Gestire il consenso alle applicazioni e valutare le richieste di consenso

Microsoft consiglia di limitare il consenso dell'utente per consentire agli utenti di fornire il consenso solo per le app degli editori verificati e solo per le autorizzazioni selezionate. Per le app che non soddisfano questi criteri, il processo decisionale è centralizzato con il team di amministratore delle identità e della sicurezza dell'organizzazione.

Dopo aver disabilitato o limitato il consenso degli utenti, è necessario eseguire diversi passaggi importanti per proteggere l'organizzazione man mano che si continua a consentire l'uso di applicazioni critiche per l'azienda. Questi passaggi sono fondamentali per ridurre al minimo l'impatto sul team di supporto dell'organizzazione e sugli amministratori IT e per evitare l'uso di account non gestiti nelle applicazioni di terze parti.

Questo articolo fornisce indicazioni sulla gestione del consenso alle applicazioni e sulla valutazione delle richieste di consenso nelle raccomandazioni di Microsoft, inclusa la limitazione del consenso dell'utente agli editori verificati e alle autorizzazioni selezionate. Vengono illustrati concetti quali modifiche ai processi, formazione per amministratori, controllo e monitoraggio e gestione del consenso amministratore a livello di tenant.

Processi di modifica e istruzione

• Valutare la possibilità di abilitare il flusso di lavoro di consenso amministratore per consentire agli utenti di richiedere l'approvazione dell'amministratore direttamente dalla schermata di consenso.

• Assicurarsi che tutti gli amministratori comprendano quanto segue:

  • Autorizzazioni e framework di consenso
  • Funzionamento dell'esperienza di consenso e delle richieste di consenso.
  • Come valutare una richiesta di consenso amministratore a livello di tenant.

• Esaminare i processi esistenti dell'organizzazione per consentire agli utenti di richiedere l'approvazione dell'amministratore per un'applicazione e aggiornarli, se necessario. Se i processi vengono modificati:

  • Aggiornare la documentazione pertinente, il monitoraggio, l'automazione e così via.
  • Comunicare le modifiche al processo a tutti gli utenti, gli sviluppatori, i team di supporto e gli amministratori IT interessati.

Controllo e monitoraggio

• Controllare le app e concedere le autorizzazioni nell'organizzazione per assicurarsi che non siano state concesse applicazioni sospette o non autorizzate a cui è stato precedentemente concesso l'accesso ai dati.

• Vedere l'articolo Rilevare e correggere le concessioni di consenso illecite in Office 365 per altre procedure consigliate e misure di sicurezza contro applicazioni sospette che richiedono il consenso OAuth.

• Se l'organizzazione ha la licenza appropriata:

  • Usare altre funzionalità di controllo delle applicazioni OAuth in Microsoft Defender per il cloud Apps.
  • Usare cartelle di lavoro di Monitoraggio di Azure per monitorare le autorizzazioni e le attività correlate al consenso. La cartella di lavoro Consent Insights offre una visualizzazione delle app in base al numero di richieste di consenso non riuscite. Queste informazioni consentono di classificare in ordine di priorità le applicazioni per gli amministratori di esaminare e decidere se concedere loro il consenso amministratore.

Altre considerazioni sulla riduzione dell'attrito

Per ridurre al minimo l'impatto sulle applicazioni attendibili e critiche per l'azienda già in uso, è consigliabile concedere in modo proattivo il consenso dell'amministratore alle applicazioni con un numero elevato di concessioni di consenso utente:

• Prendere un inventario delle app già aggiunte all'organizzazione con un utilizzo elevato, in base ai log di accesso o all'attività di concessione del consenso. È possibile usare uno script di PowerShell per individuare rapidamente e facilmente le applicazioni con un numero elevato di concessioni di consenso utente.

• Valutare le principali applicazioni per concedere il consenso amministratore.

  Importante

  Valutare attentamente un'applicazione prima di concedere il consenso amministratore a livello di tenant, anche se molti utenti dell'organizzazione hanno già acconsentito per se stessi.

• Per ogni applicazione approvata, concedere il consenso amministratore a livello di tenant e valutare la possibilità di limitare l'accesso degli utenti richiedendo l'assegnazione dell'utente.

Valutare una richiesta di consenso amministratore a livello di tenant

La concessione del consenso amministratore a livello di tenant è un'operazione delicata. Le autorizzazioni vengono concesse per conto dell'intera organizzazione e possono includere le autorizzazioni per tentare operazioni con privilegi elevati. Esempi di tali operazioni sono la gestione dei ruoli, l'accesso completo a tutte le cassette postali o a tutti i siti e la rappresentazione dell'utente completa.

