Udostępnij za pośrednictwem


Zarządzanie zgodą na aplikacje i ocenianie żądań zgody

Firma Microsoft zaleca ograniczenie zgody użytkownika, aby zezwolić użytkownikom na wyrażanie zgody tylko dla aplikacji od zweryfikowanych wydawców i tylko dla wybranych uprawnień. W przypadku aplikacji, które nie spełniają tych kryteriów, proces podejmowania decyzji jest scentralizowany wraz z zespołem administratora zabezpieczeń i tożsamości organizacji.

Po wyłączeniu lub ograniczeniu zgody użytkownika należy wykonać kilka ważnych kroków, aby zapewnić bezpieczeństwo organizacji, ponieważ nadal zezwalasz na używanie aplikacji o znaczeniu krytycznym dla działania firmy. Te kroki mają kluczowe znaczenie dla zminimalizowania wpływu na zespół pomocy technicznej organizacji i administratorów IT oraz zapobieganie używaniu niezarządzanych kont w aplikacjach innych niż Microsoft.

Ten artykuł zawiera wskazówki dotyczące zarządzania zgodą na aplikacje i oceniania żądań zgody w zaleceniach firmy Microsoft, w tym ograniczania zgody użytkownika na zweryfikowanych wydawców i wybranych uprawnień. Obejmuje ona takie pojęcia jak zmiany procesów, edukacja dla administratorów, inspekcja i monitorowanie oraz zarządzanie zgodą administratora w całej dzierżawie.

Przetwarzanie zmian i edukacji

  • Rozważ włączenie przepływu pracy zgody administratora, aby umożliwić użytkownikom żądanie zatwierdzenia przez administratora bezpośrednio z ekranu zgody.

  • Upewnij się, że wszyscy administratorzy rozumieją następujące informacje:

  • Przejrzyj istniejące procesy organizacji, aby użytkownicy zażądali zatwierdzenia przez administratora aplikacji i zaktualizowali je w razie potrzeby. Jeśli procesy zostaną zmienione:

    • Zaktualizuj odpowiednią dokumentację, monitorowanie, automatyzację itd.
    • Przekazywanie zmian procesów wszystkim użytkownikom, deweloperom, zespołom pomocy technicznej i administratorom IT.

Inspekcja i monitorowanie

Inne zagadnienia dotyczące zmniejszenia tarć

Aby zminimalizować wpływ na zaufane, krytyczne dla działania firmy aplikacje, które są już używane, rozważ proaktywne udzielanie zgody administratora aplikacjom z dużą liczbą udzielanych zgody użytkownika:

  • Utwórz spis aplikacji już dodanych do organizacji z wysokim użyciem na podstawie dzienników logowania lub działań udzielania zgody. Skrypt programu PowerShell umożliwia szybkie i łatwe odnajdywanie aplikacji z dużą liczbą udzielanych zgody użytkownika.

  • Oceń najważniejsze aplikacje, aby udzielić zgody administratora.

    Ważne

    Dokładnie oceń aplikację przed udzieleniem zgody administratora dla całej dzierżawy, nawet jeśli wielu użytkowników w organizacji już wyraziło zgodę.

  • Dla każdej zatwierdzonej aplikacji udziel zgody administratora dla całej dzierżawy i rozważ ograniczenie dostępu użytkowników przez wymaganie przypisania użytkownika.

Udzielanie zgody administratora dla całej dzierżawy jest operacją wrażliwą. Uprawnienia są przyznawane w imieniu całej organizacji i mogą obejmować uprawnienia do próby wykonywania operacji z wysokimi uprawnieniami. Przykłady takich operacji to zarządzanie rolami, pełny dostęp do wszystkich skrzynek pocztowych lub wszystkich witryn oraz personifikacja pełnego użytkownika.

Przed udzieleniem zgody administratora dla całej dzierżawy ważne jest, aby upewnić się, że ufasz aplikacji i wydawcy aplikacji na poziom dostępu, który udzielasz. Jeśli nie masz pewności, kto kontroluje aplikację i dlaczego aplikacja żąda uprawnień, nie udzielaj zgody.

Podczas oceniania żądania udzielenia zgody administratora poniżej przedstawiono kilka zaleceń, które należy wziąć pod uwagę:

  • Zapoznaj się z uprawnieniami i strukturą wyrażania zgody w Platforma tożsamości Microsoft.

