共用方式為

管理對應用程式的同意及評估同意要求

  • 發行項

Microsoft 建議您限制使用者同意,讓使用者只同意來自已驗證發行者的應用程式,以及僅同意您選取的權限。 對於不符合這些準則的應用程式,決策制定程序會集中在您組織的安全性和身分識別管理員團隊。

停用或限制使用者同意之後,您有幾個重要步驟可協助保護組織的安全,因為您繼續允許使用業務關鍵應用程式。 這些步驟對於將貴組織支援小組和IT系統管理員的影響降到最低,並有助於防止在非Microsoft應用程式中使用非受控帳戶。

本文提供在 Microsoft 建議中管理應用程式同意和評估同意要求的指引,包括將使用者同意受限於已驗證的發行者和選取的權限。 其涵蓋流程變更、管理員教育、稽核和監視,以及管理全租用戶管理員同意等概念。

流程變更和教育

稽核和監視

減少衝突的其他考量

若要盡量不要對使用中的受信任業務關鍵應用程式造成影響,請考慮主動將管理員同意授與具有大量使用者同意授與的應用程式:

  • 根據登入記錄或同意授與活動,清查已新增至您組織且使用量高的應用程式。 您可以使用 PowerShell 指令碼,快速且輕鬆地探索具有大量使用者同意授與的應用程式。

  • 評估前幾名的應用程式,以授與管理員同意。

    重要

    在授與全租用戶管理員同意之前,請仔細評估應用程式,即使組織中許多使用者已自行同意也一樣。

  • 針對每個已核准的應用程式,授與全租用戶管理員同意,並考慮透過要求使用者指派來限制使用者存取。

授與全租用戶管理員同意是一項敏感性作業。 這會代表整個組織授與權限,而且可能包含嘗試高度特殊權限作業的權限。 這類作業的範例包括角色管理、所有信箱或所有網站的完整存取權,以及完整使用者模擬。

在授與全租用戶管理員同意之前,務必確定您信任要授與存取層級的應用程式與應用程式發行者。 如果您不確定是誰控制應用程式,以及應用程式為何要求權限,請勿同意。

當您在評估要求以授與管理員同意時,有一些需要考慮的建議:

  • 了解 Microsoft 身分識別平台中的權限和同意架構

  • 了解委派權限與應用程式權限之間的差異。

    應用程式權限可讓應用程式存取整個組織的資料,而不需要任何使用者互動。 委派權限可讓應用程式代表已在某個時間點登入應用程式的使用者採取動作。

  • 了解所要求的權限。

    應用程式要求的權限會列在同意提示中。 擴充權限標題會顯示權限的描述。 應用程式權限的描述通常會以「沒有登入的使用者」結尾。委派權限的描述通常會以「代表登入的使用者」結尾。Microsoft Graph 權限參考中會說明 Microsoft Graph API 的權限。 請參閱其他 API 的文件,以了解其所公開的權限。

    如果您不了解所要求的權限,請勿同意。

  • 了解哪個應用程式正在要求權限,以及發佈應用程式的人員。

    請小心試圖看起來像是其他應用程式的惡意應用程式。

    如果您懷疑應用程式或其發行者的合法性,請勿同意。 相反地,搜尋確認 (例如,直接從應用程式發行者)。

  • 確定所要求的權限與您預期的應用程式功能一致。

    例如,提供 SharePoint 網站管理的應用程式可能需要委派存取權才能讀取所有網站集合,但不一定需要所有信箱的完整存取權或目錄中的完整模擬權限。

    如果您懷疑應用程式所要求的權限超出所需,請勿同意。 請連絡應用程式發行者以取得更多詳細資料。

如需從 Microsoft Entra 系統管理中心授與全租用戶管理員同意的逐步指示,請參閱授與全租用戶管理員同意給應用程式

若要撤銷全租用戶的管理員同意,您可以檢閱先前授與應用程式的權限並將其撤銷。 如需詳細資訊,請參閱檢閱授與應用程式的權限。 您也可以停用使用者登入應用程式隱藏應用程式,使其不會出現在我的應用程式入口網站中,來移除使用者的應用程式存取權。

系統管理員也可以使用 Microsoft Graph API 代表單一使用者授與對委派權限的同意,而非對整個組織授與同意。 如需使用 Microsoft Graph PowerShell 的詳細範例,請參閱使用 PowerShell 代表單一使用者授與同意

限制應用程式的使用者存取權

即使授與全租使用者管理員同意,使用者對應用程式的存取仍然受到限制。 若要限制使用者存取權,需要對應用程式指派使用者。 如需詳細資訊,請參閱指派使用者和群組的方法。 管理員也可以停用任何應用程式的所有未來使用者同意作業,以限制使用者對應用程式的存取。

如需更廣泛的概觀 (包括如何處理更多複雜的案例),請參閱使用 Microsoft Entra ID 進行應用程式存取管理

下一步