Hantera medgivande till program och utvärdera begäranden om medgivande

Microsoft rekommenderar att du begränsar användarens medgivande så att användarna endast godkänner appar från verifierade utgivare och endast för behörigheter som du väljer. För appar som inte uppfyller dessa kriterier centraliseras beslutsprocessen med organisationens säkerhets- och identitetsadministratörsteam.

När du har inaktiverat eller begränsat användarmedgivande har du flera viktiga steg att vidta för att skydda din organisation när du fortsätter att tillåta att affärskritiska program används. De här stegen är avgörande för att minimera påverkan på organisationens supportteam och IT-administratörer och för att förhindra användning av ohanterade konton i program från tredje part.

Den här artikeln innehåller vägledning om hur du hanterar medgivande till program och utvärderar begäranden om medgivande i Microsofts rekommendationer, inklusive begränsning av användarens medgivande till verifierade utgivare och valda behörigheter. Den omfattar begrepp som processändringar, utbildning för administratörer, granskning och övervakning samt hantering av administratörsmedgivande för hela klientorganisationen.

Bearbeta ändringar och utbildning

• Överväg att aktivera arbetsflödet för administratörsmedgivande så att användarna kan begära administratörsgodkännande direkt från medgivandeskärmen.

• Se till att alla administratörer förstår:

  • Ramverk för behörigheter och medgivande
  • Så här fungerar medgivandeupplevelsen och uppmaningarna.
  • Så här utvärderar du en begäran om administratörsmedgivande för hela klientorganisationen.

• Granska organisationens befintliga processer så att användarna kan begära administratörsgodkännande för ett program och uppdatera dem om det behövs. Om processer ändras:

  • Uppdatera relevant dokumentation, övervakning, automatisering och så vidare.
  • Kommunicera processändringar till alla berörda användare, utvecklare, supportteam och IT-administratörer.

Granskning och övervakning

• Granska appar och bevilja behörigheter i din organisation för att säkerställa att inga omotiverade eller misstänkta program tidigare har beviljats åtkomst till data.

• Mer metodtips och skydd mot misstänkta program som begär OAuth-medgivande finns i artikeln Detect and Remediate Illegal Consent Grants in Office 365 (Identifiera och åtgärda olagliga medgivandebidrag i Office 365).

• Om din organisation har rätt licens:

  • Använd andra granskningsfunktioner för OAuth-program i Microsoft Defender för molnet-appar.
  • Använd Azure Monitor-arbetsböcker för att övervaka behörigheter och medgivanderelaterad aktivitet. Consent Insights-arbetsboken ger en vy över appar efter antal misslyckade begäranden om medgivande. Den här informationen kan hjälpa dig att prioritera program som administratörer kan granska och avgöra om de ska beviljas administratörsmedgivande.

Andra överväganden för att minska friktionen

För att minimera påverkan på betrodda, affärskritiska program som redan används kan du överväga att proaktivt bevilja administratörsmedgivande till program som har ett stort antal bidrag för användarmedgivande:

• Gör en inventering av de appar som redan har lagts till i din organisation med hög användning, baserat på inloggningsloggar eller medgivandebeviljandeaktivitet. Du kan använda ett PowerShell-skript för att snabbt och enkelt identifiera program med ett stort antal bidrag för användarmedgivande.

• Utvärdera de främsta programmen för att bevilja administratörsmedgivande.

  Viktigt!

  Utvärdera ett program noggrant innan du beviljar administratörsmedgivande för hela klientorganisationen, även om många användare i organisationen redan har samtyckt själva.

• För varje godkänt program beviljar du administratörsmedgivande för hela klientorganisationen och överväger att begränsa användaråtkomsten genom att kräva användartilldelning.

Utvärdera en begäran om administratörsmedgivande för hela klientorganisationen

Att bevilja administratörsmedgivande för hela klientorganisationen är en känslig åtgärd. Behörigheter beviljas för hela organisationen och de kan innehålla behörigheter för att försöka utföra mycket privilegierade åtgärder. Exempel på sådana åtgärder är rollhantering, fullständig åtkomst till alla postlådor eller alla webbplatser och fullständig personifiering av användare.

