Gerenciar o consentimento para aplicativos e avaliar solicitações de consentimento

A Microsoft recomenda que vocêrestrinja o consentimento do usuário para permitir o consentimento dos usuários somente para aplicativos de editores verificados e apenas para permissões que você selecionar. Para aplicativos que não atendem a esses critérios, o processo de tomada de decisão é centralizado na equipe do administrador de identidade e segurança de sua organização.

Depois de desabilitar ou restringir o consentimento do usuário, você terá várias etapas importantes a serem seguidas para ajudar a manter sua organização segura enquanto você continua a permitir que aplicativos críticos para os negócios sejam usados. Essas etapas são essenciais para minimizar o impacto na equipe de suporte da sua organização e nos administradores de TI, e para ajudar a prevenir o uso de contas não gerenciadas em aplicativos de terceiros.

Este artigo fornece diretrizes sobre como gerenciar o consentimento para aplicativos e avaliar solicitações de consentimento nas recomendações da Microsoft, incluindo restringir o consentimento do usuário a editores verificados e permissões selecionadas. Ele aborda conceitos como alterações de processo, educação para administradores, auditoria e monitoramento e gerenciamento do consentimento do administrador em todo o locatário.

Processar alterações e educação

• Considere habilitar o fluxo de trabalho de consentimento do administrador para permitir que os usuários solicitem a aprovação do administrador diretamente da tela de consentimento.

• Certifique-se de que todos os administradores entendam:

  • Estrutura de permissões e consentimento
  • Como a experiência e os prompts de consentimento funcionam.
  • Como avaliar uma solicitação de consentimento do administrador em todo o locatário.

• Examine os processos existentes de sua organização para que os usuários solicitem a aprovação do administrador de um aplicativo e atualize-os, se necessário. Se os processos forem alterados:

  • Atualize a documentação, o monitoramento, a automação relevantes, e assim por diante.
  • Comunique alterações no processo a todos os usuários, desenvolvedores, equipes de suporte e administradores de TI afetados.

Auditoria e monitoramento

• Faça a auditoria dos aplicativos e das permissões concedidas na organização para garantir que nenhum aplicativo suspeito ou sem justificativa já tenha recebido acesso a dados.

• Examine, o artigo Detecte e Corrija os Fornecimentos de Consentimento Ilícitos no Office 365 para obter mais práticas recomendadas e proteções contra aplicativos suspeitos que solicitam o consentimento do OAuth.

• Se sua organização tem a licença apropriada:

  • Use outros recursos adicionais de auditoria de aplicativo OAuth no Microsoft Defender para Aplicativos de Nuvem.
  • Use as Pastas de Trabalho do Azure Monitor para monitorar as permissões e as atividades relacionadas a consentimento. A pasta de trabalho Insights de Consentimento oferece uma exibição de aplicativos por número de solicitações de consentimento com falha. Essas informações podem ajudá-lo a priorizar os aplicativos a serem examinados pelos administradores para que eles decidam se o consentimento do administrador deve ser fornecido.

Outras considerações adicionais para reduzir o atrito

Para minimizar o impacto em aplicativos confiáveis e comercialmente críticos que já estão em uso, considere conceder proativamente o consentimento do administrador para aplicativos que têm um grande número de concessões de consentimento do usuário:

• Faça um inventário dos aplicativos já adicionados à sua organização com alto uso, com base nos logs de entrada ou na atividade de concessão de consentimento. É possível usar um script do PowerShell para descobrir aplicativos rapidamente e facilmente com um grande número de concessões de consentimento do usuário.

• Avalie os principais aplicativos para conceder consentimento de administrador.

  Importante

  Avalie cuidadosamente um aplicativo antes de conceder o consentimento do administrador em todos os locatários, mesmo que muitos usuários na organização já tenham consentido.

• Para cada aplicativo aprovado, conceda consentimento de administrador em todo o locatário e considere restringir o acesso do usuárioexigindo a atribuição do usuário.

Avalie uma solicitação para o consentimento do administrador em todos os locatários

A concessão de consentimento do administrador em todos os locatários é uma operação confidencial. As permissões são concedidas em nome de toda a organização e podem incluir permissões para tentar realizar operações altamente privilegiadas. Exemplos de tais operações são gerenciamento de funções, acesso total a todas as caixas de correio ou todos os sites, e personificação completa do usuário.

