Hantera medgivande till program och utvärdera begäranden om medgivande

Microsoft rekommenderar att du begränsar användarens medgivande så att användarna endast tillåter appar från verifierade utgivare och endast för behörigheter som du väljer. För appar som inte uppfyller dessa kriterier kommer beslutsprocessen att centraliseras med organisationens säkerhets- och identitetsadministratörsteam.

När du har inaktiverat eller begränsat användarmedgivande har du flera viktiga steg att vidta för att skydda din organisation när du fortsätter att tillåta användning av affärskritiska program. De här stegen är viktiga för att minimera påverkan på organisationens supportteam och IT-administratörer och för att förhindra användningen av ohanterade konton i program från tredje part.

Bearbeta ändringar och utbildning

  1. Överväg att aktivera arbetsflödet för administratörsmedgivande så att användarna kan begära administratörsgodkännande direkt från medgivandeskärmen.

  2. Se till att alla administratörer förstårramverket för behörigheter och medgivande, hur frågan om medgivande fungerar och hur du utvärderar en begäran om administratörsmedgivande för hela klientorganisationen.

  3. Granska organisationens befintliga processer för användare för att begära administratörsgodkännande för ett program och uppdatera dem om det behövs. Om processer ändras:

    • Uppdatera relevant dokumentation, övervakning, automatisering och så vidare.
    • Kommunicera processändringar för alla berörda användare, utvecklare, supportteam och IT-administratörer.

Granskning och övervakning

  1. Granska appar och bevilja behörigheter i din organisation för att säkerställa att inga obehöriga eller misstänkta program tidigare har beviljats åtkomst till data.

  2. Mer metodtips och skydd mot misstänkta program som begär OAuth-medgivande finns i artikeln Om att identifiera och åtgärda otillåtna medgivanden i Office 365 artikeln.

  3. Om din organisation har rätt licens gör du följande:

Andra överväganden för att minska friktionen

För att minimera påverkan på betrodda, affärskritiska program som redan används bör du överväga att proaktivt bevilja administratörsmedgivande till program som har ett stort antal beviljanden av användarmedgivande:

  1. Gör en inventering av de appar som redan har lagts till i din organisation med hög användning, baserat på inloggningsloggar eller aktivitet för medgivandebe beviljande. Du kan använda ett PowerShell-skript för att snabbt och enkelt identifiera program med ett stort antal användarmedgivanden.

  2. Utvärdera de främsta programmen för att bevilja administratörsmedgivande.

    Viktigt

    Utvärdera ett program noggrant innan du beviljar administratörsmedgivande för hela klientorganisationen, även om många användare i organisationen redan har gett sitt medgivande själva.

  3. För varje godkänt program beviljar du administratörsmedgivande för hela klientorganisationen och överväger att begränsa användaråtkomsten genom att kräva användartilldelning.

Att bevilja administratörsmedgivande för hela klientorganisationen är en känslig åtgärd. Behörigheter beviljas för hela organisationens räkning och de kan innehålla behörigheter för att försöka utföra mycket privilegierade åtgärder. Exempel på sådana åtgärder är rollhantering, fullständig åtkomst till alla postlådor eller alla platser och fullständig användarpersonifiering.

Innan du beviljar administratörsmedgivande för hela klientorganisationen är det viktigt att du litar på programmet och programutgivaren för den åtkomstnivå som du beviljar. Om du inte är säker på att du förstår vem som styr programmet och varför programmet begär behörighet ska du inte bevilja medgivande.

När du utvärderar en begäran om att bevilja administratörsmedgivande finns det några rekommendationer att tänka på:

  • Förstå ramverket för behörigheter och medgivande i Microsofts identitetsplattform.

  • Förstå skillnaden mellan delegerade behörigheter och programbehörigheter.

    Programbehörigheter gör att programmet kan komma åt data för hela organisationen, utan någon användarinteraktion. Delegerade behörigheter gör att programmet kan agera för en användares räkning som någon gång har loggat in i programmet.

  • Förstå de behörigheter som begärs.

    De behörigheter som begärs av programmet visas i fråga om medgivande. Om du expanderar behörighetsrubriken visas behörighetens beskrivning. Beskrivningen för programbehörigheter slutar vanligtvis med "utan en inloggad användare". Beskrivningen för delegerade behörigheter slutar vanligtvis med "för den inloggade användarens räkning". Behörigheter för Microsoft Graph API beskrivs i Microsoft Graph Permissions Reference. Läs dokumentationen för andra API:er för att förstå de behörigheter som de exponerar.

    Om du inte förstår en behörighet som begärs ska du inte bevilja medgivande.

  • Förstå vilket program som begär behörigheter och vem som publicerade programmet.

    Var försiktig med skadliga program som försöker se ut som andra program.

    Om du är osäker på om ett program eller dess utgivare är legitimt ska du inte bevilja medgivande. Sök i stället efter bekräftelse (till exempel direkt från programutgivaren).

  • Se till att de begärda behörigheterna överensstämmer med de funktioner som du förväntar dig av programmet.

    Till exempel kan ett program som erbjuder SharePoint-platshantering kräva delegerad åtkomst för att läsa alla webbplatssamlingar, men det behöver inte nödvändigtvis fullständig åtkomst till alla postlådor eller fullständiga personifieringsbehörigheter i katalogen.

    Om du misstänker att programmet begär fler behörigheter än det behöver ska du inte bevilja medgivande. Kontakta programutgivaren om du vill ha mer information.

Stegvisa instruktioner för att bevilja administratörsmedgivande för hela klientorganisationen från Azure Portal finns i Bevilja administratörsmedgivande för hela klientorganisationen till ett program.

I stället för att ge medgivande för hela organisationen kan en administratör också använda Microsoft Graph API för att bevilja medgivande till delegerade behörigheter för en enskild användares räkning. Ett detaljerat exempel som använder Microsoft Graph PowerShell finns i Bevilja medgivande för en enskild användare med hjälp av PowerShell.

Begränsa användaråtkomst till program

Användaråtkomst till program kan fortfarande begränsas även om administratörsmedgivande för hela klientorganisationen har beviljats. Mer information om hur du kräver användartilldelning till ett program finns i Metoder för att tilldela användare och grupper. Administratörer kan också begränsa användaråtkomsten till program genom att inaktivera alla framtida åtgärder för användarmedgivande för alla program.

En bredare översikt, inklusive hur du hanterar mer komplexa scenarier, finns i Använda Azure Active Directory (Azure AD) för programåtkomsthantering.

Nästa steg