Toestemming voor apps beheren en toestemmingsaanvragen evalueren
Microsoft raadt u aan om gebruikerstoestemming te beperken zodat gebruikers alleen toestemming kunnen geven voor apps van geverifieerde uitgevers en alleen voor machtigingen die u selecteert. Voor apps die niet aan deze criteria voldoen, wordt het besluitvormingsproces gecentraliseerd met het beveiligings- en identiteitsbeheerdersteam van uw organisatie.
Nadat u gebruikerstoestemming hebt uitgeschakeld of beperkt, moet u verschillende belangrijke stappen uitvoeren om uw organisatie veilig te houden wanneer u bedrijfskritieke toepassingen blijft gebruiken. Deze stappen zijn van cruciaal belang om de impact op het ondersteuningsteam en IT-beheerders van uw organisatie te minimaliseren en om het gebruik van niet-beheerde accounts in niet-Microsoft-toepassingen te voorkomen.
Dit artikel bevat richtlijnen voor het beheren van toestemming voor toepassingen en het evalueren van toestemmingsaanvragen in de aanbevelingen van Microsoft, waaronder het beperken van gebruikerstoestemming voor geverifieerde uitgevers en geselecteerde machtigingen. Het behandelt concepten zoals proceswijzigingen, onderwijs voor beheerders, controle en controle en het beheren van beheerderstoestemming voor de hele tenant.
Wijzigingen en onderwijs verwerken
Overweeg om de werkstroom voor beheerderstoestemming in te schakelen zodat gebruikers toestemming van de beheerder rechtstreeks vanuit het toestemmingsscherm kunnen aanvragen.
Zorg ervoor dat alle beheerders het volgende begrijpen:
- Machtigingen en toestemmingsframework
- Hoe de toestemmingservaring en prompts werken.
- Een aanvraag voor beheerderstoestemming voor de hele tenant evalueren.
Controleer de bestaande processen van uw organisatie voor gebruikers om beheerdersgoedkeuring voor een toepassing aan te vragen en werk deze indien nodig bij. Als processen worden gewijzigd:
- Werk de relevante documentatie, bewaking, automatisering enzovoort bij.
- Communiceer proceswijzigingen voor alle betrokken gebruikers, ontwikkelaars, ondersteuningsteams en IT-beheerders.
Controle en bewaking
Controleer apps en verleende machtigingen in uw organisatie om ervoor te zorgen dat er al geen niet-gewaagde of verdachte toepassingen toegang hebben tot gegevens.
Raadpleeg het artikel Illegale toestemmingstoekenningen detecteren en herstellen in Office 365 voor meer aanbevolen procedures en beveiliging tegen verdachte toepassingen die OAuth-toestemming aanvragen.
Als uw organisatie over de juiste licentie beschikt:
- Gebruik andere OAuth-toepassingscontrolefuncties in Microsoft Defender voor Cloud Apps.
- Gebruik Azure Monitor Workbooks om machtigingen en toestemmingsgerelateerde activiteiten te bewaken. De werkmap Consent Insights biedt een overzicht van apps op basis van het aantal mislukte toestemmingsaanvragen. Deze informatie kan u helpen bij het prioriteren van toepassingen die beheerders kunnen beoordelen en bepalen of ze beheerderstoestemming moeten verlenen.
Andere overwegingen voor het verminderen van wrijving
Als u de impact op vertrouwde, bedrijfskritische toepassingen die al in gebruik zijn, wilt minimaliseren, kunt u proactief beheerderstoestemming verlenen aan toepassingen met een groot aantal gebruikerstoestemmingen:
Inventariseer de apps die al aan uw organisatie zijn toegevoegd met een hoog gebruik, op basis van aanmeldingslogboeken of toestemmingstoestemmingsactiviteiten. U kunt een PowerShell-script gebruiken om snel en eenvoudig toepassingen te detecteren met een groot aantal gebruikerstoestemmingstoestemmingen.
Evalueer de belangrijkste toepassingen om beheerderstoestemming te verlenen.
Belangrijk
Evalueer een toepassing zorgvuldig voordat u beheerderstoestemming voor de hele tenant verleent, zelfs als veel gebruikers in de organisatie al toestemming hebben gegeven voor zichzelf.
Voor elke goedgekeurde toepassing verleent u beheerderstoestemming voor de hele tenant en kunt u overwegen om gebruikerstoegang te beperken door gebruikerstoewijzing te vereisen.
Een aanvraag voor tenantbrede beheerderstoestemming evalueren
Het verlenen van beheerderstoestemming voor de hele tenant is een gevoelige bewerking. Machtigingen worden verleend namens de hele organisatie en kunnen machtigingen bevatten om bewerkingen met hoge bevoegdheden uit te voeren. Voorbeelden van dergelijke bewerkingen zijn rolbeheer, volledige toegang tot alle postvakken of alle sites en volledige gebruikersimitatie.
