Uygulama onayını yönetme ve onay isteklerini değerlendirme

Microsoft, kullanıcıların yalnızca doğrulanmış yayımcılardan gelen uygulamalar için ve yalnızca seçtiğiniz izinler için onay vermesine izin vermek üzere kullanıcı onaylarını kısıtlamanızı önerir. Bu ölçütlere uymayen uygulamalar için karar alma süreci kuruluşunuzun güvenlik ve kimlik yöneticisi ekibiyle birlikte merkezi hale getirilir.

Kullanıcı onayını devre dışı bırakdıktan veya kısıtladıktan sonra, iş açısından kritik uygulamaların kullanılmasına izin vermek için kuruluşunuzun güvenliğini sağlamaya yardımcı olmak için gerçekleştirmeniz gereken birkaç önemli adım vardır. Bu adımlar, kuruluşunuzun destek ekibi ve BT yöneticileri üzerindeki etkisini en aza indirmek ve yönetilmeyen hesapların üçüncü taraf uygulamalarda kullanılmasını önlemeye yardımcı olmak için çok önemlidir.

Bu makalede, doğrulanmış yayımcılara ve seçili izinlere kullanıcı onaylarını kısıtlama da dahil olmak üzere, Microsoft'un önerilerinde uygulamalara onay yönetimi ve onay isteklerini değerlendirme konusunda rehberlik sağlanmaktadır. Süreç değişiklikleri, yöneticiler için eğitim, denetim ve izleme ve kiracı genelinde yönetici onaylarını yönetme gibi kavramları kapsar.

Değişiklikleri ve eğitimi işleme

• Kullanıcıların doğrudan onay ekranından yönetici onayı istemesine izin vermek için yönetici onayı iş akışını etkinleştirmeyi göz önünde bulundurun.

• Tüm yöneticilerin şunları anladığınızdan emin olun:

  • İzinler ve onay çerçevesi
  • Onay onayı deneyiminin ve istemlerinin nasıl çalıştığı.
  • Kiracı genelinde yönetici onayı isteğini değerlendirme.

• Kullanıcıların bir uygulama için yönetici onayı istemesi için kuruluşunuzun mevcut işlemlerini gözden geçirin ve gerekirse bunları güncelleştirin. İşlemler değiştirilirse:

  • İlgili belgeleri, izlemeyi, otomasyonu vb. güncelleştirin.
  • Etkilenen tüm kullanıcılara, geliştiricilere, destek ekiplerine ve BT yöneticilerine işlem değişikliklerini iletin.

Denetim ve izleme

• Kuruluşunuzdaki uygulamaları denetleyerek ve daha önce hiçbir uyarılmayan veya şüpheli uygulamaya verilere erişim izni verilmediğinden emin olmak için izinler verin.

• OAuth onayı isteyen şüpheli uygulamalara karşı daha iyi yöntemler ve korumalar için Office 365'te Yasadışı Onay Vermelerini Algılama ve Düzeltme makalesini gözden geçirin.

• Kuruluşunuzun uygun lisansı varsa:

  • Bulut için Microsoft Defender Uygulamalarında diğer OAuth uygulama denetim özelliklerini kullanın.
  • İzinleri ve onayla ilgili etkinlikleri izlemek için Azure İzleyici Çalışma Kitaplarını kullanın. Onay Analizler çalışma kitabı, başarısız onay isteklerinin sayısına göre uygulamaların bir görünümünü sağlar. Bu bilgiler, yöneticilerin uygulamaları gözden geçirmesine ve yönetici onayı verip vermemeye karar vermesine öncelik vermenize yardımcı olabilir.

Sürtünmeyi azaltmak için dikkat edilmesi gereken diğer noktalar

Zaten kullanımda olan güvenilir, iş açısından kritik uygulamalar üzerindeki etkiyi en aza indirmek için, çok sayıda kullanıcı onayı veren uygulamalara proaktif olarak yönetici onayı vermeyi göz önünde bulundurun:

• Oturum açma günlüklerine veya onay verme etkinliğine bağlı olarak kuruluşunuza yüksek kullanımla eklenmiş olan uygulamaların envanterini alın. Çok sayıda kullanıcı onayı veren uygulamaları hızlı ve kolay bir şekilde bulmak için PowerShell betiği kullanabilirsiniz.

• Yönetici onayı vermek için en iyi uygulamaları değerlendirin.

  Önemli

  Kuruluştaki birçok kullanıcı kendileri için zaten onay vermiş olsalar bile kiracı genelinde yönetici onayı vermeden önce bir uygulamayı dikkatle değerlendirin.

• Onaylanan her uygulama için kiracı genelinde yönetici onayı verin ve kullanıcı ataması gerektirerek kullanıcı erişimini kısıtlamayı göz önünde bulundurun.

Kiracı çapında yönetici onayı isteğini değerlendirme

Kiracı genelinde yönetici onayı vermek hassas bir işlemdir. İzinler tüm kuruluş adına verilir ve yüksek ayrıcalıklı işlemleri deneme izinleri içerebilir. Bu tür işlemlere örnek olarak rol yönetimi, tüm posta kutularına veya tüm sitelere tam erişim ve tam kullanıcı kimliğine bürünme verilebilir.

