Hantera medgivande till program och utvärdera begäranden om medgivande

Microsoft rekommenderar att du begränsar användarens medgivande så att användarna endast godkänner appar från verifierade utgivare och endast för behörigheter som du väljer. För appar som inte uppfyller dessa kriterier centraliseras beslutsprocessen med organisationens säkerhets- och identitetsadministratörsteam.

När du har inaktiverat eller begränsat användarmedgivande har du flera viktiga steg att vidta för att skydda din organisation när du fortsätter att tillåta att affärskritiska program används. De här stegen är viktiga för att minimera påverkan på din organisations supportteam och IT-administratörer och för att förhindra användning av ohanterade konton i program från tredje part.

Processändringar och utbildning

1. Överväg att aktivera arbetsflödet för administratörsmedgivande så att användarna kan begära administratörsgodkännande direkt från medgivandeskärmen.

2. Se till att alla administratörer förstår ramverket för behörigheter och medgivande, hur medgivandeprompten fungerar och hur du utvärderar en begäran om administratörsmedgivande för hela klientorganisationen.

3. Granska organisationens befintliga processer så att användarna kan begära administratörsgodkännande för ett program och uppdatera dem om det behövs. Om processer ändras:

   • Uppdatera relevant dokumentation, övervakning, automatisering och så vidare.
   • Kommunicera processändringar till alla berörda användare, utvecklare, supportteam och IT-administratörer.

Granskning och övervakning

1. Granska appar och beviljas behörigheter i din organisation för att säkerställa att inga obefogade eller misstänkta program tidigare har beviljats åtkomst till data.

2. Mer metodtips och skydd mot misstänkta program som begär OAuth-medgivande finns i artikeln Identifiera och åtgärda otillåtna medgivanden i Office 365.

3. Om din organisation har rätt licens gör du följande:

   • Använd andra granskningsfunktioner för OAuth-program i Microsoft Defender for Cloud Apps.
   • Använd Azure Monitor-arbetsböcker för att övervaka behörigheter och medgivanderelaterad aktivitet. Arbetsboken Consent Insights innehåller en vy över appar efter antal misslyckade begäranden om medgivande. Den här informationen kan hjälpa dig att prioritera program som administratörer kan granska och bestämma om de ska beviljas administratörsmedgivande.

Andra överväganden för att minska friktionen

För att minimera påverkan på betrodda, affärskritiska program som redan används bör du överväga att proaktivt bevilja administratörsmedgivande till program som har ett stort antal beviljanden av användarmedgivande:

1. Gör en inventering av de appar som redan har lagts till i din organisation med hög användning, baserat på inloggningsloggar eller beviljande av medgivande. Du kan använda ett PowerShell-skript för att snabbt och enkelt identifiera program med ett stort antal beviljanden av användarmedgivande.

2. Utvärdera de främsta programmen för att bevilja administratörsmedgivande.

   Viktigt

   Utvärdera ett program noggrant innan du beviljar administratörsmedgivande för hela klientorganisationen, även om många användare i organisationen redan har samtyckt själva.

3. För varje godkänt program beviljar du administratörsmedgivande för hela klientorganisationen och överväger att begränsa användaråtkomsten genom att kräva användartilldelning.

Utvärdera en begäran om administratörsmedgivande för hela klientorganisationen

Att bevilja administratörsmedgivande för hela klientorganisationen är en känslig åtgärd. Behörigheter beviljas för hela organisationens räkning och de kan innehålla behörigheter för att försöka utföra mycket privilegierade åtgärder. Exempel på sådana åtgärder är rollhantering, fullständig åtkomst till alla postlådor eller alla webbplatser och fullständig användarpersonifiering.

Innan du beviljar administratörsmedgivande för hela klientorganisationen är det viktigt att du litar på programmet och programutgivaren för den åtkomstnivå som du beviljar. Om du inte är säker på att du förstår vem som styr programmet och varför programmet begär behörigheterna ska du inte bevilja medgivande.

