Gerir o consentimento a aplicações e avaliar pedidos de consentimento
A Microsoft recomenda que você restrinja o consentimento do usuário para permitir que os usuários consintam apenas para aplicativos de editores verificados e somente para permissões selecionadas. Para aplicativos que não atendem a esses critérios, o processo de tomada de decisão é centralizado com a equipe de administradores de segurança e identidade da sua organização.
Depois de desativar ou restringir o consentimento do usuário, você tem várias etapas importantes a serem seguidas para ajudar a manter sua organização segura à medida que continua a permitir que aplicativos críticos para os negócios sejam usados. Essas etapas são cruciais para minimizar o impacto na equipe de suporte e nos administradores de TI da sua organização e para ajudar a evitar o uso de contas não gerenciadas em aplicativos que não são da Microsoft.
Este artigo fornece orientações sobre como gerenciar o consentimento para aplicativos e avaliar solicitações de consentimento nas recomendações da Microsoft, incluindo a restrição do consentimento do usuário a editores verificados e permissões selecionadas. Ele abrange conceitos como alterações de processos, educação para administradores, auditoria e monitoramento e gerenciamento de consentimento de administrador em todo o locatário.
Mudanças de processo e educação
Considere habilitar o fluxo de trabalho de consentimento do administrador para permitir que os usuários solicitem a aprovação do administrador diretamente na tela de consentimento.
Certifique-se de que todos os administradores compreendem:
- Estrutura de permissões e consentimento
- Como funciona a experiência de consentimento e os prompts .
- Como avaliar uma solicitação de consentimento de administrador em todo o locatário.
Analise os processos existentes da sua organização para que os usuários solicitem a aprovação do administrador para um aplicativo e atualize-os, se necessário. Se os processos forem alterados:
- Atualize a documentação relevante, monitoramento, automação e assim por diante.
- Comunique as alterações do processo a todos os usuários, desenvolvedores, equipes de suporte e administradores de TI afetados.
Auditoria e acompanhamento
Audite aplicativos e permissões concedidas em sua organização para garantir que nenhum aplicativo injustificado ou suspeito já tenha acesso aos dados.
Consulte o artigo Detetar e remediar concessões de consentimento ilícito no Office 365 para obter mais práticas recomendadas e proteções contra aplicativos suspeitos que solicitam consentimento OAuth.
Se a sua organização tiver a licença apropriada:
- Use outros recursos de auditoria de aplicativos OAuth no Microsoft Defender for Cloud Apps.
- Use as Pastas de Trabalho do Azure Monitor para monitorar permissões e atividades relacionadas ao consentimento. A pasta de trabalho do Consent Insights fornece uma exibição de aplicativos por número de solicitações de consentimento com falha. Essas informações podem ajudá-lo a priorizar aplicativos para que os administradores analisem e decidam se concedem a eles o consentimento de administrador.
Outras considerações para reduzir o atrito
Para minimizar o impacto em aplicativos confiáveis e críticos para os negócios que já estão em uso, considere conceder proativamente o consentimento do administrador para aplicativos que tenham um alto número de concessões de consentimento do usuário:
Faça um inventário dos aplicativos já adicionados à sua organização com alto uso, com base em logs de entrada ou atividade de concessão de consentimento. Você pode usar um script do PowerShell para descobrir aplicativos de forma rápida e fácil com um grande número de concessões de consentimento de usuário.
Avalie os principais aplicativos para conceder consentimento de administrador.
Importante
Avalie cuidadosamente um aplicativo antes de conceder o consentimento de administrador de todo o locatário, mesmo que muitos usuários na organização já tenham consentido por si mesmos.
Para cada aplicativo aprovado, conceda consentimento de administrador em todo o locatário e considere restringir o acesso do usuário exigindo a atribuição do usuário.
Avaliar um pedido de consentimento do administrador ao nível do inquilino
Conceder consentimento de administrador em todo o locatário é uma operação confidencial. As permissões são concedidas em nome de toda a organização e podem incluir permissões para tentar operações altamente privilegiadas. Exemplos de tais operações são o gerenciamento de funções, o acesso total a todas as caixas de correio ou a todos os sites e a representação total do usuário.
