Megosztás a következőn keresztül:

Alkalmazás-hozzájárulások kezelése és a hozzájárulási kérések értékelése

  • Cikk

A Microsoft azt javasolja, hogy korlátozza a felhasználói hozzájárulást , hogy a felhasználók csak az ellenőrzött közzétevőktől származó alkalmazásokhoz és csak az Ön által kiválasztott engedélyekhez engedélyezzenek hozzájárulást. Azon alkalmazások esetében, amelyek nem felelnek meg ezeknek a feltételeknek, a döntéshozatali folyamat a szervezet biztonsági és identitásadminisztrátori csapatával van központosítva.

A felhasználói hozzájárulás letiltása vagy korlátozása után számos fontos lépést kell tennie a szervezet biztonságának megőrzéséhez, mivel továbbra is engedélyezi az üzleti szempontból kritikus fontosságú alkalmazások használatát. Ezek a lépések kulcsfontosságúak a szervezet támogatási csapatára és rendszergazdáira gyakorolt hatás minimalizálása, valamint a nem Microsoft-alkalmazásokban nem felügyelt fiókok használatának megakadályozása érdekében.

Ez a cikk útmutatást nyújt az alkalmazásokhoz való hozzájárulás kezeléséhez és a Microsoft javaslataiban szereplő hozzájárulási kérelmek kiértékeléséhez, beleértve a felhasználói hozzájárulás ellenőrzött közzétevőkre és a kiválasztott engedélyekre való korlátozását. Olyan fogalmakat tartalmaz, mint a folyamatmódosítások, a rendszergazdák oktatása, a naplózás és a figyelés, valamint a bérlőszintű rendszergazdai hozzájárulás kezelése.

Változások feldolgozása és oktatás

  • Fontolja meg a rendszergazdai hozzájárulási munkafolyamat engedélyezését, hogy a felhasználók közvetlenül a hozzájárulási képernyőről kérhessenek rendszergazdai jóváhagyást.

  • Győződjön meg arról, hogy minden rendszergazdának ismernie kell a következőt:

  • Tekintse át a szervezet meglévő folyamatait, amelyek alapján a felhasználók rendszergazdai jóváhagyást kérhetnek egy alkalmazáshoz, és szükség esetén frissíthetik őket. Ha a folyamatok módosulnak:

    • Frissítse a vonatkozó dokumentációt, monitorozást, automatizálást stb.
    • A folyamat változásainak közlése az érintett felhasználókkal, fejlesztőkkel, támogatási csapatokkal és informatikai rendszergazdákkal.

Naplózás és figyelés

A súrlódás csökkentésének egyéb szempontjai

A már használatban lévő megbízható, üzleti szempontból kritikus alkalmazásokra gyakorolt hatás minimalizálása érdekében fontolja meg proaktív módon a rendszergazdai hozzájárulás megadását a nagy számú felhasználói hozzájárulást kapó alkalmazásokhoz:

  • Készítsen leltárt a szervezethez már hozzáadott, magas kihasználtságú alkalmazásokról a bejelentkezési naplók vagy a hozzájárulás megadására vonatkozó tevékenység alapján. A PowerShell-szkriptekkel gyorsan és egyszerűen felderítheti azokat az alkalmazásokat, amelyekhez nagy számú felhasználói hozzájárulási engedélyt ad.

  • Értékelje ki a legfontosabb alkalmazásokat a rendszergazdai hozzájárulás megadásához.

    Fontos

    A bérlőszintű rendszergazdai hozzájárulás megadása előtt gondosan értékelje ki az alkalmazást, még akkor is, ha a szervezet számos felhasználója már beleegyezett.

  • Minden jóváhagyott alkalmazáshoz adjon bérlői szintű rendszergazdai hozzájárulást, és fontolja meg a felhasználói hozzáférés korlátozását felhasználói hozzárendelés megkövetelésével.

A bérlőszintű rendszergazdai hozzájárulás megadása érzékeny művelet. Az engedélyek a teljes szervezet nevében vannak megadva, és a magas szintű jogosultsági szintű műveletekre vonatkozó engedélyeket is tartalmazhatnak. Ilyen műveletek például a szerepkör-kezelés, az összes postaládához vagy minden webhelyhez való teljes hozzáférés, valamint a teljes felhasználói megszemélyesítés.

A bérlőszintű rendszergazdai hozzájárulás megadása előtt fontos meggyőződni arról, hogy megbízik az alkalmazásban és az alkalmazás közzétevőjében a megadott hozzáférési szinthez. Ha nem biztos abban, hogy tisztában van azzal, hogy ki szabályozza az alkalmazást, és miért kéri az alkalmazás az engedélyeket, ne adjon engedélyt.

