管理對應用程式的同意及評估同意要求

Microsoft 建議您 限制使用者同意 ，只允許使用者只同意來自已驗證發行者的應用程式，以及僅針對您選取的許可權。 針對不符合這些準則的應用程式，決策程式會與貴組織的安全性和身分識別系統管理員小組集中。

停用或限制使用者同意之後，您有數個重要步驟可協助保護組織的安全，因為您繼續允許使用業務關鍵應用程式。 這些步驟對於將貴組織支援小組和IT系統管理員的影響降到最低，並有助於防止第三方應用程式中使用非受控帳戶。

本文提供管理對應用程式同意以及評估 Microsoft 建議中同意要求的指引，包括限制使用者同意給已驗證的發行者和選取的許可權。 它涵蓋流程變更、系統管理員教育、稽核和監視，以及管理全租用戶系統管理員同意等概念。

程序變更和教育

• 請考慮啟用 系統管理員同意工作流程 ，讓使用者直接從同意畫面要求系統管理員核准。

• 確定所有系統管理員都瞭解：

  • 許可權和同意架構
  • 同意同意體驗和提示的運作方式。
  • 如何 評估全租使用者管理員同意的要求。

• 檢閱您組織現有的程式，讓使用者要求應用程式的系統管理員核准，並在必要時加以更新。 如果行程已變更：

  • 更新相關的檔、監視、自動化等等。
  • 將程式變更傳達給所有受影響的使用者、開發人員、支援小組和IT系統管理員。

稽核和監視

• 稽核您組織中的應用程式和已授與許可權 ，以確保先前未授與任何不必要或可疑應用程式的數據存取權。

• 請參閱在 Office 365 中偵測和補救非法同意授與一文，以取得更多最佳做法，並防範要求 OAuth 同意的可疑應用程式。

• 如果您的組織擁有適當的授權：

  • 在 適用於雲端的 Microsoft Defender Apps 中使用其他 OAuth 應用程式稽核功能。
  • 使用 Azure 監視器活頁簿 來監視許可權和同意相關活動。 Consent Insights 活 頁簿 會依失敗的同意要求數目提供應用程式的檢視。 這項資訊可協助您排定應用程式優先順序，讓系統管理員檢閱及決定是否要授與系統管理員同意。

減少摩擦的其他考慮

若要將已使用中受信任、業務關鍵性應用程式的影響降到最低，請考慮主動將系統管理員同意授與具有大量使用者同意授與的應用程式：

• 根據登入記錄或同意授與活動，清查已新增至貴組織的應用程式使用量很高。 您可以使用 PowerShell腳本 ，快速且輕鬆地探索大量使用者同意授與的應用程式。

• 評估最上層應用程式以授與管理員同意。

  重要

  在授與全租用戶系統管理員同意之前，請仔細評估應用程式，即使組織中的許多用戶已經自行同意也一樣。

• 針對每個核准的應用程式，授與全租用戶的系統管理員同意，並考慮透過要求使用者指派來限制使用者存取權。

評估全租用戶管理員同意的要求

授與全租用戶管理員同意是一項敏感性作業。 許可權會代表整個組織授與，而且可以包含嘗試高度特殊許可權作業的許可權。 這類作業的範例包括角色管理、所有信箱或所有網站的完整存取權，以及完整使用者模擬。

在授與全租用戶系統管理員同意之前，請務必確定您信任應用程式，以及要授與之存取層級的應用程式發行者。 如果您不確定您瞭解誰控制應用程式，以及應用程式要求許可權的原因，請勿授與同意。

當您在評估要求以授與管理員同意時，有一些需要考慮的建議：

• 瞭解 Microsoft 身分識別平台 中的許可權和同意架構。

• 瞭解委派的許可權與應用程式許可權之間的差異。

  應用程式許可權可讓應用程式存取整個組織的數據，而不需要任何用戶互動。 委派權限可讓應用程式代表已在某個時間點登入應用程式的使用者採取動作。

• 了解所要求的權限。

  應用程式所要求的許可權會列在同意提示中。 擴充權限標題會顯示權限的描述。 應用程式許可權的描述通常會以「沒有登入的用戶」結尾。委派許可權的描述通常會以「代表登入的用戶」結尾。Microsoft Graph 許可權參考中會說明 Microsoft Graph API 的許可權。 請參閱其他 API 的文件，以了解其所公開的權限。

  如果您不瞭解所要求的許可權，請勿授與同意。

• 了解哪個應用程式正在要求權限，以及發佈應用程式的人員。

  謹慎使用嘗試看起來像其他應用程式的惡意應用程式。

  如果您懷疑應用程式或其發行者的合法性，請勿授與同意。 相反地，搜尋確認 (例如，直接從應用程式發行者)。

• 請確定所要求的許可權符合您預期來自應用程式的功能。

  例如，提供 SharePoint 網站管理的應用程式可能需要委派存取權才能讀取所有網站集合，但不一定需要所有信箱的完整存取權，或目錄中的完整模擬許可權。

  如果您懷疑應用程式要求的許可權超過其需求，請勿授與同意。 請連絡應用程式發行者以取得更多詳細資料。

授與全租用戶管理員同意

如需從 Microsoft Entra 系統管理中心授與全租用戶系統管理員同意的逐步指示，請參閱 將全租使用者管理員同意授與應用程式。

撤銷全租使用者管理員同意

若要撤銷全租用戶的系統管理員同意，您可以檢閱並撤銷先前授與應用程式的許可權。 如需詳細資訊，請參閱 檢閱授與應用程式的許可權。 您也可以停用使用者登入應用程式或隱藏應用程式，使其不會出現在我的應用程式入口網站中，以移除使用者對應用程式的存取權。

代表特定使用者授與同意

系統管理員也可以使用 Microsoft Graph API 代表單一使用者授與對委派權限的同意，而非對整個組織授與同意。 如需使用 Microsoft Graph PowerShell 的詳細範例，請參閱 使用 PowerShell 代表單一使用者授與同意。

限制使用者對應用程式的存取

即使已授與整個租使用者管理員同意，使用者對應用程式的存取仍會受到限制。 若要限制使用者存取，需要使用者指派給應用程式。 如需詳細資訊，請參閱 指派使用者和群組的方法。 管理員 istrators 也可以藉由停用任何應用程式的所有未來使用者同意作業，來限制使用者對應用程式的存取。

如需更廣泛的概觀，包括如何處理更複雜的案例，請參閱 使用 Microsoft Entra ID 進行應用程式存取管理。

下一步

• 設定管理員同意工作流程
• 設定使用者同意應用程式的方式