Administración del consentimiento a las aplicaciones y evaluación de las solicitudes de consentimiento
Microsoft recomienda restringir el consentimiento del usuario para permitir que los usuarios solo den su consentimiento para las aplicaciones de editores verificados y únicamente para los permisos que seleccione. Para las aplicaciones que no cumplen estos criterios, el proceso de toma de decisiones se centraliza en el equipo de seguridad y administrador de identidades de su organización.
Después de desactivar o restringir el consentimiento del usuario, tiene que dar varios pasos importantes para ayudar a mantener la seguridad de su organización mientras sigue permitiendo el uso de aplicaciones críticas para la empresa. Estos pasos son cruciales para minimizar el impacto en el equipo de soporte de su organización y en los administradores de TI, y para ayudar a prevenir el uso de cuentas no gestionadas en aplicaciones que no sean de Microsoft.
Este artículo proporciona orientación sobre la administración del consentimiento para aplicaciones y la evaluación de solicitudes de consentimiento en las recomendaciones de Microsoft, incluida la restricción del consentimiento del usuario a editores verificados y permisos seleccionados. Abarca conceptos como cambios en los procesos, formación para administradores, auditoría y supervisión, y administración del consentimiento del administrador en todo el inquilino.
Cambios de proceso y educación
Considere la posibilidad de habilitar el flujo de trabajo de consentimiento del administrador para permitir que los usuarios soliciten la aprobación del administrador directamente desde la pantalla de consentimiento.
Asegúrese de que todos los administradores comprenden:
Revise los procesos existentes en la organización para que los usuarios soliciten la aprobación del administrador para una aplicación y actualícelos si es necesario. Si los procesos cambian:
- Actualice la documentación pertinente, la supervisión, la automatización, etc.
- Comunique los cambios en los procesos a todos los usuarios afectados, desarrolladores, equipos de soporte técnico y administradores de TI.
Auditoría y supervisión
Audite las aplicaciones y los permisos concedidos en su organización para asegurarse de que no hay aplicaciones injustificadas o sospechosas a las que ya se haya concedido acceso a los datos.
Revise el artículo Detección y corrección de las opciones ilegales para otorgar consentimiento en Office 365 a fin de conocer otros procedimientos recomendados y medidas de seguridad contra aplicaciones sospechosas que solicitan consentimiento de OAuth.
Si la organización tiene la licencia correspondiente:
- Use otras características de auditoría de aplicaciones de OAuth en Microsoft Defender for Cloud Apps.
- Use libros de Azure Monitor para supervisar la actividad relacionada con los permisos y el consentimiento. El libro Consent Insights proporciona una vista de las aplicaciones por número de solicitudes de consentimiento con error. Esta información puede ayudarle a clasificar las aplicaciones por orden de prioridad para que los administradores las revisen y decidan si se les concede el consentimiento del administrador.
Otras consideraciones para reducir la fricción
Para minimizar el impacto en las aplicaciones de confianza críticas para la empresa que ya están en uso, considere la posibilidad de conceder de forma proactiva el consentimiento del administrador a las aplicaciones que tienen un gran número de concesiones de consentimiento del usuario:
Realice un inventario de las aplicaciones ya agregadas a la organización que muestran un uso elevado, basado en registros de inicio de sesión o en la actividad de concesión de consentimiento. Puede usar un script de PowerShell para descubrir de forma rápida y sencilla las aplicaciones con un gran número de concesiones de consentimiento del usuario.
Evalúe las aplicaciones principales para conceder el consentimiento del administrador.
Importante
Evalúe cuidadosamente una aplicación antes de conceder consentimiento del administrador para todo el inquilino, incluso si muchos usuarios de la organización ya han dado su consentimiento.
Para cada aplicación aprobada, conceda el consentimiento del administrador para todo el inquilino y considere la posibilidad de exigir la asignación de usuarios a fin de restringir su acceso.
Evaluación de una solicitud de consentimiento del administrador para todo el inquilino
La concesión del consentimiento del administrador para todo el inquilino es una operación delicada. Los permisos se conceden en nombre de toda la organización, y pueden incluir permisos para intentar operaciones altamente privilegiadas. Algunos ejemplos de estas operaciones son la administración de roles, el acceso completo a todos los buzones de correo o todos los sitios y la suplantación total de los usuarios.
