Alkalmazás-hozzájárulások kezelése és a hozzájárulási kérések értékelése

  • Cikk
  • 4 perc alatt elolvasható

A Microsoft azt javasolja, hogy korlátozza a felhasználói hozzájárulást , hogy a felhasználók csak az ellenőrzött közzétevőktől származó alkalmazásokhoz és csak az Ön által kiválasztott engedélyekhez engedélyezzenek hozzájárulást. Azon alkalmazások esetében, amelyek nem felelnek meg ezeknek a feltételeknek, a döntéshozatali folyamat a szervezet biztonsági és identitásadminisztrátori csapatával lesz központosítva.

Miután letiltotta vagy korlátozta a felhasználói hozzájárulást, számos fontos lépést kell tennie a szervezet biztonságának megőrzéséhez, miközben továbbra is engedélyezi az üzletileg kritikus fontosságú alkalmazások használatát. Ezek a lépések elengedhetetlenek a szervezet támogatási csapatára és rendszergazdáira gyakorolt hatás minimalizálásához, valamint a nem felügyelt fiókok külső alkalmazásokban való használatának megakadályozásához.

Változások feldolgozása és oktatás

  1. Fontolja meg a rendszergazdai hozzájárulási munkafolyamat engedélyezését, hogy a felhasználók közvetlenül a hozzájárulási képernyőről kérhessenek rendszergazdai jóváhagyást.

  2. Győződjön meg arról, hogy minden rendszergazda tisztában van az engedélyekkel és a hozzájárulási keretrendszerrel, a hozzájárulási kérés működésével, valamint a bérlőszintű rendszergazdai hozzájárulásra vonatkozó kérés kiértékelésének módjával.

  3. Tekintse át a szervezet meglévő folyamatait, hogy a felhasználók rendszergazdai jóváhagyást kérhessenek egy alkalmazáshoz, és szükség esetén frissíthetik őket. Ha módosulnak a folyamatok:

    • Frissítse a vonatkozó dokumentációt, monitorozást, automatizálást stb.
    • Tájékoztassa a folyamat változásait az összes érintett felhasználóval, fejlesztőt, támogatási csapatot és informatikai rendszergazdát.

Naplózás és figyelés

  1. Az alkalmazások naplózása és a szervezeten belüli engedélyek megadása annak biztosítása érdekében, hogy korábban ne kapjanak jogosulatlan vagy gyanús alkalmazásokat az adatokhoz való hozzáféréshez.

  2. Az OAuth-hozzájárulást kérő gyanús alkalmazásokra vonatkozó további ajánlott eljárásokért és biztosítékokért tekintse át Office 365 cikkben található tiltott hozzájárulási támogatások észlelését és orvoslását.

  3. Ha szervezete rendelkezik a megfelelő licenccel, tegye a következőket:

    • A Microsoft Defender for Cloud Apps más OAuth-alkalmazásnaplózási funkcióit is használhatja.
    • Az Engedélyek és a hozzájárulással kapcsolatos tevékenységek monitorozása Az Azure Monitor-munkafüzetek használatával. A Consent Insights munkafüzet a sikertelen hozzájárulási kérelmek száma alapján jeleníti meg az alkalmazásokat. Ezek az információk segítenek rangsorolni az alkalmazásokat a rendszergazdák számára, hogy áttekintsék és eldöntsék, hogy engedélyezik-e számukra a rendszergazdai hozzájárulást.

A súrlódás csökkentésének egyéb szempontjai

A már használatban lévő megbízható, üzleti szempontból kritikus alkalmazásokra gyakorolt hatás minimalizálása érdekében fontolja meg proaktív rendszergazdai hozzájárulás megadását azoknak az alkalmazásoknak, amelyekhez nagy számú felhasználói hozzájárulást adnak:

  1. Készítsen leltárt a szervezethez már hozzáadott, magas kihasználtságú alkalmazásokról a bejelentkezési naplók vagy a hozzájárulás megadására vonatkozó tevékenység alapján. Egy PowerShell-szkripttel gyorsan és egyszerűen felderítheti a nagy számú felhasználói hozzájárulással rendelkező alkalmazásokat.

  2. Értékelje ki a legfontosabb alkalmazásokat a rendszergazdai hozzájárulás megadásához.

    Fontos

    Gondosan értékelje ki az alkalmazást, mielőtt bérlőszintű rendszergazdai hozzájárulást ad, még akkor is, ha a szervezet számos felhasználója már beleegyezett.

  3. Minden jóváhagyott alkalmazáshoz adjon bérlői szintű rendszergazdai hozzájárulást, és fontolja meg a felhasználói hozzáférés korlátozását a felhasználó-hozzárendelés megkövetelésével.

A bérlőszintű rendszergazdai hozzájárulás megadása érzékeny művelet. Az engedélyek a teljes szervezet nevében lesznek megadva, és a magas jogosultsági szintű műveletek megkísérlésére vonatkozó engedélyeket is tartalmazhatnak. Ilyen műveletek például a szerepkörkezelés, a teljes hozzáférés az összes postaládához vagy webhelyhez, valamint a teljes felhasználói megszemélyesítés.