A rendszergazdai hozzájárulás megadására irányuló kérés kiértékelésekor az alábbiakat érdemes megfontolni:

  • Ismerje meg a Microsoft Identitásplatform engedély- és hozzájárulási keretrendszerét.

  • Ismerje meg a delegált engedélyek és az alkalmazásengedélyek közötti különbséget.

    Az alkalmazásengedélyek lehetővé teszik, hogy az alkalmazás felhasználói beavatkozás nélkül hozzáférjen a teljes szervezet adataihoz. A delegált engedélyek lehetővé teszik, hogy az alkalmazás egy olyan felhasználó nevében járjon el, aki egy bizonyos ponton bejelentkezett az alkalmazásba.

  • Ismerje meg a kért engedélyeket.

    Az alkalmazás által kért engedélyek a hozzájárulási kérésben jelennek meg. Az engedély címének kibontásával megjelenik az engedély leírása. Az alkalmazásengedélyek leírása általában "bejelentkezett felhasználó nélkül" végződik. A delegált engedélyek leírása általában "a bejelentkezett felhasználó nevében" végződik. A Microsoft Graph API engedélyeit a Microsoft Graph engedélyeinek referenciája ismerteti. A közzétett engedélyek megismeréséhez tekintse meg a többi API dokumentációját.

    Ha nem érti a kért engedélyt, ne adjon hozzájárulást.

  • Ismerje meg, hogy melyik alkalmazás kér engedélyeket, és ki tette közzé az alkalmazást.

    Legyen óvatos a rosszindulatú alkalmazásokkal, amelyek más alkalmazásokhoz hasonlóan próbálnak kinézni.

    Ha kétségei vannak egy alkalmazás vagy annak közzétevője legitimitásában, ne adjon hozzájárulást. Ehelyett kérjen megerősítést (például közvetlenül az alkalmazás közzétevőjától).

  • Győződjön meg arról, hogy a kért engedélyek összhangban vannak az alkalmazástól elvárt funkciókkal.

    Előfordulhat például, hogy egy SharePoint-webhelykezelést kínáló alkalmazás delegált hozzáférést igényel az összes webhelycsoport olvasásához, de nem feltétlenül lenne szüksége teljes hozzáférésre az összes postaládához vagy a címtárban található teljes megszemélyesítési jogosultságokhoz.

    Ha azt gyanítja, hogy az alkalmazás több engedélyt kér, mint amire szüksége van, ne adjon hozzájárulást. További részletekért forduljon az alkalmazás közzétevőhöz.

A Microsoft Entra felügyeleti központ bérlőszintű rendszergazdai hozzájárulásának megadására vonatkozó részletes útmutatásért lásd : Bérlőszintű rendszergazdai hozzájárulás megadása egy alkalmazáshoz.

A bérlőszintű rendszergazdai hozzájárulás visszavonásához áttekintheti és visszavonhatja az alkalmazásnak korábban megadott engedélyeket. További információkért lásd az alkalmazásoknak adott felülvizsgálati engedélyeket. A felhasználó alkalmazáshoz való hozzáférését úgy is eltávolíthatja, hogy letiltja a felhasználói bejelentkezést az alkalmazásba , vagy elrejti az alkalmazást , hogy az ne jelenjen meg a Saját alkalmazások portálon.

Ahelyett, hogy az egész szervezet számára megadná a hozzájárulást, a rendszergazdának lehetősége van arra, hogy a Microsoft Graph API használatával hozzájárulást adjon a delegált engedélyekhez egy adott felhasználó nevében. A Microsoft Graph PowerShellt használó részletes példa: Hozzájárulás megadása egyetlen felhasználó nevében a PowerShell használatával.

A felhasználók alkalmazásokhoz való hozzáférésének korlátozása

Az alkalmazásokhoz való felhasználói hozzáférés továbbra is korlátozott lehet, még akkor is, ha bérlőszintű rendszergazdai hozzájárulást adnak. A felhasználói hozzáférés korlátozásához felhasználói hozzárendelést kell igényelnie egy alkalmazáshoz. További információ: Felhasználók és csoportok hozzárendelésének módszerei. A rendszergazdák úgy is korlátozhatják az alkalmazásokhoz való felhasználói hozzáférést, hogy minden jövőbeli felhasználói hozzájárulási műveletet letiltanak bármely alkalmazásra.

Az összetettebb forgatókönyvek kezelésével kapcsolatos átfogóbb áttekintésért tekintse meg a Microsoft Entra ID használata alkalmazáshozzáférés-kezeléshez című témakört.

Következő lépések