Gestire il consenso alle applicazioni e valutare le richieste di consenso

Microsoft consiglia di limitare il consenso utente per consentire agli utenti di fornire il consenso solo per le app di editori verificati e solo per le autorizzazioni selezionate. Per le app che non soddisfano questi criteri, il processo decisionale è centralizzato con il team di amministrazione delle identità e della sicurezza dell'organizzazione.

Dopo aver disabilitato o limitato il consenso dell'utente, è necessario eseguire diversi passaggi importanti per proteggere l'organizzazione man mano che si continua a consentire l'uso di applicazioni critiche per l'azienda. Questi passaggi sono fondamentali per ridurre al minimo l'impatto sul team di supporto dell'organizzazione e sugli amministratori IT e per evitare l'uso di account non gestiti nelle applicazioni non Microsoft.

Questo articolo fornisce indicazioni sulla gestione del consenso alle applicazioni e sulla valutazione delle richieste di consenso nelle raccomandazioni di Microsoft, inclusa la limitazione del consenso utente agli editori verificati e alle autorizzazioni selezionate. Vengono illustrati concetti quali modifiche ai processi, formazione per amministratori, controllo e monitoraggio e gestione del consenso amministratore a livello di tenant.

Processi di modifica e formazione

• Valutare la possibilità di abilitare il flusso di lavoro di consenso amministratore in modo da consentire agli utenti di richiedere l'approvazione dell'amministratore direttamente dalla schermata di consenso.

• Assicurarsi che tutti gli amministratori comprendano quanto segue:

  • Framework di autorizzazioni e consenso
  • Come funzionano l'esperienza di consenso e le richieste.
  • Come valutare una richiesta di consenso amministratore a livello di tenant.

• Esaminare i processi esistenti dell'organizzazione per consentire agli utenti di richiedere l'approvazione dell'amministratore per un'applicazione e aggiornarli, se necessario. Se i processi vengono modificati:

  • Aggiornare la documentazione pertinente, il monitoraggio, l'automazione e così via.
  • Comunicare le modifiche ai processi a tutti gli utenti, gli sviluppatori, i team di supporto e gli amministratori IT interessati.

Controllo e monitoraggio

• Controlla le app e le autorizzazioni concesse all'organizzazione per garantire che non siano già concesse applicazioni sospette o non autorizzate ai dati.

• Vedere l'articolo Rilevare e correggere le concessioni di consenso illecite in Office 365 per altre procedure consigliate e misure di sicurezza per le applicazioni sospette che richiedono il consenso OAuth.

• Se l'organizzazione dispone della licenza appropriata:

  • Usare altre funzionalità di controllo delle applicazioni OAuth in Microsoft Defender for Cloud Apps.
  • Usare Cartelle di lavoro di Monitoraggio di Azure per monitorare le autorizzazioni e le attività correlate al consenso. La cartella di lavoro Informazioni dettagliate sul consenso offre una visualizzazione delle app in base al numero di richieste di consenso non riuscite. Queste informazioni consentono di classificare in ordine di priorità le applicazioni che dovranno essere verificate dagli amministratori per decidere se concedere loro il consenso amministratore.

Altre considerazioni per la riduzione dell'attrito

Per ridurre al minimo l'impatto sulle applicazioni attendibili e critiche per l'azienda già in uso, è consigliabile concedere in modo proattivo il consenso amministratore alle applicazioni con un numero elevato di concessioni di consenso utente:

• Effettuare un inventario delle app con utilizzo elevato già aggiunte all'organizzazione, in base ai log di accesso o all'attività di concessione del consenso. È possibile usare uno script di PowerShell per individuare rapidamente e facilmente le applicazioni con un numero elevato di concessioni di consenso utente.

• Valutare le principali applicazioni a cui concedere il consenso amministratore.

  Importante

  Valutare attentamente un'applicazione prima di concedere il consenso amministratore a livello di tenant, anche se molti utenti dell'organizzazione hanno già acconsentito per se stessi.

• Per ogni applicazione approvata, concedere il consenso amministratore a livello di tenant e valutare la possibilità di limitare l'accesso utente richiedendo l'assegnazione utente.

Valutare una richiesta di consenso amministratore a livello di tenant

La concessione del consenso amministratore a livello di tenant è un'operazione delicata. Le autorizzazioni vengono concesse per conto dell'intera organizzazione e possono includere le autorizzazioni per tentare operazioni con privilegi elevati. Esempi di tali operazioni sono la gestione dei ruoli, l'accesso completo a tutte le cassette postali o a tutti i siti e la rappresentazione dell'utente completa.