När du utvärderar en begäran om att bevilja administratörsmedgivande kan du tänka på följande rekommendationer:

• Förstå ramverket för behörigheter och medgivande i Microsofts identitetsplattform.

• Förstå skillnaden mellan delegerade behörigheter och programbehörigheter.

  Programbehörigheter gör att programmet kan komma åt data för hela organisationen, utan någon användarinteraktion. Med delegerade behörigheter kan programmet agera åt en användare som har loggat in i programmet någon gång.

• Förstå de behörigheter som begärs.

  De behörigheter som begärs av programmet visas i medgivandeprompten. Om du expanderar behörighetsrubriken visas behörighetens beskrivning. Beskrivningen av programbehörigheter slutar vanligtvis med "utan en inloggad användare". Beskrivningen för delegerade behörigheter slutar vanligtvis med "för den inloggade användarens räkning". Behörigheter för Microsoft Graph API beskrivs i Referens för Microsoft Graph-behörigheter. Läs dokumentationen för andra API:er för att förstå vilka behörigheter de exponerar.

  Om du inte förstår en behörighet som begärs ska du inte bevilja medgivande.

• Förstå vilket program som begär behörigheter och vem som publicerade programmet.

  Var försiktig med skadliga program som försöker se ut som andra program.

  Om du tvivlar på en applikations eller utgivares legitimitet ska du inte ge ditt medgivande. Sök i stället bekräftelse (till exempel direkt från programutgivaren).

• Se till att de begärda behörigheterna är anpassade till de funktioner som du förväntar dig av programmet.

  Ett program som erbjuder SharePoint-webbplatshantering kan till exempel kräva delegerad åtkomst för att läsa alla webbplatssamlingar, men det behöver inte nödvändigtvis fullständig åtkomst till alla postlådor eller fullständig personifieringsbehörighet i katalogen.

  Om du misstänker att programmet begär fler behörigheter än det behöver ska du inte bevilja medgivande. Kontakta programutgivaren för att få mer information.

Bevilja administratörsmedgivande för hela klientorganisationen

Stegvisa instruktioner för att bevilja administratörsmedgivande för hela klientorganisationen från Azure Portal finns i Bevilja administratörsmedgivande för hela klientorganisationen till ett program.

Återkalla administratörsmedgivande för hela klientorganisationen

Om du vill återkalla administratörsmedgivande för hela klientorganisationen kan du granska och återkalla de behörigheter som tidigare beviljats till programmet. Mer information finns i Granska behörigheter som beviljats för program. Du kan också ta bort användarens åtkomst till programmet genom att inaktivera användarinloggning till programmet eller genom att dölja programmet så att det inte visas i portalen Mina appar.

Bevilja medgivande för en specifik användares räkning

I stället för att bevilja medgivande för hela organisationen kan en administratör också använda Microsoft-Graph API för att bevilja medgivande till delegerade behörigheter för en enskild användares räkning. Ett detaljerat exempel som använder Microsoft Graph PowerShell finns i Bevilja medgivande för en enskild användares räkning med hjälp av PowerShell.

Begränsa användaråtkomst till program

Användaråtkomsten till program kan fortfarande begränsas även när administratörsmedgivande för hela klientorganisationen har beviljats. Om du vill begränsa användaråtkomsten kräver du användartilldelning till ett program. Mer information finns i Metoder för att tilldela användare och grupper. Administratörer kan också begränsa användaråtkomsten till program genom att inaktivera alla framtida åtgärder för användarmedgivande till alla program.

En bredare översikt, inklusive hur du hanterar mer komplexa scenarier, finns i Använda Azure Active Directory (Azure AD) för hantering av programåtkomst.

Nästa steg

• Konfigurera arbetsflödet för administratörsmedgivande
• Konfigurera hur slutanvändare ger samtycke för appar