Antes de otorgar el consentimiento del administrador para todo el inquilino, es importante que se asegure de que confía en la aplicación y en su editor para el nivel de acceso que va a conceder. Si no sabe con seguridad quién controla la aplicación ni por qué la aplicación está solicitando los permisos, no conceda el consentimiento.
Al evaluar una solicitud para conceder consentimiento del administrador, estas son algunas recomendaciones que se deben tener en cuenta:
Comprenda el marco de permisos y consentimiento de la plataforma de identidad de Microsoft.
Comprenda la diferencia entre los permisos delegados y los permisos de aplicación.
Los permisos de aplicación permiten que esta acceda a los datos de toda la organización, sin interacción de ningún usuario. Los permisos delegados permiten que la aplicación actúe en nombre de un usuario que inició sesión en la aplicación en algún momento.
Comprenda los permisos que se solicitan.
Los permisos solicitados por la aplicación se enumeran en la petición de consentimiento. Cuando se expande el título del permiso, se muestra su descripción. Por lo general, la descripción de los permisos de aplicación termina en "sin que inicie sesión ningún usuario". La descripción de los permisos delegados suele terminar con "en nombre del usuario que inició sesión". Los permisos de Microsoft Graph API se describen en Referencia de permisos de Microsoft Graph. Consulte la documentación de otras API para comprender los permisos que exponen.
Si no entiende un permiso que se ha solicitado, no conceda el consentimiento.
Comprenda qué aplicación solicita permisos y quién la publicó.
Tenga cuidado con las aplicaciones malintencionadas que intentan parecer otras aplicaciones.
Si duda de la legitimidad de una aplicación o de su editor, no conceda el consentimiento. En su lugar, busque confirmación (por ejemplo, directamente del editor de la aplicación).
Asegúrese de que los permisos solicitados se corresponden con las características que espera de la aplicación.
Por ejemplo, una aplicación que ofrezca administración de sitios de SharePoint puede requerir acceso delegado para leer todas las colecciones de sitios, pero no precisaría necesariamente acceso completo a todos los buzones ni privilegios de suplantación total en el directorio.
Si sospecha que la aplicación solicita más permisos de los que necesita, no conceda el consentimiento. Póngase en contacto con el editor de la aplicación para obtener más detalles.
Concesión del consentimiento del administrador para todo el inquilino
Para obtener instrucciones paso a paso sobre cómo conceder el consentimiento de administrador a todo el inquilino desde el Centro de administración de Microsoft Entra, consulte Conceder el consentimiento de administrador a todo el inquilino a una aplicación.
Revoque el consentimiento del administrador para todo el inquilino
Para revocar el consentimiento del administrador para todo el inquilino, puede revisar y revocar los permisos concedidos previamente a la aplicación. Para obtener más información, consulte Revisión de los permisos concedidos a las aplicaciones. También puede quitar el acceso del usuario a la aplicación deshabilitando el inicio de sesión de usuario en la aplicación o ocultando la aplicación para que no aparezca en el portal Aplicaciones.
Concesión de consentimiento en nombre de un usuario específico
En lugar de conceder el consentimiento para toda la organización, un administrador también puede usar Microsoft Graph API para conceder consentimiento a los permisos delegados en nombre de un solo usuario. Para obtener un ejemplo detallado que use Microsoft Graph PowerShell, consulte Concesión de consentimiento en nombre de un solo usuario mediante PowerShell.
Limitación del acceso de los usuarios a las aplicaciones
El acceso de los usuarios a las aplicaciones puede seguir estando limitado aunque se conceda el consentimiento de administrador a todo el inquilino. Para limitar el acceso de usuario, requiera la asignación de usuarios a una aplicación. Para más información, consulte Métodos para asignar usuarios y grupos. Los administradores también pueden limitar el acceso de los usuarios a las aplicaciones si deshabilitan todas las operaciones futuras de consentimiento del usuario para todas las aplicaciones.
Para una visión general más amplia, incluyendo cómo manejar escenarios más complejos, consulte Uso de Microsoft Entra ID para la administración de acceso a las aplicaciones.