Verwalten der Einwilligung zu Anwendungen und Auswerten von Einwilligungsanforderungen

Microsoft empfiehlt, die Möglichkeiten zur Benutzereinwilligung einzuschränken, damit Benutzer ihre Einwilligung nur für Apps von überprüften Herausgebern und nur für von Ihnen ausgewählte Berechtigungen erteilen können. Für Apps, die diese Richtlinie nicht erfüllen, wird der Entscheidungsprozess mit dem Sicherheits- und Identitätsadministratorenteam Ihrer Organisation zentralisiert.

Nachdem Sie die Benutzereinwilligung deaktiviert oder eingeschränkt haben, müssen Sie mehrere wichtige Schritte unternehmen, um Ihre Organisation zu schützen, da Sie weiterhin die Verwendung unternehmenskritischer Anwendungen zulassen. Diese Schritte sind entscheidend, um die Auswirkungen auf das Supportteam und die IT-Administratoren Ihrer Organisation zu minimieren und gleichzeitig die Verwendung nicht verwalteter Konten in Anwendungen von Drittanbietern zu verhindern.

Dieser Artikel enthält Anleitungen zum Verwalten der Zustimmung zu Anwendungen und zum Auswerten von Zustimmungsanforderungen in den Empfehlungen von Microsoft, einschließlich der Einschränkung der Benutzerzustimmung auf überprüfte Herausgeber und ausgewählte Berechtigungen. Es umfasst Konzepte wie Prozessänderungen, Schulung für Administratoren, Überwachung und Prüfung sowie die Verwaltung der mandantenweiten Administratoreinwilligung.

Prozessänderungen und Fortbildung

• Aktivieren Sie ggf. den Workflow zur Administratoreinwilligung, um Benutzern zu gestatten, Administratorgenehmigungen direkt über den Einwilligungsbildschirm anzufordern.

• Stellen Sie sicher, dass alle Administratoren Folgendes verstehen:

  • Berechtigungen und Einwilligungsframework
  • Funktionsweise der Zustimmungseinwilligung und der Eingabeaufforderungen.
  • Auswerten einer Anforderung für eine mandantenweite Administratoreinwilligung.

• Überprüfen Sie die vorhandenen Prozesse Ihrer Organisation darauf, wie Benutzer eine Administratorgenehmigung für eine Anwendung anfordern, und nehmen Sie ggf. Aktualisierungen vor. Wenn Prozesse geändert werden:

  • Aktualisieren Sie die relevante Dokumentation, die Überwachung, die Automatisierung usw.
  • Kommunizieren Sie die Prozessänderungen an alle betroffenen Benutzer, Entwickler, Supportteams und IT-Administratoren.

Auditing und Überwachung

• Überwachen Sie Apps und erteilte Berechtigungen in Ihrer Organisation, um sicherzustellen, dass nicht berechtigten oder verdächtigen Anwendungen zuvor kein Zugriff auf Daten gewährt wurde.

• Weitere bewährte Methoden und Schutzmaßnahmen gegen verdächtige Anwendungen, die eine OAuth-Einwilligung anfordern, finden Sie im Artikel Erkennen und Beheben von unerlaubten Einwilligungserteilungen in Office 365.

• Wenn Ihre Organisation über eine geeignete Lizenz verfügt:

  • Verwenden Sie andere OAuth-Anwendungsüberwachungsfunktionen in Microsoft Defender für Cloud Apps.
  • Verwenden Sie Azure Monitor-Arbeitsmappen für die Überwachung von Berechtigungen und Einwilligungen und damit im Zusammenhang stehende Aktivitäten. Die Arbeitsmappe Erkenntnisse aus Einwilligungen bietet eine Ansicht der Apps nach der Anzahl fehlerhafter Einwilligungsanforderungen. Dies kann hilfreich sein, um Anwendungen für die Überprüfung durch die Administratoren zu priorisieren und zu entscheiden, ob ihnen eine Administratoreinwilligung gewährt werden soll.