Innan du beviljar administratörsmedgivande för hela klientorganisationen är det viktigt att se till att du litar på programmet och programutgivaren för den åtkomstnivå som du beviljar. Om du inte är säker på att du förstår vem som styr programmet och varför programmet begär behörigheterna ska du inte bevilja medgivande.

När du utvärderar en begäran om att bevilja administratörsmedgivande kan du överväga följande rekommendationer:

• Förstå ramverket för behörigheter och medgivande i Microsofts identitetsplattform.

• Förstå skillnaden mellan delegerade behörigheter och programbehörigheter.

  Programbehörigheter gör att programmet kan komma åt data för hela organisationen, utan någon användarinteraktion. Delegerade behörigheter gör det möjligt för programmet att agera för en användare som var inloggad i programmet någon gång.

• Förstå de behörigheter som begärs.

  De behörigheter som begärs av programmet visas i medgivandeprompten. Om du expanderar behörighetsrubriken visas behörighetens beskrivning. Beskrivningen för programbehörigheter slutar vanligtvis i "utan en inloggad användare". Beskrivningen för delegerade behörigheter slutar vanligtvis med "för den inloggade användarens räkning". Behörigheter för Microsoft Graph-API:et beskrivs i Referens för Microsoft Graph-behörigheter. Se dokumentationen för andra API:er för att förstå vilka behörigheter de exponerar.

  Om du inte förstår en behörighet som begärs ska du inte bevilja medgivande.

• Förstå vilket program som begär behörigheter och vem som publicerade programmet.

  Var försiktig med skadliga program som försöker se ut som andra program.

  Om du tvivlar på ett programs eller dess utgivares legitimitet ska du inte bevilja medgivande. Sök i stället efter bekräftelse (till exempel direkt från programutgivaren).

• Kontrollera att de begärda behörigheterna är anpassade till de funktioner som du förväntar dig av programmet.

  Ett program som erbjuder SharePoint-webbplatshantering kan till exempel kräva delegerad åtkomst för att läsa alla webbplatssamlingar, men det behöver inte nödvändigtvis fullständig åtkomst till alla postlådor eller fullständig personifieringsbehörighet i katalogen.

  Om du misstänker att programmet begär fler behörigheter än det behöver ska du inte bevilja medgivande. Kontakta programutgivaren för att få mer information.

Bevilja administratörsmedgivande för hela klientorganisationen

Stegvisa instruktioner för att bevilja administratörsmedgivande för hela klientorganisationen från administrationscentret för Microsoft Entra finns i Bevilja administratörsmedgivande för hela klientorganisationen till ett program.

Återkalla administratörsmedgivande för hela klientorganisationen

Om du vill återkalla administratörsmedgivande för hela klientorganisationen kan du granska och återkalla de behörigheter som tidigare beviljats programmet. Mer information finns i granska behörigheter som beviljats program. Du kan också ta bort användarens åtkomst till programmet genom att inaktivera användarens inloggning till programmet eller genom att dölja programmet så att det inte visas i portalen Mina appar.

Bevilja medgivande för en specifik användares räkning

I stället för att bevilja medgivande för hela organisationen kan administratörer även använda Microsoft Graph API för att bevilja medgivanden till delegerade behörigheter för en enskild användares räkning. Ett detaljerat exempel som använder Microsoft Graph PowerShell finns i Bevilja medgivande för en enskild användares räkning med hjälp av PowerShell.

Begränsa användaråtkomst till program

Användaråtkomst till program kan fortfarande begränsas även när administratörsmedgivande för hela klientorganisationen har beviljats. Du kan begränsa användaråtkomsten genom att kräva användartilldelning till ett program. Mer information finns i Metoder för att tilldela användare och grupper. Administratörer kan också begränsa användaråtkomsten till program genom att inaktivera alla framtida åtgärder för användarmedgivande till alla program.

En bredare översikt, inklusive hur du hanterar mer komplexa scenarier, finns i Använda Microsoft Entra-ID för hantering av programåtkomst.

Nästa steg

• Konfigurera arbetsflödet för administratörsmedgivande
• Konfigurera hur slutanvändare ger samtycke för appar