Реализация и настройка параметров согласия

  • 1 минута

Можно интегрировать приложения с платформой удостоверений Майкрософт, чтобы пользователи могли входить в систему со своей рабочей или учебной учетной записью и получать доступ к данным организации для использования разнообразных возможностей на основе данных.

Прежде чем приложение сможет получить доступ к данным организации, пользователь должен предоставить приложению разрешения. Различные разрешения позволяют использовать разные уровни доступа. По умолчанию все пользователи могут предоставлять приложениям согласие на разрешения, которые не требуют согласия администратора. Например, по умолчанию пользователь может разрешить приложению доступ к своему почтовому ящику. Однако они не могут разрешить приложению неограниченный доступ для чтения и записи во всех файлах в организации.

Позволяя пользователям предоставлять приложениям доступ к данным, вы даете им возможность легко получать полезные приложения и работать продуктивно. Однако в некоторых ситуациях эта конфигурация может представлять риск, если ее не отслеживать и не контролировать.

Важно!

Чтобы снизить риск попыток вредоносных приложений обманным путем заставить пользователей предоставить им доступ к данным организации, рекомендуется разрешать согласие пользователя только для приложений, которые были опубликованы проверенным издателем.

Политики согласия приложений описывают условия, которые должны быть выполнены, прежде чем приложение может быть одобрено. Эти политики могут включать в себя условия для приложения, запрашивающего доступ, а также разрешения, которые оно запрашивает.

При выборе политик согласия приложений, которые применяются для всех пользователей, можно установить ограничения на то, когда пользователям разрешено давать согласие приложениям и когда они должны будут запрашивать проверку и утверждение администратором.

  • Согласие пользователей отключено: пользователи не могут предоставлять разрешения приложениям. Пользователи могут продолжать выполнять вход в приложения, которым они ранее давали согласие или которым давали согласие администраторы от их имени, но им не будет разрешено давать согласие на новые разрешения или новым приложениям самостоятельно. Только пользователи, которым была предоставлена роль каталога, включающая разрешение на предоставление согласия, могут давать согласие на использование новых приложений.

  • Пользователи могут давать согласие на приложения от проверенных издателей или вашей организации, но только для разрешений, которые вы выбираете — все пользователи могут давать согласие только на приложения, которые были опубликованы проверенным издателем, и на приложения, зарегистрированные в клиенте. Пользователи могут предоставлять согласие только на разрешения, определенные вами как low impact. Можно классифицировать разрешения, чтобы выбрать, на какие разрешения разрешено давать согласие пользователям.

  • Пользователи могут предоставлять согласие всем приложениям: данный параметр позволяет всем пользователям давать согласие на любые разрешения, не требующие согласия администратора, для любого приложения.

  • Настраиваемая политика согласия приложения — для получения дополнительных вариантов условий, определяющих согласие пользователей, можно создать собственные политики согласия приложений и настроить их для подачи заявки на согласие пользователя.

    Screenshot of the User consent settings dialog in the enterprise apps registration process.

Повышение уровня согласия на основе рисков позволяет снизить уязвимость пользователей для вредоносных приложений, которые делают незаконные запросы на согласие. Если Майкрософт обнаруживает запрос согласия конечного пользователя, связанный с риском, запрос будет перенаправлен администратору. Данная возможность включена по умолчанию, но она приведет к изменению поведения только в том случае, если будет включено согласие конечного пользователя.

При обнаружении рискованного запроса на согласие будет отображаться сообщение о необходимости утверждения администратором. Если рабочий процесс запроса согласия администратора включен, пользователь может отправить запрос администратору для дальнейшего рассмотрения непосредственно из запроса согласия. Если он не включен, отображается следующее сообщение:

  • AADSTS90094: требуется разрешение на доступ к ресурсам в организации, которым может предоставить только администратор. Попросите администратора предоставить этому приложению разрешение, прежде чем его можно будет использовать.

В этом случае аудит также будет зарегистрирован с категорией ApplicationManagement, типом действия Согласие на приложение и статусом Причина обнаруженного опасного приложения.

Важно!

Администраторы должны тщательно оценивать все запросы на согласие до утверждения запроса, особенно если Microsoft обнаружила риск.