Zarządzanie zgodą na aplikacje i ocenianie żądań zgody
Firma Microsoft zaleca ograniczenie zgody użytkownika, aby zezwolić użytkownikom na wyrażanie zgody tylko dla aplikacji od zweryfikowanych wydawców i tylko dla wybranych uprawnień. W przypadku aplikacji, które nie spełniają tych kryteriów, proces podejmowania decyzji jest scentralizowany wraz z zespołem administratora zabezpieczeń i tożsamości organizacji.
Po wyłączeniu lub ograniczeniu zgody użytkownika należy wykonać kilka ważnych kroków, aby zapewnić bezpieczeństwo organizacji, ponieważ nadal zezwalasz na używanie aplikacji o znaczeniu krytycznym dla działania firmy. Te kroki mają kluczowe znaczenie dla zminimalizowania wpływu na zespół pomocy technicznej organizacji i administratorów IT oraz zapobieganie używaniu niezarządzanych kont w aplikacjach innych niż Microsoft.
Ten artykuł zawiera wskazówki dotyczące zarządzania zgodą na aplikacje i oceniania żądań zgody w zaleceniach firmy Microsoft, w tym ograniczania zgody użytkownika na zweryfikowanych wydawców i wybranych uprawnień. Obejmuje ona takie pojęcia jak zmiany procesów, edukacja dla administratorów, inspekcja i monitorowanie oraz zarządzanie zgodą administratora w całej dzierżawie.
Przetwarzanie zmian i edukacji
Rozważ włączenie przepływu pracy zgody administratora, aby umożliwić użytkownikom żądanie zatwierdzenia przez administratora bezpośrednio z ekranu zgody.
Upewnij się, że wszyscy administratorzy rozumieją następujące informacje:
- Uprawnienia i struktura wyrażania zgody
- Jak działa środowisko wyrażania zgody i monity .
- Jak ocenić żądanie zgody administratora dla całej dzierżawy.
Przejrzyj istniejące procesy organizacji, aby użytkownicy zażądali zatwierdzenia przez administratora aplikacji i zaktualizowali je w razie potrzeby. Jeśli procesy zostaną zmienione:
- Zaktualizuj odpowiednią dokumentację, monitorowanie, automatyzację itd.
- Przekazywanie zmian procesów wszystkim użytkownikom, deweloperom, zespołom pomocy technicznej i administratorom IT.
Inspekcja i monitorowanie
Przeprowadź inspekcję aplikacji i udzielono uprawnień w organizacji, aby upewnić się, że żadne niepodjęone lub podejrzane aplikacje nie mają już dostępu do danych.
Zapoznaj się z artykułem Wykrywanie i korygowanie nielegalnych dotacji zgody w usłudze Office 365 , aby uzyskać więcej najlepszych rozwiązań i zabezpieczeń przed podejrzanymi aplikacjami, które żądają zgody OAuth.
Jeśli Twoja organizacja ma odpowiednią licencję:
- Użyj innych funkcji inspekcji aplikacji OAuth w usłudze Microsoft Defender dla Chmury Apps.
- Użyj skoroszytów usługi Azure Monitor, aby monitorować uprawnienia i działania związane z zgodą. Skoroszyt usługi Consent Insights zawiera widok aplikacji według liczby nieudanych żądań zgody. Te informacje mogą ułatwić określenie priorytetów aplikacji dla administratorów w celu przejrzenia i podjęcia decyzji o udzieleniu im zgody administratora.
Inne zagadnienia dotyczące zmniejszenia tarć
Aby zminimalizować wpływ na zaufane, krytyczne dla działania firmy aplikacje, które są już używane, rozważ proaktywne udzielanie zgody administratora aplikacjom z dużą liczbą udzielanych zgody użytkownika:
Utwórz spis aplikacji już dodanych do organizacji z wysokim użyciem na podstawie dzienników logowania lub działań udzielania zgody. Skrypt programu PowerShell umożliwia szybkie i łatwe odnajdywanie aplikacji z dużą liczbą udzielanych zgody użytkownika.
Oceń najważniejsze aplikacje, aby udzielić zgody administratora.
Ważne
Dokładnie oceń aplikację przed udzieleniem zgody administratora dla całej dzierżawy, nawet jeśli wielu użytkowników w organizacji już wyraziło zgodę.
Dla każdej zatwierdzonej aplikacji udziel zgody administratora dla całej dzierżawy i rozważ ograniczenie dostępu użytkowników przez wymaganie przypisania użytkownika.
Przetwarzanie żądania zgody administratora dotyczącej całej domeny
Udzielanie zgody administratora dla całej dzierżawy jest operacją wrażliwą. Uprawnienia są przyznawane w imieniu całej organizacji i mogą obejmować uprawnienia do próby wykonywania operacji z wysokimi uprawnieniami. Przykłady takich operacji to zarządzanie rolami, pełny dostęp do wszystkich skrzynek pocztowych lub wszystkich witryn oraz personifikacja pełnego użytkownika.