Mielőtt bérlőszintű rendszergazdai hozzájárulást ad, fontos meggyőződnie arról, hogy megbízik az alkalmazásban és az alkalmazás közzétevőjében a megadott hozzáférési szintnek megfelelően. Ha nem biztos abban, hogy tudja, ki szabályozza az alkalmazást, és hogy miért kéri az alkalmazás az engedélyeket, ne adjon hozzájárulást.

Amikor rendszergazdai hozzájárulás megadására irányuló kérést értékel ki, az alábbiakat érdemes megfontolnia:

  • Ismerje meg a Microsoft Identitásplatform engedély- és hozzájárulási keretrendszerét.

  • Ismerje meg a delegált engedélyek és az alkalmazásengedélyek közötti különbséget.

    Az alkalmazásengedélyek lehetővé teszik, hogy az alkalmazás felhasználói beavatkozás nélkül hozzáférjen a teljes szervezet adataihoz. A delegált engedélyek lehetővé teszik, hogy az alkalmazás egy olyan felhasználó nevében járjon el, aki korábban már bejelentkezett az alkalmazásba.

  • Ismerje meg a kért engedélyeket.

    Az alkalmazás által kért engedélyek szerepelnek a hozzájárulási kérésben. Az engedély címének kibontásával megjelenik az engedély leírása. Az alkalmazásengedélyek leírása általában "bejelentkezett felhasználó nélkül" végződik. A delegált engedélyek leírása általában "a bejelentkezett felhasználó nevében" végződik. A Microsoft Graph API engedélyeit a Microsoft Graph engedélyreferenciája ismerteti. Az általuk közzétett engedélyek megismeréséhez tekintse meg a többi API dokumentációját.

    Ha nem érti a kért engedélyt, ne adjon hozzájárulást.

  • Annak megismerése, hogy melyik alkalmazás igényel engedélyeket, és ki tette közzé az alkalmazást.

    Legyen óvatos azokkal a rosszindulatú alkalmazásokkal, amelyek más alkalmazásokhoz hasonlóan próbálnak kinézni.

    Ha kétségei vannak egy alkalmazás vagy annak közzétevője legitimitásában, ne adja meg a hozzájárulást. Ehelyett kérjen megerősítést (például közvetlenül az alkalmazás kiadójától).

  • Győződjön meg arról, hogy a kért engedélyek összhangban vannak az alkalmazástól elvárt funkciókkal.

    Egy SharePoint-webhelykezelést kínáló alkalmazáshoz például delegált hozzáférésre lehet szükség az összes webhelycsoport olvasásához, de nem feltétlenül lenne szüksége teljes hozzáférésre az összes postaládához, vagy teljes megszemélyesítési jogosultságra a címtárban.

    Ha azt gyanítja, hogy az alkalmazás a szükségesnél több engedélyt kér, ne adjon hozzájárulást. További részletekért forduljon az alkalmazás kiadóhoz.

Az Azure Portal bérlőszintű rendszergazdai hozzájárulásának megadására vonatkozó részletes útmutatásért lásd: Bérlőszintű rendszergazdai hozzájárulás megadása egy alkalmazáshoz.

A bérlőszintű rendszergazdai hozzájárulás visszavonásához áttekintheti és visszavonhatja az alkalmazásnak korábban megadott engedélyeket. További információért tekintse meg az alkalmazásokhoz megadott felülvizsgálati engedélyeket. A felhasználók alkalmazáshoz való hozzáférését úgy is eltávolíthatja, ha letiltja a felhasználói bejelentkezést az alkalmazásba , vagy elrejti az alkalmazást , hogy az ne jelenjen meg a Saját alkalmazások portálon.

Ahelyett, hogy a teljes szervezetnek ad meg hozzájárulást, a rendszergazda a Microsoft Graph API használatával is engedélyezheti, hogy a delegált engedélyeket egyetlen felhasználó nevében adja meg. A Microsoft Graph PowerShellt használó részletes példa: Hozzájárulás megadása egyetlen felhasználó nevében a PowerShell használatával.

Felhasználók alkalmazásokhoz való hozzáférésének korlátozása

Az alkalmazásokhoz való felhasználói hozzáférés továbbra is korlátozható, még akkor is, ha a bérlőszintű rendszergazdai hozzájárulás meg lett adva. A felhasználói hozzáférés korlátozásához felhasználói hozzárendelést kell kérnie egy alkalmazáshoz. További információ: Felhasználók és csoportok hozzárendelésének módszerei. A rendszergazdák úgy is korlátozhatják az alkalmazásokhoz való felhasználói hozzáférést, hogy minden jövőbeli felhasználói hozzájárulási műveletet letiltanak bármely alkalmazásra.

Az összetettebb forgatókönyvek kezelésével kapcsolatos átfogóbb áttekintésért tekintse meg az Azure Active Directory (Azure AD) használata alkalmazáshozzáférés-kezeléshez című témakört.

Következő lépések