Управление согласием для приложений и оценка запросов на согласие

Рекомендуется ограничить возможность пользователей предоставлять согласия, чтобы они могли это делать только для приложений от проверенных издателей и только для выбранных вами разрешений. Для приложений, которые не соответствуют этим критериям, процесс принятия решений централизованный с помощью команды администраторов безопасности и удостоверений вашей организации.

После отключения или ограничения согласия пользователя необходимо предпринять несколько важных действий, чтобы обеспечить безопасность организации, так как вы продолжаете разрешать использование критически важных для бизнеса приложений. Эти шаги важны для минимизации влияния на службу поддержки организации и ИТ-администраторов, а также для предотвращения использования неуправляемых учетных записей в приложениях, отличных от Майкрософт.

В этой статье приводятся рекомендации по управлению согласием приложений и оценке запросов на согласие в рекомендациях Майкрософт, включая ограничение согласия пользователя проверенным издателям и выбранным разрешениям. В нем рассматриваются такие понятия, как изменения процесса, образование для администраторов, аудит и мониторинг, а также управление согласием администратора на уровне клиента.

Обработка изменений и информирование

  • Мы рекомендуем настроить рабочий процесс согласия администратора, чтобы пользователи могли запрашивать согласие администратора непосредственно на экране согласия.

  • Убедитесь, что все администраторы понимают следующее:

  • Изучите существующие в организации процессы, позволяющие пользователям запрашивать утверждение администратора для приложения, и обновите их, если требуется. Если придется изменять эти процессы, не забудьте сделать следующее:

    • Обновите соответствующую документацию, системы мониторинга, автоматизации и т. д.
    • Сообщите об изменениях в процессах всем, кого это коснется: пользователям, разработчикам, группам поддержки и ИТ-администраторам.

Аудит и мониторинг

Дополнительные соображения для устранения проблем

Чтобы снизить влияние на надежные и критически важные для бизнеса приложения, которые уже используются в организации, постарайтесь заблаговременно предоставить согласие администратора для всех приложений с большим числом согласий пользователей:

  • Составьте список приложений, уже добавленных в вашу организацию и активно используемых, на основе журналов входа или действий предоставления согласия. Примените этот скрипт PowerShell, чтобы легко и быстро обнаружить приложения с большим количеством предоставленных согласий пользователей.

  • Оцените лучшие приложения, чтобы предоставить согласие администратора.

    Внимание

    Тщательно оцените каждое приложение перед предоставлением согласия администратора на уровне арендатора, даже если многие пользователи в организации предоставили для него согласие на использование.

  • Для каждого утвержденного приложения предоставьте согласие администратора на уровне клиента и рассмотрите возможность ограничивать доступ пользователей, запрашивая назначение пользователей.

Предоставление согласия администратора на уровне арендатора является критически важной операцией. Разрешения предоставляются от имени всей организации, и они могут включать разрешения на попытку высоко привилегированных операций. Примерами таких операций могут быть управление ролями, полный доступ ко всем почтовым ящикам или всем сайтам, а также полное олицетворение пользователя.

Прежде чем предоставлять согласие администратора на уровне клиента, убедитесь, что вы доверяете приложению и его издателю на том уровне доступа, который вы предоставляете. Если у вас нет полного понимания, кто управляет приложением и для чего ему нужны запрашиваемые разрешения, не предоставляйте согласие.

При оценке запроса на предоставление согласия администратора необходимо учитывать следующие рекомендации.

  • Сведения о разрешениях и платформе согласия в платформа удостоверений Майкрософт.

  • Понять разницу между делегированными разрешениями и разрешениями приложения.

    Разрешения приложения позволяют приложению получать доступ к данным всей организации без участия пользователя. Делегированные разрешения позволяют приложению действовать от имени пользователя, который выполнил вход в это приложение.

  • Изучите запрашиваемые разрешения.

    Разрешения, запрашиваемые приложением, приведены в запросе согласия. Развернув заголовок разрешения, вы увидите его подробное описание. Описание разрешений приложения обычно заканчивается словами "без вошедшего в систему пользователя". Описание делегированных разрешений обычно заканчивается словами "от имени пользователя, выполнившего вход". Разрешения для API Microsoft Graph описаны в справочном руководстве по разрешениям Microsoft Graph. Изучите документацию по другим API, чтобы понять, какие разрешения им требуются.

    Если вы не понимаете суть запрашиваемого разрешения, не предоставляйте согласие.

  • Изучите, какое приложение запрашивает разрешения и кто опубликовал это приложение.

    Помните о вредоносных приложениях, которые могут имитировать другие приложения.

    Если вы сомневаетесь в том, что приложение и его издатель заслуживают доверия, не предоставляйте согласие. Вместо этого постарайтесь получить подтверждения (например, обратиться к издателю приложения).

  • Убедитесь, что все запрашиваемые разрешения соответствуют функциональным возможностям, которых вы ожидаете от этого приложения.

    Например, если приложение обеспечивает управление сайтом SharePoint, ему может потребоваться делегированный доступ на чтение ко всем семействам веб-сайтов, но вряд ли нужен полный доступ ко всем почтовым ящикам или права на полное олицетворение пользователя в каталоге.

    Если есть подозрения, что приложение запрашивает больше разрешений, чем строго необходимо, не предоставляйте согласие. Обратитесь к издателю приложения за разъяснениями.

Пошаговые инструкции по предоставлению согласия администратора на уровне клиента из Центра администрирования Microsoft Entra см. в статье Предоставление согласия администратора на уровне клиента приложению.

Чтобы отозвать согласие администратора на уровне арендатора, можно просмотреть и отозвать разрешения, предоставленные ранее приложению. Дополнительные сведения см. в разделе Просмотр разрешений, предоставленных приложениям. Вы также можете удалить доступ пользователя к приложению, отключив вход пользователя в приложение или скрыв приложение, чтобы оно не отображалось на портале "Мои приложения".

Вместо предоставления согласия для всей организации администратор может через API Microsoft Graph предоставлять согласие на делегированные разрешения от имени отдельного пользователя. Подробное описание примера использования Microsoft Graph Powershell см. в разделе о предоставлении согласия от имени одного пользователя с помощью Powershell.

Ограничение доступа пользователей к приложениям

Доступ пользователей к приложениям по-прежнему может быть ограничен даже при предоставлении согласия администратора на уровне клиента. Чтобы ограничить доступ пользователей, необходимо назначить пользователей приложению. Подробнее см. статью Методы назначения пользователей и групп. Администраторы также могут ограничить доступ пользователей к приложениям, отключив все дальнейшие операции на предоставление согласия пользователя любому приложению.

Более широкий обзор, включая способы обработки более сложных сценариев, см. в статье Об использовании идентификатора Microsoft Entra для управления доступом к приложениям.

Следующие шаги