Zusätzliche Überlegungen zur Vermeidung von Schwierigkeiten

Um die Auswirkungen auf vertrauenswürdige, unternehmenskritische Anwendungen zu minimieren, die bereits verwendet werden, sollten Sie den Anwendungen, die über eine große Anzahl von gewährten Benutzereinwilligungen verfügen, proaktiv eine Administratoreinwilligung erteilen:

• Erstellen Sie eine Bestandsaufnahme der bereits in Ihrer Organisation hinzugefügten Apps mit hohen Nutzungszahlen basierend auf den Anmeldeprotokollen oder der Zustimmungsaktivität für Einwilligungen. Sie können ein PowerShell-Skript verwenden, um schnell und einfach Anwendungen mit einer großen Anzahl von Zustimmungserteilungen des Benutzers zu erkennen.

• Bewerten Sie die wichtigsten Anwendungen, um die Administratorzustimmung zu erteilen.

  Wichtig

  Evaluieren Sie eine Anwendung sorgfältig, bevor Sie eine mandantenweite Administratoreinwilligung erteilen, auch wenn bereits viele Benutzer in der Organisation für sich selbst eingewilligt haben.

• Erteilen Sie für jede genehmigte Anwendung die mandantenweite Zustimmung des Administrators und erwägen Sie, den Benutzerzugriff einzuschränken, indem Sie Benutzerzuweisung verlangen.

Auswerten einer Anforderung für eine mandantenweite Administratoreinwilligung

Das Erteilen einer mandantenweiten Administratoreinwilligung ist ein sensibler Vorgang. Berechtigungen werden für die gesamte Organisation erteilt. Dies kann auch Berechtigungen zur Ausführung von hochpriviligierten Vorgängen einschließen. Beispiele für solche Vorgänge sind die Rollenverwaltung, Vollzugriff auf alle Postfächer oder alle Websites und die Berechtigung für vollständige Benutzeridentitätswechsel.

Stellen Sie vor dem Erteilen einer mandantenweiten Administratoreinwilligung sicher, dass Sie der Anwendung und dem Anwendungsherausgeber im Sinne der zu erteilenden Zugriffsebene vertrauen. Wenn Sie sich nicht sicher sind, wer die Anwendung kontrolliert und warum die Anwendung die Berechtigungen anfordert, erteilen Sie keine Zustimmung.

Wenn Sie eine Anforderung zum Erteilen der Administratoreinwilligung auswerten, finden Sie hier einige Empfehlungen, die Sie berücksichtigen sollten:

• Informieren Sie sich über die Berechtigungen und das Einwilligungsframework in Microsoft Identity Platform.

• Machen Sie sich mit dem Unterschied zwischen delegierten Berechtigungen und Anwendungsberechtigungen vertraut.

  Anwendungsberechtigungen ermöglichen der Anwendung den Zugriff auf die Daten für die gesamte Organisation ohne Benutzerinteraktion. Delegierte Berechtigungen ermöglichen es der Anwendung, im Namen eines Benutzers zu agieren, der zu einem bestimmten Zeitpunkt bei der Anwendung angemeldet war.

• Verstehen Sie die angeforderten Berechtigungen.

  Die von der Anwendung angeforderten Berechtigungen werden in der Einwilligungsaufforderung aufgeführt. Wenn Sie den Berechtigungstitel erweitern, wird die Beschreibung der Berechtigung angezeigt. Die Beschreibung der Anwendungsberechtigungen endet in der Regel mit „ohne angemeldeten Benutzer“. Die Beschreibung für delegierte Berechtigungen endet im Allgemeinen mit „im Namen des angemeldeten Benutzers“. Berechtigungen für die Microsoft Graph-API werden in der Microsoft Graph-Berechtigungsreferenz beschrieben. Informationen zu den verfügbar gemachten Berechtigungen finden Sie in der Dokumentation für andere APIs.

