Hantera medgivande till program och utvärdera begäranden om medgivande

Microsoft rekommenderar att du begränsar användarens medgivande så att användarna endast godkänner appar från verifierade utgivare och endast för behörigheter som du väljer. För appar som inte uppfyller dessa kriterier centraliseras beslutsprocessen med organisationens säkerhets- och identitetsadministratörsteam.

När du har inaktiverat eller begränsat användarmedgivande har du flera viktiga steg att vidta för att skydda din organisation när du fortsätter att tillåta att affärskritiska program används. De här stegen är viktiga för att minimera påverkan på organisationens supportteam och IT-administratörer och för att förhindra användning av ohanterade konton i program från tredje part.

Bearbeta ändringar och utbildning

  1. Överväg att aktivera arbetsflödet för administratörsmedgivande så att användarna kan begära administratörsgodkännande direkt från medgivandeskärmen.

  2. Se till att alla administratörer förstår ramverket för behörigheter och medgivande, hur medgivandeprompten fungerar och hur du utvärderar en begäran om administratörsmedgivande för hela klientorganisationen.

  3. Granska organisationens befintliga processer så att användarna kan begära administratörsgodkännande för ett program och uppdatera dem om det behövs. Om processer ändras:

    • Uppdatera relevant dokumentation, övervakning, automatisering och så vidare.
    • Kommunicera processändringar till alla berörda användare, utvecklare, supportteam och IT-administratörer.

Granskning och övervakning

  1. Granska appar och bevilja behörigheter i din organisation för att säkerställa att inga obefogade eller misstänkta program tidigare har beviljats åtkomst till data.

  2. Mer metodtips och skydd mot misstänkta program som begär OAuth-medgivande finns i artikeln Detect and Remediate Illegal Consent Grants in Office 365 .

  3. Om din organisation har rätt licens gör du följande:

Andra överväganden för att minska friktionen

För att minimera påverkan på betrodda, affärskritiska program som redan används kan du överväga att proaktivt ge administratörsmedgivande till program som har ett stort antal bidrag för användarmedgivande:

  1. Gör en inventering av de appar som redan har lagts till i din organisation med hög användning, baserat på inloggningsloggar eller beviljandeaktivitet för medgivande. Du kan använda ett PowerShell-skript för att snabbt och enkelt identifiera program med ett stort antal bidrag för användarmedgivande.

  2. Utvärdera de främsta programmen för att bevilja administratörsmedgivande.

    Viktigt

    Utvärdera ett program noggrant innan du beviljar administratörsmedgivande för hela klientorganisationen, även om många användare i organisationen redan har samtyckt själva.

  3. För varje godkänt program beviljar du administratörsmedgivande för hela klientorganisationen och överväger att begränsa användaråtkomsten genom att kräva användartilldelning.

Att bevilja administratörsmedgivande för hela klientorganisationen är en känslig åtgärd. Behörigheter beviljas för hela organisationen och kan innehålla behörigheter för att försöka utföra mycket privilegierade åtgärder. Exempel på sådana åtgärder är rollhantering, fullständig åtkomst till alla postlådor eller alla webbplatser och fullständig användarpersonifiering.

Innan du beviljar administratörsmedgivande för hela klientorganisationen är det viktigt att se till att du litar på programmet och programutgivaren för den åtkomstnivå som du beviljar. Om du inte är säker på att du förstår vem som styr programmet och varför programmet begär behörigheter ska du inte bevilja medgivande.

Här följer några rekommendationer när du utvärderar en begäran om att bevilja administratörsmedgivande:

  • Förstå ramverket för behörigheter och medgivande i Microsofts identitetsplattform.

  • Förstå skillnaden mellan delegerade behörigheter och programbehörigheter.

    Programbehörigheter gör att programmet kan komma åt data för hela organisationen, utan någon användarinteraktion. Delegerade behörigheter gör att programmet kan agera för en användare som har loggat in i programmet någon gång.

  • Förstå de behörigheter som begärs.

    De behörigheter som begärs av programmet visas i medgivandeprompten. Om du expanderar behörighetsrubriken visas behörighetens beskrivning. Beskrivningen för programbehörigheter slutar vanligtvis i "utan en inloggad användare". Beskrivningen för delegerade behörigheter slutar vanligtvis med "för den inloggade användarens räkning". Behörigheter för Microsoft Graph API beskrivs i Referens för Microsoft Graph-behörigheter. Läs dokumentationen för andra API:er för att förstå vilka behörigheter de exponerar.

    Om du inte förstår en behörighet som begärs ska du inte bevilja medgivande.

  • Förstå vilket program som begär behörigheter och vem som har publicerat programmet.

    Var försiktig med skadliga program som försöker se ut som andra program.

    Om du tvivlar på ett programs eller dess utgivares legitimitet ska du inte bevilja medgivande. Sök i stället bekräftelse (till exempel direkt från programutgivaren).

  • Kontrollera att de begärda behörigheterna är anpassade till de funktioner som du förväntar dig av programmet.

    Ett program som erbjuder SharePoint-webbplatshantering kan till exempel kräva delegerad åtkomst för att läsa alla webbplatssamlingar, men det behöver inte nödvändigtvis fullständig åtkomst till alla postlådor eller fullständiga personifieringsprivilegier i katalogen.

    Om du misstänker att programmet begär fler behörigheter än det behöver ska du inte bevilja medgivande. Kontakta programutgivaren för att få mer information.

Stegvisa instruktioner för att bevilja administratörsmedgivande för hela klientorganisationen från Azure Portal finns i Bevilja administratörsmedgivande för hela klientorganisationen till ett program.

Om du vill återkalla administratörsmedgivande för hela klientorganisationen kan du granska och återkalla de behörigheter som tidigare beviljats programmet. Mer information finns i granska behörigheter som beviljas för program. Du kan också ta bort användarens åtkomst till programmet genom att inaktivera användarinloggning till programmet eller genom att dölja programmet så att det inte visas i portalen Mina appar.

I stället för att bevilja medgivande för hela organisationen kan en administratör också använda Microsoft-Graph API för att ge medgivande till delegerade behörigheter för en enskild användares räkning. Ett detaljerat exempel som använder Microsoft Graph PowerShell finns i Bevilja medgivande för en enskild användares räkning med hjälp av PowerShell.

Begränsa användaråtkomst till program

Användaråtkomsten till program kan fortfarande begränsas även när administratörsmedgivande för hela klientorganisationen har beviljats. Om du vill begränsa användaråtkomsten kräver du användartilldelning till ett program. Mer information finns i Metoder för att tilldela användare och grupper. Administratörer kan också begränsa användaråtkomsten till program genom att inaktivera alla framtida åtgärder för användarmedgivande för alla program.

En bredare översikt, inklusive hur du hanterar mer komplexa scenarier, finns i Använda Azure Active Directory (Azure AD) för hantering av programåtkomst.

Nästa steg