Antes de conceder consentimento de administrador para todo o locatário, é importante garantir que você confie no aplicativo e no editor do aplicativo para o nível de acesso que você está concedendo. Se você não tiver certeza de que entende quem controla o aplicativo e por que o aplicativo está solicitando as permissões, não conceda consentimento.
Ao avaliar uma solicitação para conceder consentimento de administrador, aqui estão algumas recomendações a serem consideradas:
Entenda a estrutura de permissões e consentimento na plataforma de identidade da Microsoft.
Entenda a diferença entre permissões delegadas e permissões de aplicativo.
As permissões do aplicativo permitem que o aplicativo acesse os dados de toda a organização, sem qualquer interação do usuário. As permissões delegadas permitem que o aplicativo aja em nome de um usuário que entrou no aplicativo em algum momento.
Entenda as permissões que estão sendo solicitadas.
As permissões solicitadas pelo aplicativo estão listadas no prompt de consentimento. Expandir o título da permissão exibe a descrição da permissão. A descrição das permissões do aplicativo geralmente termina em "sem um usuário conectado". A descrição das permissões delegadas geralmente termina com "em nome do usuário conectado". As permissões para a API do Microsoft Graph são descritas em Referência de permissões do Microsoft Graph. Consulte a documentação de outras APIs para entender as permissões que elas expõem.
Se você não entender uma permissão que está sendo solicitada, não conceda consentimento.
Entenda qual aplicativo está solicitando permissões e quem publicou o aplicativo.
Desconfie de aplicações maliciosas que tentam parecer com outras aplicações.
Se duvidar da legitimidade de uma aplicação ou do seu editor, não dê o seu consentimento. Em vez disso, procure confirmação (por exemplo, diretamente do editor do aplicativo).
Certifique-se de que as permissões solicitadas estejam alinhadas com os recursos que você espera do aplicativo.
Por exemplo, um aplicativo que oferece gerenciamento de site do SharePoint pode exigir acesso delegado para ler todos os conjuntos de sites, mas não precisaria necessariamente de acesso total a todas as caixas de correio ou privilégios de representação total no diretório.
Se você suspeitar que o aplicativo está solicitando mais permissões do que precisa, não conceda consentimento. Entre em contato com o editor do aplicativo para obter mais detalhes.
Conceder consentimento de administrador ao nível do inquilino
Para obter instruções passo a passo sobre como conceder consentimento de administrador de todo o locatário do centro de administração do Microsoft Entra, consulte Conceder consentimento de administrador de todo o locatário a um aplicativo.
Revogar o consentimento do administrador em todo o locatário
Para revogar o consentimento de administrador de todo o locatário, você pode revisar e revogar as permissões concedidas anteriormente ao aplicativo. Para obter mais informações, consulte Revisar permissões concedidas a aplicativos. Você também pode remover o acesso do usuário ao aplicativo desativando o login do usuário no aplicativo ou ocultando o aplicativo para que ele não apareça no portal Meus aplicativos.
Conceder consentimento em nome de um utilizador específico
Em vez de conceder consentimento a toda a organização, o administrador também pode utilizar a Microsoft Graph API para conceder consentimento a permissões delegadas em nome de um único utilizador. Para obter um exemplo detalhado que usa o Microsoft Graph PowerShell, consulte Conceder consentimento em nome de um único usuário usando o PowerShell.
Limitar o acesso do usuário aos aplicativos
O acesso do usuário aos aplicativos ainda pode ser limitado, mesmo quando o consentimento do administrador de todo o locatário é concedido. Para limitar o acesso do usuário, exija a atribuição do usuário a um aplicativo. Para obter mais informações, consulte Métodos para atribuir usuários e grupos. Os administradores também podem limitar o acesso do usuário aos aplicativos desativando todas as operações futuras de consentimento do usuário para qualquer aplicativo.
Para obter uma visão geral mais ampla, incluindo como lidar com cenários mais complexos, consulte Usar o Microsoft Entra ID para gerenciamento de acesso a aplicativos.