Voordat u beheerderstoestemming voor de hele tenant verleent, is het belangrijk om ervoor te zorgen dat u de toepassing vertrouwt en de uitgever van de toepassing voor het toegangsniveau dat u verleent. Als u niet zeker weet wie de toepassing beheert en waarom de toepassing de machtigingen aanvraagt, verleent u geen toestemming.
Wanneer u een aanvraag evalueert om beheerderstoestemming te verlenen, volgen hier enkele aanbevelingen om rekening mee te houden:
Inzicht in de machtigingen en het toestemmingsframework in het Microsoft Identity Platform.
Inzicht in het verschil tussen gedelegeerde machtigingen en toepassingsmachtigingen.
Met toepassingsmachtigingen kan de toepassing toegang krijgen tot de gegevens voor de hele organisatie, zonder tussenkomst van de gebruiker. Met gedelegeerde machtigingen kan de toepassing op een bepaald moment handelen namens een gebruiker die is aangemeld bij de toepassing.
Inzicht in de machtigingen die worden aangevraagd.
De machtigingen die door de toepassing zijn aangevraagd, worden vermeld in de toestemmingsprompt. Als u de machtigingstitel uitbreidt, wordt de beschrijving van de machtiging weergegeven. De beschrijving voor toepassingsmachtigingen eindigt over het algemeen in 'zonder aangemelde gebruiker'. De beschrijving voor gedelegeerde machtigingen eindigt over het algemeen met 'namens de aangemelde gebruiker'. Machtigingen voor de Microsoft Graph API worden beschreven in microsoft Graph Permissions Reference. Raadpleeg de documentatie voor andere API's om inzicht te hebben in de machtigingen die ze beschikbaar maken.
Als u geen toestemming begrijpt die wordt aangevraagd, geeft u geen toestemming.
Begrijpen welke toepassing machtigingen aanvraagt en wie de toepassing heeft gepubliceerd.
Wees voorzichtig met schadelijke toepassingen die lijken op andere toepassingen.
Als u twijfelt over de geldigheid van een aanvraag of de uitgever, verleent u geen toestemming. Zoek in plaats daarvan een bevestiging (bijvoorbeeld rechtstreeks vanuit de uitgever van de toepassing).
Zorg ervoor dat de aangevraagde machtigingen zijn afgestemd op de functies die u van de toepassing verwacht.
Een toepassing die SharePoint-sitebeheer biedt, vereist bijvoorbeeld gedelegeerde toegang om alle siteverzamelingen te lezen, maar hiervoor is niet per se volledige toegang nodig tot alle postvakken of volledige imitatiebevoegdheden in de map.
Als u vermoedt dat de toepassing meer machtigingen aanvraagt dan nodig is, verleent u geen toestemming. Neem contact op met de uitgever van de toepassing voor meer informatie.
Beheerderstoestemming verlenen voor de hele tenant
Zie Beheerderstoestemming voor de hele tenant verlenen aan een toepassing voor stapsgewijze instructies voor het verlenen van beheerderstoestemming voor de hele tenant vanuit het Microsoft Entra-beheercentrum.
Beheerderstoestemming voor de hele tenant intrekken
Als u beheerderstoestemming voor de hele tenant wilt intrekken, kunt u de machtigingen bekijken en intrekken die eerder aan de toepassing zijn verleend. Zie De machtigingen bekijken die zijn verleend aan toepassingen voor meer informatie. U kunt ook de toegang van de gebruiker tot de toepassing verwijderen door gebruikersaanmelding uit te schakelen bij de toepassing of door de toepassing te verbergen, zodat deze niet wordt weergegeven in de portal Mijn apps.
Toestemming verlenen namens een specifieke gebruiker
In plaats van toe4stemming te verlenen voor de gehele organisatie, kan een beheerder ook de Microsoft Graph API gebruiken om toestemming te verlenen voor gedelegeerde machtigingen namens één gebruiker. Zie Toestemming verlenen namens één gebruiker met behulp van PowerShell voor een gedetailleerd voorbeeld dat gebruikmaakt van Microsoft Graph PowerShell.
Gebruikerstoegang tot toepassingen beperken
Gebruikerstoegang tot toepassingen kan nog steeds worden beperkt, zelfs wanneer beheerderstoestemming voor de hele tenant wordt verleend. Als u de gebruikerstoegang wilt beperken, moet u gebruikerstoewijzing naar een toepassing vereisen. Zie Methoden voor het toewijzen van gebruikers en groepen voor meer informatie. Beheerders kunnen gebruikerstoegang tot toepassingen ook beperken door alle toekomstige bewerkingen voor gebruikerstoestemming voor elke toepassing uit te schakelen.
Zie Microsoft Entra ID gebruiken voor toegangsbeheer voor toepassingen voor een breder overzicht, waaronder het afhandelen van complexere scenario's.