Prima di concedere il consenso amministratore a livello di tenant, è importante assicurarsi che l'applicazione e il server di pubblicazione dell'applicazione siano attendibili per il livello di accesso concesso. Se non si è sicuri di capire chi controlla l'applicazione e perché l'applicazione richiede le autorizzazioni, non concedere il consenso.

Quando si valuta una richiesta di concedere il consenso amministratore, ecco alcuni consigli da considerare:

• Acquisire informazioni sul framework per autorizzazioni e consenso in Microsoft Identity Platform.

• Comprendere le differenze tra autorizzazioni delegate e autorizzazioni dell'applicazione.

  Le autorizzazioni dell'applicazione consentono all'applicazione di accedere ai dati per l'intera organizzazione, senza alcuna interazione dell'utente. Le autorizzazioni delegate consentono all'applicazione di agire per conto di un utente che ha eseguito l'accesso all'applicazione in un dato momento.

• Comprendere le autorizzazioni richieste.

  Le autorizzazioni richieste dall'applicazione sono elencate nella richiesta di consenso. Se si espande il titolo dell'autorizzazione viene visualizzata la descrizione dell'autorizzazione. La descrizione per le autorizzazioni dell'applicazione termina in genere con "senza un utente connesso". La descrizione per le autorizzazioni delegate termina in genere con "per conto dell'utente connesso". Le autorizzazioni per l'API Microsoft Graph sono descritte in Informazioni di riferimento sulle autorizzazioni di Microsoft Graph. Fare riferimento alla documentazione per altre API per comprendere le autorizzazioni esposte.

  Se non si comprende il senso di un'autorizzazione richiesta, non concedere il consenso.

• Comprendere quale applicazione richiede autorizzazione e chi ha pubblicato l'applicazione.

  Prestare attenzione alle applicazioni dannose che tentano di apparire come altre applicazioni.

  Se si dubita della legittimità di un'applicazione o del relativo editore, non concedere il consenso. Verificarne invece la legittimità, ad esempio rivolgendosi direttamente all'editore dell'applicazione.

• Assicurarsi che le autorizzazioni richieste siano allineate alle funzionalità previste dell'applicazione.

  Ad esempio, un'applicazione che offre la gestione del sito di SharePoint potrebbe richiedere l'accesso delegato per la lettura di tutte le raccolte del sito, ma non richiede necessariamente l'accesso completo a tutte le cassette postali o privilegi di rappresentazione completi nella directory.

  Se si sospetta che l'applicazione richieda più autorizzazioni del necessario, non concedere il consenso. Contattare l'editore dell'applicazione per ottenere altri dettagli.

Concedere il consenso amministratore a livello di tenant

Vedere Concedere a un'applicazione il consenso amministratore a livello di tenant per istruzioni dettagliate per la concessione del consenso amministratore a livello di tenant dall'interfaccia di amministrazione di Microsoft Entra.

Revocare il consenso amministratore a livello di tenant

Per revocare il consenso amministratore a livello di tenant, è possibile verificare e revocare le autorizzazioni concesse in precedenza all'applicazione. Per altre informazioni, vedere Esaminare le autorizzazioni concesse alle applicazioni. È anche possibile rimuovere l'accesso dell'utente all'applicazione disabilitando l'accesso utente all'applicazione o nascondendo l'applicazione affinché non venga visualizzata nel portale App personali.

Concedere il consenso per conto di un utente specifico

Invece di concedere il consenso per l'intera organizzazione, un amministratore può anche usare l'API Microsoft Graph per concedere il consenso per autorizzazioni delegate per conto di un singolo utente. Per un esempio dettagliato che usa Microsoft Graph PowerShell, vedere Concedere il consenso per conto di un singolo utente usando PowerShell.

Limitare l'accesso utente alle applicazioni

L'accesso utente alle applicazioni può comunque essere limitato anche quando viene concesso il consenso amministratore a livello di tenant. Per limitare l'accesso utente, richiedere l'assegnazione dell'utente a un'applicazione. Per altre informazioni, vedere Metodi per l'assegnazione di utenti e gruppi. Gli amministratori possono anche limitare l'accesso degli utenti alle applicazioni disabilitando tutte le operazioni future di consenso utente a qualsiasi applicazione.

Per una panoramica più ampia, tra cui come gestire scenari più complessi, vedere Usare Microsoft Entra ID per la gestione dell'accesso alle applicazioni.

Passaggi successivi

• Configurare il flusso di lavoro di consenso dell'amministratore
• Configurare la modalità con cui gli utenti finali forniscono il consenso alle applicazioni