Antes de conceder o consentimento do administrador em todos os locatários, é importante certifique-se e confiar no aplicativo e no editor do aplicativo, para o nível de acesso que você está concedendo. Se você não tiver certeza de que entendeu quem controla o aplicativo e por que o aplicativo está solicitando as permissões, não conceda o consentimento.

Quando você está avaliando uma solicitação para conceder consentimento de administrador, aqui estão algumas recomendações a serem consideradas:

• Entenda as permissões e a estrutura de consentimento na plataforma de identidade da Microsoft.

• Entenda a diferença entre as permissões delegadas e as permissões de aplicativo.

  As permissões do aplicativo permitem que o aplicativo acesse os dados de toda a organização, sem nenhuma interação do usuário. As permissões delegadas permitem que o aplicativo atue em nome de um usuário que, entrou no aplicativo em algum ponto.

• Entenda as permissões que estão sendo solicitadas.

  As permissões solicitadas pelo aplicativo estão listadas no prompt de consentimento. Expandir o título da permissão exibir a descrição da permissão. A descrição das permissões de aplicativo geralmente termina em "sem um usuário conectado". A descrição de permissões delegadas geralmente termina com "em nome do usuário conectado". as permissões para a API de Microsoft Graph são descritas em referência de permissões de Microsoft Graph. Consulte a documentação de outras APIs para entender as permissões que elas expõem.

  Se você não entender uma permissão que está sendo solicitada, não conceda o consentimento.

• Entenda qual aplicativo está solicitando permissões e quem publicou o aplicativo.

  Tenha cuidado com aplicativos mal-intencionados que tentam se parecer com outros aplicativos.

  Se você duvidar da legitimidade de um aplicativo ou de seu editor, não conceda o consentimento. Em vez disso, busque uma confirmação (por exemplo, diretamente do editor do aplicativo).

• Certifique-se de que as permissões solicitadas estejam alinhadas com os recursos que você espera do aplicativo.

  Por exemplo, um aplicativo que oferece gerenciamento de sites do SharePoint pode exigir acesso delegado para ler todos os conjuntos de sites, mas não precisa necessariamente de acesso completo a todas as caixas de correio ou privilégios de representação completa no diretório.

  Se você suspeitar que o aplicativo está solicitando mais permissões do que o necessário, não conceda o consentimento. Entre em contato com o editor do aplicativo para obter mais informações.

Conceder consentimento do administrador em todo o locatário

Para obter instruções passo a passo sobre como conceder consentimento de administrador para todo o locatário a partir do centro de administração do Microsoft Entra, consulte Conceder consentimento de administrador para todo o locatário a um aplicativo.

Revogar o consentimento do administrador em todo o locatário

Para revogar o consentimento do administrador em todo o locatário, você pode examinar e revogar as permissões concedidas anteriormente ao aplicativo. Para obter mais informações, consulte examinar as permissões concedidas aos aplicativos. Você também pode remover o acesso do usuário ao aplicativo desabilitando a entrada do usuário no aplicativo ou ocultando o aplicativo para que ele não apareça no portal Meus Aplicativos.

Conceder consentimento em nome de um usuário específico

Em vez de conceder o consentimento para toda a organização, um administrador também pode usar a API do Microsoft Graph para conceder o consentimento a permissões delegadas em nome de um único usuário. Para obter um exemplo detalhado que usa o Microsoft Graph PowerShell, Consulte Conceder consentimento em nome de um único usuário usando o PowerShell.

Limitar o acesso do usuário aos aplicativos

O acesso do usuários aos aplicativos ainda pode ser limitado mesmo quando o consentimento do administrador em todos os locatários tiver sido concedido. Para limitar o acesso do usuário, exija a atribuição de usuário a um aplicativo. Para obter mais informações, confira Métodos para atribuir usuários e grupos. Os administradores também podem limitar o acesso do usuário aos aplicativos desabilitando todas as operações futuras de consentimento do usuário em qualquer aplicativo.

Para obter uma visão geral mais ampla, incluindo como lidar com cenários mais complexos, confira Usar o Microsoft Entra ID para o gerenciamento de acesso do aplicativo.

Próximas etapas

• Configurar o fluxo de trabalho de consentimento do administrador
• Configurar como os usuários dão consentimento para aplicativos