  • Zapoznaj się z różnicą między delegowanymi uprawnieniami i uprawnieniami aplikacji.

    Uprawnienia aplikacji umożliwiają aplikacji dostęp do danych dla całej organizacji bez interakcji z użytkownikiem. Delegowane uprawnienia umożliwiają aplikacji działanie w imieniu użytkownika, który został zalogowany do aplikacji w pewnym momencie.

  • Zapoznaj się z żądanymi uprawnieniami.

    Uprawnienia żądane przez aplikację są wyświetlane w wierszu zgody. Rozwinięcie tytułu uprawnień powoduje wyświetlenie opisu uprawnienia. Opis uprawnień aplikacji zazwyczaj kończy się ciągiem "bez zalogowanego użytkownika". Opis delegowanych uprawnień kończy się zazwyczaj ciągiem "w imieniu zalogowanego użytkownika". Uprawnienia interfejsu API programu Microsoft Graph są opisane w dokumentacji uprawnień programu Microsoft Graph. Zapoznaj się z dokumentacją innych interfejsów API, aby poznać udostępniane uprawnienia.

    Jeśli nie rozumiesz żądanego uprawnienia, nie udzielaj zgody.

  • Dowiedz się, która aplikacja żąda uprawnień i kto opublikował aplikację.

    Uważaj na złośliwe aplikacje, które próbują wyglądać jak inne aplikacje.

    Jeśli wątpisz w zasadność aplikacji lub jej wydawcy, nie udzielaj zgody. Zamiast tego wyszukaj potwierdzenie (na przykład bezpośrednio od wydawcy aplikacji).

  • Upewnij się, że żądane uprawnienia są zgodne z oczekiwanymi funkcjami aplikacji.

    Na przykład aplikacja, która oferuje zarządzanie witrynami programu SharePoint, może wymagać delegowanego dostępu do odczytu wszystkich zbiorów witryn, ale nie musi mieć pełnego dostępu do wszystkich skrzynek pocztowych ani pełnych uprawnień personifikacji w katalogu.

    Jeśli podejrzewasz, że aplikacja żąda większej liczby uprawnień niż jest potrzebna, nie udzielaj zgody. Skontaktuj się z wydawcą aplikacji, aby uzyskać więcej szczegółów.

Aby uzyskać instrukcje krok po kroku dotyczące udzielania zgody administratora dla całej dzierżawy z centrum administracyjnego firmy Microsoft Entra, zobacz Udzielanie zgody administratora dla całej dzierżawy na aplikację.

Aby odwołać zgodę administratora dla całej dzierżawy, możesz przejrzeć i odwołać uprawnienia przyznane wcześniej aplikacji. Aby uzyskać więcej informacji, zobacz przeglądanie uprawnień przyznanych aplikacjom. Możesz również usunąć dostęp użytkownika do aplikacji, wyłączając logowanie użytkownika do aplikacji lub ukrywając aplikację , aby nie była wyświetlana w portalu Moje aplikacje.

Zamiast udzielać zgody dla całej organizacji, administrator może również udzielić zgody na delegowane uprawnienia w imieniu pojedynczego użytkownika, korzystając z interfejsu Microsoft Graph API. Aby uzyskać szczegółowy przykład korzystający z programu Microsoft Graph PowerShell, zobacz Udzielanie zgody w imieniu pojedynczego użytkownika przy użyciu programu PowerShell.

Ograniczanie dostępu użytkowników do aplikacji

Dostęp użytkowników do aplikacji może być nadal ograniczony nawet wtedy, gdy udzielono zgody administratora dla całej dzierżawy. Aby ograniczyć dostęp użytkowników, wymagaj przypisania użytkownika do aplikacji. Aby uzyskać więcej informacji, zobacz Metody przypisywania użytkowników i grup. Administratorzy mogą również ograniczyć dostęp użytkowników do aplikacji, wyłączając wszystkie przyszłe operacje zgody użytkownika na dowolną aplikację.

Aby zapoznać się z szerszym omówieniem, w tym sposobem obsługi bardziej złożonych scenariuszy, zobacz Use Microsoft Entra ID for application access management (Używanie identyfikatora Entra firmy Microsoft do zarządzania dostępem do aplikacji).

Następne kroki