Управление согласием для приложений и оценка запросов на согласие

Рекомендуется ограничить возможность пользователей предоставлять согласия, чтобы они могли это делать только для приложений от проверенных издателей и только для выбранных вами разрешений. Для приложений, которые не соответствуют этим критериям, процесс принятия решений централизованный с помощью команды администраторов безопасности и удостоверений вашей организации.

Отключив или ограничив возможность пользователей давать согласия, необходимо выполнить несколько важных действий, чтобы обеспечить безопасность организации в процессе использования критически важных для бизнеса приложений. Описанные здесь действия имеют огромное значение для снижения нагрузки на группу поддержки и ИТ-администраторов организации и предотвращения использования неуправляемых учетных записей в сторонних приложениях.

В этой статье приводятся рекомендации по управлению согласием приложений и оценке запросов на согласие в рекомендациях Майкрософт, включая ограничение согласия пользователя проверенным издателям и выбранным разрешениям. В нем рассматриваются такие понятия, как изменения процесса, образование для администраторов, аудит и мониторинг, а также управление согласием администратора на уровне клиента.

Обработка изменений и информирование

• Мы рекомендуем настроить рабочий процесс согласия администратора, чтобы пользователи могли запрашивать согласие администратора непосредственно на экране согласия.

• Убедитесь, что все администраторы понимают следующее:

  • Разрешения и платформа согласия
  • Как работает интерфейс согласия и запросы.
  • Как оценить запрос на согласие администратора на уровне клиента.

• Изучите существующие в организации процессы, позволяющие пользователям запрашивать утверждение администратора для приложения, и обновите их, если требуется. Если придется изменять эти процессы, не забудьте сделать следующее:

  • Обновите соответствующую документацию, системы мониторинга, автоматизации и т. д.
  • Сообщите об изменениях в процессах всем, кого это коснется: пользователям, разработчикам, группам поддержки и ИТ-администраторам.

Аудит и мониторинг

• Регулярно проверяйте приложения и предоставленные разрешения в организации, чтобы в среде не сохранялись разрешения на доступ к данным, предоставленные необоснованно или подозрительным приложениям.

• Изучите статью Обнаружение случаев незаконного предоставления согласия и устранение их последствий, где приводятся дополнительные рекомендации и меры защиты от подозрительных приложений, запрашивающих согласие OAuth.

• Если у вашей организации имеется соответствующая лицензия:

  • Используйте дополнительные функции аудита приложения OAuth в Microsoft Defender for Cloud Apps.
  • Используйте книги Azure Monitor для отслеживания действий, связанных с разрешениями и согласием. Книга Consent Insights позволяет просматривать список приложений по количеству неподтвержденных запросов на согласие. Это может быть полезно для определения приоритетов приложений, которые администраторы могут просматривать и решать, давать ли им согласие администратора.

Дополнительные соображения для устранения проблем

Чтобы снизить влияние на надежные и критически важные для бизнеса приложения, которые уже используются в организации, постарайтесь заблаговременно предоставить согласие администратора для всех приложений с большим числом согласий пользователей:

• Составьте список приложений, уже добавленных в вашу организацию и активно используемых, на основе журналов входа или действий предоставления согласия. Примените этот скрипт PowerShell, чтобы легко и быстро обнаружить приложения с большим количеством предоставленных согласий пользователей.

• Оцените лучшие приложения, чтобы предоставить согласие администратора.

  Внимание

  Тщательно оцените каждое приложение перед предоставлением согласия администратора на уровне арендатора, даже если многие пользователи в организации предоставили для него согласие на использование.

• Для каждого утвержденного приложения предоставьте согласие администратора на уровне клиента и рассмотрите возможность ограничивать доступ пользователей, запрашивая назначение пользователей.

Оценка запроса на предоставление согласия администратора на уровне арендатора

Предоставление согласия администратора на уровне арендатора является критически важной операцией. Разрешения предоставляются от имени всей организации, и они могут включать разрешения на попытку высоко привилегированных операций. Примерами таких операций могут быть управление ролями, полный доступ ко всем почтовым ящикам или всем сайтам, а также полное олицетворение пользователя.

