Gerir o consentimento a aplicações e avaliar pedidos de consentimento

A Microsoft recomenda que restrinja o consentimento do utilizador para permitir que os utilizadores consintam apenas em aplicações de editores verificados e apenas para permissões que selecione. Para aplicações que não satisfaçam estes critérios, o processo de tomada de decisão será centralizado com a equipa de segurança e administrador de identidade da sua organização.

Depois de desativar ou restringir o consentimento do utilizador, tem vários passos importantes a tomar para ajudar a manter a sua organização segura, uma vez que continua a permitir a utilização de aplicações críticas ao negócio. Estes passos são cruciais para minimizar o impacto na equipa de apoio da sua organização e administradores de TI, e para ajudar a prevenir o uso de contas não geridos em aplicações de terceiros.

Mudanças de processo e educação

  1. Considere permitir que o fluxo de trabalho de consentimento administrativo permita que os utilizadores solicitem a aprovação do administrador diretamente a partir do ecrã de consentimento.

  2. Certifique-se de que todos os administradores entendem as permissões e o quadro de consentimento, como funciona o consentimento e como avaliar um pedido de consentimento administrativo em todo o inquilino.

  3. Reveja os processos existentes da sua organização para que os utilizadores solicitem a aprovação do administrador para uma aplicação e atualizem-nos se necessário. Se os processos forem alterados:

    • Atualizar a documentação relevante, monitorização, automação, e assim por diante.
    • Comunicar alterações de processos a todos os utilizadores afetados, desenvolvedores, equipas de suporte e administradores de TI.

Auditoria e monitorização

  1. Aplicações de auditoria e permissões concedidas na sua organização para garantir que nenhuma aplicação injustificada ou suspeita foi previamente autorizada a ter acesso aos dados.

  2. Reveja as Bolsas de Consentimento Ilícitas de Deteção e Reparação no Artigo 365 do Office para obter mais boas práticas e salvaguardas contra aplicações suspeitas que solicitam o consentimento da OAuth.

  3. Se a sua organização tiver a licença adequada, faça o seguinte:

Outras considerações para reduzir o atrito

Para minimizar o impacto em aplicações fidedignas e críticas ao negócio que já estão em uso, considere conceder proativamente o consentimento do administrador a aplicações que tenham um elevado número de subsídios de consentimento do utilizador:

  1. Faça um inventário das aplicações já adicionadas à sua organização com elevado uso, com base em registos de login ou atividade de concessão de consentimento. Pode utilizar um script PowerShell para descobrir de forma rápida e fácil aplicações com um grande número de bolsas de consentimento do utilizador.

  2. Avaliar as principais candidaturas para conceder o consentimento da administração.

    Importante

    Avalie cuidadosamente uma aplicação antes de conceder o consentimento administrativo ao arrendatário, mesmo que muitos utilizadores da organização já tenham consentido por si mesmos.

  3. Para cada aplicação aprovada, conceda o consentimento administrativo ao arrendatário e considere restringir o acesso do utilizador exigindo a atribuição do utilizador.

Conceder o consentimento administrativo do inquilino é uma operação sensível. As permissões serão concedidas em nome de toda a organização, e podem incluir permissões para tentar operações altamente privilegiadas. Exemplos de tais operações são a gestão de funções, o acesso total a todas as caixas de correio ou a todos os sites, e a representação completa do utilizador.

Antes de conceder o consentimento administrativo do inquilino, é importante garantir que confia na aplicação e no editor de aplicações para o nível de acesso que está a conceder. Se não está confiante de que compreende quem controla a aplicação e por que razão o pedido está a solicitar as permissões, não conceda consentimento.

Quando está a avaliar um pedido de consentimento administrativo, aqui ficam algumas recomendações a considerar:

  • Compreenda as permissões e o enquadramento de consentimento na plataforma de identidade da Microsoft.

  • Compreenda a diferença entre permissões delegadas e permissões de inscrição.

    As permissões de aplicação permitem que a aplicação aceda aos dados de toda a organização, sem qualquer interação do utilizador. As permissões delegadas permitem que o pedido aja em nome de um utilizador que tenha sido assinado na aplicação em algum momento.

  • Compreenda as permissões que estão a ser pedidas.

    As permissões solicitadas pelo pedido estão listadas no pedido de consentimento. Expandir o título de permissão exibe a descrição da permissão. A descrição das permissões de aplicação geralmente termina em "sem um utilizador inscrito". A descrição das permissões delegadas geralmente termina com "em nome do utilizador inscrito". As permissões para a API do Gráfico da Microsoft são descritas no Referenciamento de Permissões de Gráficos da Microsoft. Consulte a documentação para outras APIs para entender as permissões que expõem.

    Se não entende uma permissão que está a ser pedida, não conceda consentimento.

  • Compreenda qual o pedido que solicita permissões e quem publicou o pedido.

    Desconfie de aplicações maliciosas que tentam parecer com outras aplicações.

    Se duvidar da legitimidade de um pedido ou do seu editor, não conceda consentimento. Em vez disso, procure a confirmação (por exemplo, diretamente do editor da aplicação).

  • Certifique-se de que as permissões solicitadas estão alinhadas com as funcionalidades que espera da aplicação.

    Por exemplo, uma aplicação que ofereça a gestão do site SharePoint pode requerer acesso delegado para ler todas as coleções do site, mas não precisaria necessariamente de acesso total a todas as caixas de correio, ou privilégios de imitação completa no diretório.

    Se suspeitar que o pedido está a pedir mais permissões do que necessita, não conceda consentimento. Contacte o editor de aplicações para obter mais detalhes.

Para instruções passo a passo para conceder o consentimento administrativo do portal Azure, consulte o consentimento administrativo do Grant para um pedido.

Em vez de conceder o consentimento para toda a organização, um administrador também pode usar a API do Gráfico da Microsoft para conceder consentimento a permissões delegadas em nome de um único utilizador. Para obter um exemplo detalhado que utilize o Microsoft Graph PowerShell, consulte o consentimento do Grant em nome de um único utilizador utilizando o PowerShell.

Limitar o acesso dos utilizadores às aplicações

O acesso do utilizador às aplicações ainda pode ser limitado mesmo quando o consentimento administrativo do arrendatário foi concedido. Para obter mais informações sobre como exigir a atribuição do utilizador a uma aplicação, consulte Métodos para atribuir utilizadores e grupos. Os administradores também podem limitar o acesso do utilizador às aplicações, desativando todas as futuras operações de consentimento do utilizador a qualquer aplicação.

Para uma visão geral mais ampla, incluindo como lidar com cenários mais complexos, consulte Use Azure Ative Directory (Azure AD) para a gestão do acesso a aplicações.

Passos seguintes