  Wenn Sie die angeforderte Berechtigung nicht verstehen, erteilen Sie keine Einwilligung.

• Informieren Sie sich, welche Anwendung Berechtigungen anfordert und wer die Anwendung veröffentlicht hat.

  Nehmen Sie sich vor böswilligen Anwendungen in Acht, die versuchen, wie andere Anwendungen zu erscheinen.

  Wenn Sie die Legitimität einer Anwendung oder ihres Herausgebers anzweifeln, erteilen Sie keine Einwilligung. Suchen Sie stattdessen nach weiteren Bestätigungen (z. B. direkt beim Anwendungsherausgeber).

• Stellen Sie sicher, dass die angeforderten Berechtigungen den Features entsprechen, die Sie von der Anwendung erwarten.

  Beispielsweise erfordert eine Anwendung, die SharePoint-Websiteverwaltung bietet, möglicherweise delegierten Zugriff, um alle Websitesammlungen zu lesen, aber sie benötigt nicht unbedingt vollständigen Zugriff auf alle Postfächer oder vollständige Identitätswechselberechtigungen im Verzeichnis.

  Wenn Sie vermuten, dass die Anwendung mehr Berechtigungen anfordert, als sie benötigt, erteilen Sie keine Einwilligung. Wenden Sie sich an den Anwendungsherausgeber, um weitere Details zu erfahren.

Erteilen einer mandantenweiten Administratoreinwilligung

Eine Schrittanleitung zum Erteilen der mandantenweiten Administratoreinwilligung über das Microsoft Entra Admin Center finden Sie unter Erteilen einer mandantenweiten Administratoreinwilligung für eine Anwendung.

Widerrufen einer mandantenweiten Administratoreinwilligung

Um eine mandantenweite Administratoreinwilligung zu widerrufen, können Sie die zuvor für die Anwendung erteilten Berechtigungen überprüfen und widerrufen. Weitere Informationen finden Sie unter Überprüfen von Berechtigungen, die Anwendungen erteilt wurden. Sie können auch den Zugriff des Benutzers auf die Anwendung entfernen, indem Sie die Anmeldung des Benutzers bei der Anwendung deaktivieren oder die Anwendung ausblenden, damit sie im Portal „Meine Apps“ nicht angezeigt wird.

Erteilen einer Einwilligung im Namen eines bestimmten Benutzers

Anstatt die Einwilligung für die gesamte Organisation zu erteilen, kann ein Administrator auch die Microsoft Graph-API verwenden, um eine Einwilligung für delegierte Berechtigungen im Namen eines einzelnen Benutzers zu erteilen. Ein ausführliches Beispiel für die Verwendung von Microsoft Graph PowerShell finden Sie unter Einwilligung erteilen im Namen eines Benutzers mit PowerShell.

Beschränken Sie den Benutzerzugriff auf Anwendungen

Der Benutzerzugriff auf Anwendungen kann auch dann noch eingeschränkt werden, wenn eine mandantenweite Administratoreinwilligung erteilt wurde. Um den Benutzerzugriff einzuschränken, müssen Sie die Benutzerzuweisung an eine Anwendung anfordern. Weitere Informationen finden Sie unter Zuweisen von Benutzern und Gruppen zu einer Anwendung in Azure Active Directory. Administratoren können auch den Benutzerzugriff auf Anwendungen einschränken, indem sie alle zukünftigen Benutzerzustimmungsvorgänge für jede Anwendung deaktivieren.

Eine umfassendere Übersicht, einschließlich der Behandlung weiterer komplexer Szenarien, finden Sie unter Verwenden von Microsoft Entra ID für die Anwendungszugriffsverwaltung.

Nächste Schritte

• Konfigurieren des Workflows für die Administratoreinwilligung (Vorschau)
• Konfigurieren der Benutzereinwilligung für Anwendungen