélyek közötti különbséget.

  Az alkalmazásengedélyek lehetővé teszik, hogy az alkalmazás felhasználói beavatkozás nélkül hozzáférjen a teljes szervezet adataihoz. A delegált engedélyek lehetővé teszik, hogy az alkalmazás egy olyan felhasználó nevében járjon el, aki egy bizonyos ponton bejelentkezett az alkalmazásba.

• Ismerje meg a kért engedélyeket.

  Az alkalmazás által kért engedélyek a hozzájárulási kérésben jelennek meg. Az engedély címének kibontásával megjelenik az engedély leírása. Az alkalmazásengedélyek leírása általában "bejelentkezett felhasználó nélkül" végződik. A delegált engedélyek leírása általában "a bejelentkezett felhasználó nevében" végződik. A Microsoft Graph API engedélyeit a Microsoft Graph engedélyeinek referenciája ismerteti. A közzétett engedélyek megismeréséhez tekintse meg a többi API dokumentációját.

  Ha nem érti a kért engedélyt, ne adjon hozzájárulást.

• Ismerje meg, hogy melyik alkalmazás kér engedélyeket, és ki tette közzé az alkalmazást.

  Legyen óvatos a rosszindulatú alkalmazásokkal, amelyek más alkalmazásokhoz hasonlóan próbálnak kinézni.

  Ha kétségei vannak egy alkalmazás vagy annak közzétevője legitimitásában, ne adjon hozzájárulást. Ehelyett kérjen megerősítést (például közvetlenül az alkalmazás közzétevőjától).

• Győződjön meg arról, hogy a kért engedélyek összhangban vannak az alkalmazástól elvárt funkciókkal.

  Előfordulhat például, hogy egy SharePoint-webhelykezelést kínáló alkalmazás delegált hozzáférést igényel az összes webhelycsoport olvasásához, de nem feltétlenül lenne szüksége teljes hozzáférésre az összes postaládához vagy a címtárban található teljes megszemélyesítési jogosultságokhoz.

  Ha azt gyanítja, hogy az alkalmazás több engedélyt kér, mint amire szüksége van, ne adjon hozzájárulást. További részletekért forduljon az alkalmazás közzétevőhöz.

Bérlőszintű rendszergazdai hozzájárulás megadása

A Microsoft Entra felügyeleti központ bérlőszintű rendszergazdai hozzájárulásának megadására vonatkozó részletes útmutatásért lásd : Bérlőszintű rendszergazdai hozzájárulás megadása egy alkalmazáshoz.

Bérlőszintű rendszergazdai hozzájárulás visszavonása

A bérlőszintű rendszergazdai hozzájárulás visszavonásához áttekintheti és visszavonhatja az alkalmazásnak korábban megadott engedélyeket. További információkért lásd az alkalmazásoknak adott felülvizsgálati engedélyeket. A felhasználó alkalmazáshoz való hozzáférését úgy is eltávolíthatja, hogy letiltja a felhasználói bejelentkezést az alkalmazásba , vagy elrejti az alkalmazást , hogy az ne jelenjen meg a Saját alkalmazások portálon.

Hozzájárulás megadása egy adott felhasználó nevében

Ahelyett, hogy az egész szervezet számára megadná a hozzájárulást, a rendszergazdának lehetősége van arra, hogy a Microsoft Graph API használatával hozzájárulást adjon a delegált engedélyekhez egy adott felhasználó nevében. A Microsoft Graph PowerShellt használó részletes példa: Hozzájárulás megadása egyetlen felhasználó nevében a PowerShell használatával.

A felhasználók alkalmazásokhoz való hozzáférésének korlátozása

Az alkalmazásokhoz való felhasználói hozzáférés továbbra is korlátozott lehet, még akkor is, ha a bérlőszintű rendszergazdai hozzájárulást megadták. A felhasználói hozzáférés korlátozásához felhasználói hozzárendelést kell igényelnie egy alkalmazáshoz. További információ: Felhasználók és csoportok hozzárendelésének módszerei. Rendszergazda istratorok korlátozhatják az alkalmazásokhoz való felhasználói hozzáférést úgy is, hogy minden jövőbeli felhasználói hozzájárulási műveletet letiltanak bármely alkalmazásra.

Az összetettebb forgatókönyvek kezelésével kapcsolatos átfogóbb áttekintésért tekintse meg a Microsoft Entra ID használata alkalmazáshozzáférés-kezeléshez című témakört.

Következő lépések

• A rendszergazdai hozzájárulás munkafolyamatának konfigurálása
• A felhasználók alkalmazásokra vonatkozó hozzájárulásának konfigurálása