Gérer le consentement pour les applications et évaluer les demandes de consentement
Microsoft recommande de limiter le consentement de l’utilisateur afin que les utilisateurs ne puissent consentir qu’aux applications provenant d’éditeurs vérifiés et uniquement pour les autorisations que vous sélectionnez. Pour les applications ne répondant pas à ces critères, le processus décisionnel est centralisé auprès de l’équipe d’administrateurs de la sécurité et des identités de votre organisation.
Après avoir désactivé ou restreint le consentement de l’utilisateur, vous devez suivre plusieurs étapes importantes pour vous aider à sécuriser votre organisation à mesure que vous continuez à autoriser les applications critiques pour l’entreprise à utiliser. Ces étapes sont essentielles pour réduire l’impact sur l’équipe de support de votre organisation et les administrateurs informatiques, ainsi qu’empêcher l’utilisation de comptes non managés dans les applications non Microsoft.
Cet article fournit une aide sur la gestion du consentement pour les applications et l’évaluation des requêtes de consentement dans les recommandations de Microsoft, notamment en limitant le consentement utilisateur aux éditeurs vérifiés et aux autorisations sélectionnées. Il couvre des concepts tels que les modifications de processus, la formation des administrateurs, l’audit et l’analyse, et la gestion du consentement administrateur au niveau du locataire.
Changements de processus et formation
Activez le workflow de consentement de l’administrateur pour permettre aux utilisateurs de demander l’approbation de l’administrateur directement à partir de l’écran de consentement.
Assurez-vous que tous les administrateurs comprennent les points suivants :
Passez en revue les processus existants de votre organisation pour permettre aux utilisateurs de demander l’approbation de l’administrateur pour une application et d’effectuer des mises à jour si nécessaire. Si les processus changent :
- Mettez à jour la documentation appropriée, la supervision, l’automatisation, etc.
- Communiquez les changements de processus à tous les utilisateurs, développeurs, équipes de support et administrateurs informatiques concernés.
Audit et supervision
Auditez les applications et les autorisations octroyées dans votre organisation afin de vous assurer qu’aucun accès aux données n’a déjà été octroyé à des applications indésirables ou suspectes.
Consultez l’article Détecter et résoudre les problèmes d’octroi illégal de consentement dans Office 365 pour découvrir davantage de meilleures pratiques et mesures de protection contre les applications suspectes demandant un consentement OAuth.
Si votre organisation dispose de la licence appropriée :
- Utilisez d’autres fonctionnalités d’audit d’application OAuth dans Microsoft Defender for Cloud Apps.
- Utilisez les Classeurs Azure Monitor pour superviser les autorisations et le consentement relatifs à l’activité. Le classeur Consent Insights fournit une vue des applications par nombre de demandes de consentement ayant échoué. Ces informations peuvent vous aider à hiérarchiser les applications afin de permettre aux administrateurs de les passer en revue et de décider de leur accorder ou non le consentement de l’administrateur.
Autres points à prendre en considération pour réduire les frictions
Pour réduire l’impact sur les applications approuvées critiques pour l’entreprise qui sont déjà en cours d’utilisation, accordez de manière proactive le consentement de l’administrateur aux applications qui ont un nombre élevé d’octrois de consentement de l’utilisateur :
Faites l’inventaire des applications déjà ajoutées à votre organisation et qui sont très utilisées, en fonction des journaux de connexion ou de l’activité d’octroi de consentement. Vous pouvez utiliser un script PowerShell pour découvrir facilement et rapidement des applications associées à un grand nombre d’octrois de consentement de l’utilisateur.
Évaluez les principales applications pour l’octroi du consentement de l’administrateur.
Important
Évaluez soigneusement les applications avant d’accorder le consentement de l’administrateur au niveau du locataire, même si de nombreux utilisateurs de l’organisation ont déjà consenti pour eux-mêmes.
Pour chaque application approuvée, accordez le consentement de l’administrateur à l’échelle du locataire et envisagez de limiter l’accès des utilisateurs en demandant une affectation d’utilisateurs.
Évaluer une demande de consentement de l’administrateur à l’échelle du locataire
L’octroi du consentement de l’administrateur au niveau du locataire est une opération sensible. Les autorisations sont octroyées au nom de toute l’organisation et peuvent comprendre des autorisations permettant de tenter des opérations à privilèges élevés. Il peut s’agir, par exemple, d’opérations de gestion des rôles, d’accès complet à toutes les boîtes aux lettres ou à tous les sites, et d’emprunt d’identité d’utilisateur complet.