Przed udzieleniem zgody administratora dla całej dzierżawy ważne jest, aby upewnić się, że ufasz aplikacji i wydawcy aplikacji na poziom dostępu, który udzielasz. Jeśli nie masz pewności, kto kontroluje aplikację i dlaczego aplikacja żąda uprawnień, nie udzielaj zgody.
Podczas oceniania żądania udzielenia zgody administratora poniżej przedstawiono kilka zaleceń, które należy wziąć pod uwagę:
Zapoznaj się z uprawnieniami i strukturą wyrażania zgody w Platforma tożsamości Microsoft.
Zapoznaj się z różnicą między delegowanymi uprawnieniami i uprawnieniami aplikacji.
Uprawnienia aplikacji umożliwiają aplikacji dostęp do danych dla całej organizacji bez interakcji z użytkownikiem. Delegowane uprawnienia umożliwiają aplikacji działanie w imieniu użytkownika, który został zalogowany do aplikacji w pewnym momencie.
Zapoznaj się z żądanymi uprawnieniami.
Uprawnienia żądane przez aplikację są wyświetlane w wierszu zgody. Rozwinięcie tytułu uprawnień powoduje wyświetlenie opisu uprawnienia. Opis uprawnień aplikacji zazwyczaj kończy się ciągiem "bez zalogowanego użytkownika". Opis delegowanych uprawnień kończy się zazwyczaj ciągiem "w imieniu zalogowanego użytkownika". Uprawnienia interfejsu API programu Microsoft Graph są opisane w dokumentacji uprawnień programu Microsoft Graph. Zapoznaj się z dokumentacją innych interfejsów API, aby poznać udostępniane uprawnienia.
Jeśli nie rozumiesz żądanego uprawnienia, nie udzielaj zgody.
Dowiedz się, która aplikacja żąda uprawnień i kto opublikował aplikację.
Uważaj na złośliwe aplikacje, które próbują wyglądać jak inne aplikacje.
Jeśli wątpisz w zasadność aplikacji lub jej wydawcy, nie udzielaj zgody. Zamiast tego wyszukaj potwierdzenie (na przykład bezpośrednio od wydawcy aplikacji).
Upewnij się, że żądane uprawnienia są zgodne z oczekiwanymi funkcjami aplikacji.
Na przykład aplikacja, która oferuje zarządzanie witrynami programu SharePoint, może wymagać delegowanego dostępu do odczytu wszystkich zbiorów witryn, ale nie musi mieć pełnego dostępu do wszystkich skrzynek pocztowych ani pełnych uprawnień personifikacji w katalogu.
Jeśli podejrzewasz, że aplikacja żąda większej liczby uprawnień niż jest potrzebna, nie udzielaj zgody. Skontaktuj się z wydawcą aplikacji, aby uzyskać więcej szczegółów.
Udzielanie zgody administratora całej dzierżawy
Aby uzyskać instrukcje krok po kroku dotyczące udzielania zgody administratora dla całej dzierżawy z centrum administracyjnego firmy Microsoft Entra, zobacz Udzielanie zgody administratora dla całej dzierżawy na aplikację.
Odwoływanie zgody administratora dla całej dzierżawy
Aby odwołać zgodę administratora dla całej dzierżawy, możesz przejrzeć i odwołać uprawnienia przyznane wcześniej aplikacji. Aby uzyskać więcej informacji, zobacz przeglądanie uprawnień przyznanych aplikacjom. Możesz również usunąć dostęp użytkownika do aplikacji, wyłączając logowanie użytkownika do aplikacji lub ukrywając aplikację , aby nie była wyświetlana w portalu Moje aplikacje.
Udzielanie zgody w imieniu określonego użytkownika
Zamiast udzielać zgody dla całej organizacji, administrator może również udzielić zgody na delegowane uprawnienia w imieniu pojedynczego użytkownika, korzystając z interfejsu Microsoft Graph API. Aby uzyskać szczegółowy przykład korzystający z programu Microsoft Graph PowerShell, zobacz Udzielanie zgody w imieniu pojedynczego użytkownika przy użyciu programu PowerShell.
Ograniczanie dostępu użytkowników do aplikacji
Dostęp użytkowników do aplikacji może być nadal ograniczony nawet wtedy, gdy udzielono zgody administratora dla całej dzierżawy. Aby ograniczyć dostęp użytkowników, wymagaj przypisania użytkownika do aplikacji. Aby uzyskać więcej informacji, zobacz Metody przypisywania użytkowników i grup. Administratorzy mogą również ograniczyć dostęp użytkowników do aplikacji, wyłączając wszystkie przyszłe operacje zgody użytkownika na dowolną aplikację.
Aby zapoznać się z szerszym omówieniem, w tym sposobem obsługi bardziej złożonych scenariuszy, zobacz Use Microsoft Entra ID for application access management (Używanie identyfikatora Entra firmy Microsoft do zarządzania dostępem do aplikacji).