Mengelola persetujuan untuk aplikasi dan mengevaluasi permintaan persetujuan
Microsoft menyarankan Anda membatasi persetujuan pengguna untuk mengizinkan pengguna memberikan persetujuan hanya untuk aplikasi dari penerbit terverifikasi, dan hanya untuk izin yang Anda pilih. Untuk aplikasi yang tidak memenuhi kriteria ini, proses pengambilan keputusan dipusatkan dengan tim administrator keamanan dan identitas organisasi Anda.
Setelah menonaktifkan atau membatasi persetujuan pengguna, Anda memiliki beberapa langkah penting yang harus diambil untuk membantu menjaga keamanan organisasi Anda saat Anda terus mengizinkan aplikasi penting bagi bisnis untuk digunakan. Langkah-langkah ini sangat penting untuk meminimalkan dampak pada tim dukungan organisasi Anda dan administrator TI, dan untuk membantu mencegah penggunaan akun yang tidak dikelola dalam aplikasi non-Microsoft.
Artikel ini menyediakan panduan tentang mengelola persetujuan untuk aplikasi dan mengevaluasi permintaan persetujuan dalam rekomendasi Microsoft, termasuk membatasi persetujuan pengguna untuk penerbit terverifikasi dan izin yang dipilih. Ini mencakup konsep seperti perubahan proses, pendidikan untuk administrator, audit dan pemantauan, dan mengelola persetujuan admin di seluruh penyewa.
Memproses perubahan dan pendidikan
Pertimbangkan untuk mengaktifkan alur kerja persetujuan admin untuk mengizinkan pengguna meminta persetujuan administrator langsung dari layar persetujuan.
Pastikan bahwa semua administrator memahami:
- Kerangka kerja izin dan persetujuan
- Cara kerja pengalaman persetujuan dan permintaan.
- Cara mengevaluasi permintaan persetujuan admin di seluruh penyewa.
Tinjau proses yang ada di organisasi Anda untuk pengguna guna meminta persetujuan administrator untuk aplikasi, dan perbarui jika perlu. Jika proses diubah:
- Perbarui dokumentasi yang relevan, pemantauan, otomatisasi, dan sebagainya.
- Komunikasikan perubahan proses kepada semua pengguna, pengembang, tim dukungan, dan administrator TI yang terpengaruh.
Audit dan Pemantauan
Mengaudit aplikasi dan memberikan izin di organisasi Anda untuk memastikan bahwa tidak ada aplikasi yang tidak beralasan atau mencurigakan yang sudah diberikan akses ke data.
Tinjau artikel Deteksi dan Remediasi Pemberian Persetujuan Terlarang di Office 365 untuk praktik terbaik dan perlindungan lainnya terhadap aplikasi mencurigakan yang meminta izin OAuth.
Jika organisasi Anda memiliki lisensi yang sesuai:
- Gunakan fitur audit aplikasi OAuth lainnya di Pertahanan Microsoft untuk Aplikasi Cloud.
- Gunakan Buku Kerja Azure Monitor untuk memantau izin dan aktivitas terkait persetujuan. Buku kerja Wawasan Persetujuan memberikan gambaran aplikasi berdasarkan jumlah permintaan persetujuan yang gagal. Informasi ini dapat membantu Anda memprioritaskan aplikasi untuk ditinjau oleh administrator dan memutuskan apakah akan memberikan izin admin kepada mereka.
Pertimbangan lain untuk mengurangi gesekan
Untuk meminimalkan dampak pada aplikasi tepercaya dan penting bagi bisnis yang sudah digunakan, pertimbangkan untuk memberikan persetujuan administrator secara proaktif ke aplikasi yang memiliki jumlah pemberian persetujuan pengguna yang tinggi:
Buat inventaris aplikasi yang telah ditambahkan ke organisasi Anda dengan penggunaan tinggi, berdasarkan log masuk atau aktivitas pemberian persetujuan. Anda dapat menggunakan skrip PowerShell untuk menemukan aplikasi dengan cepat dan mudah dengan sejumlah besar pemberian persetujuan pengguna.
Evaluasi aplikasi teratas untuk memberikan persetujuan admin.
Penting
Evaluasi aplikasi dengan cermat sebelum memberikan persetujuan admin seluruh penyewa, meskipun banyak pengguna di organisasi telah menyetujui untuk diri mereka sendiri.
Untuk setiap aplikasi yang disetujui, berikan persetujuan admin seluruh penyewa dan pertimbangkan untuk membatasi akses pengguna dengan memerlukan penetapan pengguna.
Mengevaluasi permintaan untuk persetujuan admin di seluruh penyewa
Memberikan persetujuan admin seluruh penyewa adalah operasi sensitif. Izin diberikan atas nama seluruh organisasi, dan mereka dapat menyertakan izin untuk mencoba operasi yang sangat istimewa. Contoh operasi tersebut adalah manajemen peran, akses penuh ke semua kotak surat atau semua situs, dan peniruan pengguna penuh.