Avant d’accorder un consentement d’administrateur à l’échelle du locataire, il est important que vous approuviez l’application et son éditeur pour le niveau d’accès que vous accordez. Si vous n’êtes pas certain de savoir qui contrôle l’application et pourquoi celle-ci demande des autorisations, n’accordez pas de consentement.
Lorsque vous évaluez une demande de consentement de l’administrateur, voici quelques recommandations à prendre en compte :
Comprendre les autorisations et la structure de consentement dans la plateforme d’identités Microsoft.
Comprendre la différence entre les autorisations déléguées et les autorisations d’application.
Les autorisations d’application permettent à l’application d’accéder aux données de toute l’organisation, sans aucune interaction utilisateur. Les autorisations déléguées permettent à l’application d’agir pour le compte d’un utilisateur qui a été connecté à l’application à un moment donné.
Comprenez les autorisations qui sont demandées.
Les autorisations demandées par l’application sont listées dans l’invite de consentement. Le développement du titre de l’autorisation permet d’en voir la description. La description des autorisations d’application se termine généralement par « sans utilisateur connecté ». La description des autorisations déléguées se termine généralement par « au nom de l’utilisateur connecté ». Les autorisations pour l’API Microsoft Graph sont décrites dans Informations de référence sur les autorisations Microsoft Graph. Reportez-vous à la documentation d’autres API pour comprendre les autorisations qu’elles exposent.
Si vous ne comprenez pas une autorisation demandée, n’accordez pas de consentement.
Comprendre quelle application demande des autorisations et qui a publié l’application.
Méfiez-vous des applications malveillantes qui tentent de ressembler à d’autres applications.
Si vous doutez de la légitimité d’une application ou de son éditeur, n’accordez pas de consentement. Recherchez plutôt une confirmation (par exemple, directement auprès de l’éditeur de l’application).
Vérifiez que les autorisations demandées sont en phase avec les fonctionnalités que vous attendez de l’application.
Par exemple, une application qui offre la gestion de sites SharePoint peut demander un accès délégué pour lire toutes les collections de sites, mais n’a pas nécessairement besoin d’un accès total à toutes les boîtes aux lettres ni des privilèges d’emprunt total d’identité dans le répertoire.
Si vous pensez que l’application demande plus d’autorisations que nécessaire, n’accordez pas de consentement. Pour obtenir plus de détails, contactez l’éditeur de l’application.
Accorder le consentement de l’administrateur au niveau locataire
Pour obtenir des instructions pas à pas sur l’octroi du consentement administrateur à l’échelle d’un locataire à partir du centre d’administration Microsoft Entra, consultez Accorder le consentement administrateur au niveau locataire à une application.
Révoquer le consentement administrateur à l’échelle du locataire
Pour révoquer le consentement administrateur à l’échelle du locataire, vous pouvez examiner et révoquer les autorisations précédemment accordées à l’application. Pour plus d’informations, consultez Vérifier les autorisations accordées aux applications. Vous pouvez aussi supprimer l’accès de l’utilisateur à l’application en désactivant la connexion utilisateur à l’application ou en masquant l’application de sorte qu’elle ne s’affiche pas dans le portail Mes applications.
Octroyer un consentement au nom d’un utilisateur spécifique
Au lieu d’accorder un consentement pour toute l’organisation, un administrateur peut également utiliser l’API Microsoft Graph pour accorder un consentement aux autorisations déléguées pour le compte d’un seul utilisateur. Pour obtenir un exemple détaillé de l’utilisation de Microsoft Graph PowerShell, consultez Accorder le consentement pour le compte d’un utilisateur unique à l’aide de PowerShell.
Limiter l’accès utilisateur aux applications
L’accès utilisateur aux applications peut toujours être limité, même si le consentement de l’administrateur à l’échelle du tenant est octroyé. Pour limiter l’accès utilisateur, exigez une affectation d’utilisateur à une application. Pour plus d'informations, voir Méthodes d'affectation d'utilisateurs et de groupes. Les administrateurs peuvent également limiter l’accès utilisateur à des applications en désactivant toutes les futures opérations de consentement de l’utilisateur pour toute application.
Pour une vue d’ensemble plus large incluant la façon de gérer davantage de scénarios complexes, consultez Utiliser Microsoft Entra ID pour la gestion des accès aux applications.