Prima di concedere il consenso amministratore a livello di tenant, è importante assicurarsi che l'applicazione e il server di pubblicazione dell'applicazione siano attendibili per il livello di accesso concesso. Se non si è certi di sapere chi controlla l'applicazione e perché l'applicazione richiede le autorizzazioni, non concedere il consenso.

Quando si valuta una richiesta di concedere il consenso amministratore, ecco alcuni consigli da considerare:

• Comprendere le autorizzazioni e il framework di consenso in Microsoft Identity Platform.

• Comprendere la differenza tra autorizzazioni delegate e autorizzazioni dell'applicazione.

  Le autorizzazioni dell'applicazione consentono all'applicazione di accedere ai dati per l'intera organizzazione, senza alcuna interazione dell'utente. Le autorizzazioni delegate consentono all'applicazione di agire per conto di un utente che ha eseguito l'accesso all'applicazione in un dato momento.

• Comprendere le autorizzazioni richieste.

  Le autorizzazioni richieste dall'applicazione sono elencate nella richiesta di consenso. Se si espande il titolo dell'autorizzazione viene visualizzata la descrizione dell'autorizzazione. La descrizione per le autorizzazioni dell'applicazione termina in genere in "senza un utente connesso". La descrizione delle autorizzazioni delegate termina in genere con "per conto dell'utente connesso". Le autorizzazioni per l'API Microsoft Graph sono descritte in Informazioni di riferimento sulle autorizzazioni di Microsoft Graph. Fare riferimento alla documentazione per altre API per comprendere le autorizzazioni esposte.

  Se non si riconosce un'autorizzazione richiesta, non concedere il consenso.

• Comprendere quale applicazione richiede autorizzazione e chi ha pubblicato l'applicazione.

  Fare attenzione alle applicazioni dannose che tentano di apparire come altre applicazioni.

  Se si dubita della legittimità di un'applicazione o del suo editore, non concedere il consenso. Verificarne invece la legittimità, ad esempio rivolgendosi direttamente all'editore dell'applicazione.

• Assicurarsi che le autorizzazioni richieste siano allineate alle funzionalità previste dall'applicazione.

  Ad esempio, un'applicazione che offre la gestione del sito di SharePoint potrebbe richiedere l'accesso delegato a tutte le raccolte siti, ma non richiede necessariamente l'accesso completo a tutte le cassette postali o privilegi di rappresentazione completi nella directory.

  Se si sospetta che l'applicazione richieda più autorizzazioni di quelle necessarie, non concedere il consenso. Contattare l'editore dell'applicazione per ottenere altri dettagli.

Concedere il consenso amministratore a livello di tenant

Per istruzioni dettagliate per concedere il consenso amministratore a livello di tenant dall'interfaccia di amministrazione di Microsoft Entra, vedere Concedere il consenso amministratore a livello di tenant a un'applicazione.

Revocare il consenso amministratore a livello di tenant

Per revocare il consenso amministratore a livello di tenant, è possibile esaminare e revocare le autorizzazioni concesse in precedenza all'applicazione. Per altre informazioni, vedere Esaminare le autorizzazioni concesse alle applicazioni. È anche possibile rimuovere l'accesso dell'utente all'applicazione disabilitando l'accesso utente all'applicazione o nascondendo l'applicazione in modo che non venga visualizzata nel portale App personali.

Concedere il consenso per conto di un utente specifico

Invece di concedere il consenso per l'intera organizzazione, un amministratore può anche usare l'API Microsoft Graph per concedere il consenso per autorizzazioni delegate per conto di un singolo utente. Per un esempio dettagliato che usa Microsoft Graph PowerShell, vedere Concedere il consenso per conto di un singolo utente tramite PowerShell.

Limitare l'accesso utente alle applicazioni

L'accesso utente alle applicazioni può comunque essere limitato anche quando è stato concesso il consenso amministratore a livello di tenant. Per limitare l'accesso utente, richiedere l'assegnazione dell'utente a un'applicazione. Per altre informazioni, vedere Metodi per l'assegnazione di utenti e gruppi. Amministrazione istrator può anche limitare l'accesso utente alle applicazioni disabilitando tutte le operazioni future di consenso utente a qualsiasi applicazione.

Per una panoramica più ampia, tra cui come gestire scenari più complessi, vedere Use Microsoft Entra ID for application access management .For a broad overview, including how to handle more complex scenarios, see Use Microsoft Entra ID for application access management.For a broad overview, including how to handle more complex scenarios, see Use Microsoft Entra ID for application access management.

Passaggi successivi

• Configurare il flusso di lavoro di consenso dell'amministratore
• Configurare la modalità con cui gli utenti finali forniscono il consenso alle applicazioni