Sebelum Anda memberikan persetujuan admin di seluruh penyewa, penting untuk memastikan bahwa Anda memercayai aplikasi, dan penerbit aplikasi untuk tingkat akses yang Anda berikan. Jika tidak yakin bahwa Anda memahami siapa yang mengontrol aplikasi dan mengapa aplikasi tersebut meminta izin, jangan berikan persetujuan.
Saat Anda mengevaluasi permintaan untuk memberikan persetujuan kepada admin, berikut beberapa rekomendasi untuk dipertimbangkan:
Pahami izin dan kerangka kerja persetujuan dalam platform identitas Microsoft.
Pahami perbedaan antara izin yang didelegasikan dan izin aplikasi.
Izin aplikasi memungkinkan aplikasi mengakses data untuk seluruh organisasi, tanpa interaksi pengguna apa pun. Izin yang didelegasikan mengizinkan aplikasi untuk bertindak atas nama pengguna yang masuk ke aplikasi di beberapa titik.
Pahami izin yang diminta.
Izin yang diminta oleh aplikasi tercantum dalam permintaan persetujuan. Memperluas judul izin yang menampilkan deskripsi izin. Deskripsi untuk izin aplikasi biasanya diakhiri dengan "tanpa pengguna masuk". Deskripsi untuk izin yang didelegasikan biasanya diakhiri dengan "atas nama pengguna masuk". Izin untuk Microsoft Graph API dijelaskan di Referensi Izin Microsoft Graph. Lihat dokumentasi untuk API lain guna memahami izin yang mereka tampilkan.
Jika Anda tidak memahami izin yang diminta, jangan berikan izin.
Pahami aplikasi mana yang meminta izin dan siapa yang menerbitkan aplikasi.
Berhati-hatilah terhadap aplikasi berbahaya yang mencoba terlihat seperti aplikasi lain.
Jika Anda meragukan keabsahan aplikasi atau penerbitnya, jangan berikan persetujuan. Sebagai gantinya, cari konfirmasi (misalnya, langsung dari penerbit aplikasi).
Pastikan bahwa izin yang diminta selaras dengan fitur yang Anda harapkan dari aplikasi.
Misalnya, aplikasi yang menawarkan manajemen situs SharePoint mungkin memerlukan akses yang didelegasikan untuk membaca semua kumpulan situs, tetapi tidak memerlukan akses penuh ke semua kotak surat, atau hak istimewa peniruan penuh dalam direktori.
Jika Anda menduga bahwa aplikasi meminta izin lebih dari yang dibutuhkan, jangan berikan izin. Hubungi penerbit aplikasi untuk mendapatkan detail selengkapnya.
Memberikan persetujuan admin di seluruh penyewa
Untuk instruksi langkah demi langkah untuk memberikan persetujuan admin di seluruh penyewa dari pusat admin Microsoft Entra, lihat Memberikan persetujuan admin di seluruh penyewa ke aplikasi.
Mencabut persetujuan admin di seluruh penyewa
Untuk mencabut persetujuan admin di seluruh penyewa, Anda dapat meninjau dan mencabut izin yang sebelumnya diberikan ke aplikasi. Untuk informasi selengkapnya, lihat meninjau izin yang diberikan ke aplikasi. Anda juga dapat menghapus akses pengguna ke aplikasi dengan menonaktifkan akses masuk pengguna ke aplikasi atau dengan menyembunyikan aplikasi sehingga tidak muncul di portal Aplikasi Saya.
Memberikan persetujuan atas nama pengguna tertentu
Alih-alih memberikan persetujuan untuk seluruh organisasi, administrator juga dapat menggunakan API Microsoft Graph untuk memberikan persetujuan kepada izin yang didelegasikan atas nama satu pengguna. Untuk contoh terperinci yang menggunakan Microsoft Graph PowerShell, lihat Memberikan izin atas nama satu pengguna menggunakan PowerShell.
Membatasi akses pengguna ke aplikasi
Akses pengguna ke aplikasi masih dapat dibatasi bahkan ketika persetujuan admin di seluruh penyewa diberikan. Untuk membatasi akses pengguna, wajibkan aplikasi untuk menerapkan penetapan pengguna. Untuk mengetahui informasi selengkapnya, lihat Metode untuk menetapkan pengguna dan grup. Administrator juga dapat membatasi akses pengguna ke aplikasi dengan menonaktifkan semua operasi persetujuan pengguna di masa mendatang untuk aplikasi apa pun.
Untuk gambaran umum yang lebih luas, termasuk cara menangani skenario yang lebih kompleks, lihat Menggunakan ID Microsoft Entra untuk manajemen akses aplikasi.