Прежде чем предоставлять согласие администратора на уровне клиента, убедитесь, что вы доверяете приложению и его издателю на том уровне доступа, который вы предоставляете. Если у вас нет полного понимания, кто управляет приложением и для чего ему нужны запрашиваемые разрешения, не предоставляйте согласие.

При оценке запроса на предоставление согласия администратора необходимо учитывать следующие рекомендации.

• Сведения о разрешениях и платформе согласия в платформа удостоверений Майкрософт.

• Понять разницу между делегированными разрешениями и разрешениями приложения.

  Разрешения приложения позволяют приложению получать доступ к данным всей организации без участия пользователя. Делегированные разрешения позволяют приложению действовать от имени пользователя, который выполнил вход в это приложение.

• Изучите запрашиваемые разрешения.

  Разрешения, запрашиваемые приложением, приведены в запросе согласия. Развернув заголовок разрешения, вы увидите его подробное описание. Описание разрешений приложения обычно заканчивается словами "без вошедшего в систему пользователя". Описание делегированных разрешений обычно заканчивается словами "от имени пользователя, выполнившего вход". Разрешения для API Microsoft Graph описаны в справочном руководстве по разрешениям Microsoft Graph. Изучите документацию по другим API, чтобы понять, какие разрешения им требуются.

  Если вы не понимаете суть запрашиваемого разрешения, не предоставляйте согласие.

• Изучите, какое приложение запрашивает разрешения и кто опубликовал это приложение.

  Помните о вредоносных приложениях, которые могут имитировать другие приложения.

  Если вы сомневаетесь в том, что приложение и его издатель заслуживают доверия, не предоставляйте согласие. Вместо этого постарайтесь получить подтверждения (например, обратиться к издателю приложения).

• Убедитесь, что все запрашиваемые разрешения соответствуют функциональным возможностям, которых вы ожидаете от этого приложения.

  Например, если приложение обеспечивает управление сайтом SharePoint, ему может потребоваться делегированный доступ на чтение ко всем семействам веб-сайтов, но вряд ли нужен полный доступ ко всем почтовым ящикам или права на полное олицетворение пользователя в каталоге.

  Если есть подозрения, что приложение запрашивает больше разрешений, чем строго необходимо, не предоставляйте согласие. Обратитесь к издателю приложения за разъяснениями.

Предоставление согласия администратора на уровне клиента

Пошаговые инструкции по предоставлению согласия администратора на уровне клиента из Центра администрирования Microsoft Entra см. в статье Предоставление согласия администратора на уровне клиента приложению.

Отзыв согласия администратора на уровне арендатора

Чтобы отозвать согласие администратора на уровне арендатора, можно просмотреть и отозвать разрешения, предоставленные ранее приложению. Дополнительные сведения см. в разделе Просмотр разрешений, предоставленных приложениям. Вы также можете удалить доступ пользователя к приложению, отключив вход пользователя в приложение или скрыв приложение, чтобы оно не отображалось на портале "Мои приложения".

Предоставление согласия от имени определенного пользователя

Вместо предоставления согласия для всей организации администратор может через API Microsoft Graph предоставлять согласие на делегированные разрешения от имени отдельного пользователя. Подробное описание примера использования Microsoft Graph Powershell см. в разделе о предоставлении согласия от имени одного пользователя с помощью Powershell.

Ограничение доступа пользователей к приложениям

Доступ пользователей к приложениям по-прежнему можно ограничить, даже если согласие администратора на уровне клиента предоставлено. Чтобы ограничить доступ пользователей, необходимо назначить пользователей приложению. Подробнее см. статью Методы назначения пользователей и групп. Администраторы также могут ограничить доступ пользователей к приложениям, отключив все дальнейшие операции на предоставление согласия пользователя любому приложению.

Более широкий обзор, включая способы обработки более сложных сценариев, см. в статье Об использовании идентификатора Microsoft Entra для управления доступом к приложениям.

Следующие шаги

• Настройка рабочего процесса согласия администратора
• Настройка согласия конечных пользователей для приложений с помощью Azure Active Directory