Kiracı genelinde yönetici onayı vermeden önce uygulamaya ve uygulama yayımcısına verdiğiniz erişim düzeyine güvendiğinizden emin olmanız önemlidir. Uygulamayı kimin denetlediğini ve uygulamanın neden izin isteğinde bulunduğunu anladığınızdan emin değilseniz, onay vermeyin.

Yönetici onayı verme isteğini değerlendirirken göz önünde bulundurmanız gereken bazı öneriler şunlardır:

• Microsoft kimlik platformu izinlerini ve onay çerçevesini anlayın.

• Temsilci izinleri ile uygulama izinleri arasındaki farkı anlayın.

  Uygulama izinleri, uygulamanın kullanıcı etkileşimi olmadan kuruluşun tamamına yönelik verilere erişmesini sağlar. Temsilci izinleri, uygulamanın belirli bir noktada uygulamada oturum açmış olan bir kullanıcı adına işlem yapmalarına olanak tanır.

• İstenen izinleri anlayın.

  Uygulama tarafından istenen izinler onay isteminde listelenir. İzin başlığının genişletilmesi, iznin açıklamasını görüntüler. Uygulama izinlerinin açıklaması genellikle "oturum açmış bir kullanıcı olmadan" ile biter. Temsilci izinlerinin açıklaması genellikle "oturum açmış kullanıcı adına" ile biter. Microsoft Graph API'sine yönelik izinler Microsoft Graph İzinleri Başvurusu'nda açıklanmıştır. Kullanıma sunma izinlerini anlamak için diğer API'lerin belgelerine bakın.

  İstenmekte olan bir izni anlamıyorsanız, onay vermeyin.

• Hangi uygulamanın izin istediğinden ve uygulamayı kimin yayımladığından anlayın.

  Diğer uygulamalar gibi görünmeye çalışan kötü amaçlı uygulamalara karşı tedbirli olun.

  Bir uygulamanın veya yayımcısının meşruluğundan şüphe ediyorsanız, onay vermeyin. Bunun yerine onay arayın (örneğin, doğrudan uygulama yayımcısından).

• İstenen izinlerin uygulamadan beklediğiniz özelliklerle uyumlu olduğundan emin olun.

  Örneğin, SharePoint site yönetimi sunan bir uygulama, tüm site koleksiyonlarını okumak için temsilci erişimi gerektirebilir, ancak dizindeki tüm posta kutularına veya tam kimliğe bürünme ayrıcalıklarına tam erişim gerekmeyebilir.

  Uygulamanın ihtiyaç duyduğundan daha fazla izin istediğinden şüpheleniyorsanız, onay verme. Daha fazla bilgi edinmek için uygulama yayımcısına başvurun.

Kiracı genelinde yönetici onayı verme

Microsoft Entra yönetim merkezinden kiracı genelinde yönetici onayı vermeyle ilgili adım adım yönergeler için bkz . Uygulamaya kiracı genelinde yönetici onayı verme.

Kiracı genelinde yönetici onaylarını iptal etme

Kiracı genelinde yönetici onayını iptal etmek için, uygulamaya daha önce verilen izinleri gözden geçirebilir ve iptal edebilirsiniz. Daha fazla bilgi için bkz . Uygulamalara verilen izinleri gözden geçirme. Ayrıca uygulamada kullanıcı oturum açmasını devre dışı bırakarak veya uygulamayı uygulamalarım portalında görünmemesi için gizleyerek kullanıcının uygulamaya erişimini kaldırabilirsiniz.

Belirli bir kullanıcı adına onay verme

Tüm kuruluş için onay vermek yerine, yöneticiler, tek bir kullanıcı adına temsilci izinlerine onay vermek için Microsoft Graph API’sini de kullanabilir. Microsoft Graph PowerShell kullanan ayrıntılı bir örnek için bkz . PowerShell kullanarak tek bir kullanıcı adına onay verme.

Uygulamalara kullanıcı erişimini sınırlama

Kiracı genelinde yönetici onayı verildiğinde bile uygulamalara kullanıcı erişimi sınırlı olabilir. Kullanıcı erişimini sınırlamak için bir uygulamaya kullanıcı ataması gerektirin. Daha fazla bilgi için bkz . Kullanıcı ve grup atama yöntemleri. Yönetici istrator'lar, gelecekteki tüm kullanıcı onayı işlemlerini herhangi bir uygulamaya devre dışı bırakarak uygulamalara kullanıcı erişimini de sınırlayabilir.

Daha karmaşık senaryoları işleme de dahil olmak üzere daha geniş bir genel bakış için bkz . Uygulama erişim yönetimi için Microsoft Entra Id kullanma.

Sonraki adımlar

• Yönetici onayı iş akışını yapılandırma
• Kullanıcıların uygulamalara onay verme şeklini yapılandırma