管理对应用程序的同意并评估同意请求

Microsoft 建议限制用户同意，以允许用户仅同意来自经验证的出版商的应用程序，并且只同意所选择的权限。 对于不满足这些条件的应用，决策过程将集中于贵组织的安全性和标识管理员团队。

禁用或限制用户同意后，需要采取几个重要步骤来帮助保护你的组织，因为会继续允许使用业务关键型应用程序。 这些步骤对于尽量减少对组织支持团队和 IT 管理员的影响至关重要，并有助于防止非 Microsoft 应用程序中使用非托管帐户。

本文提供了有关管理对应用程序的同意和评估 Microsoft 建议中的同意请求的指导，包括将用户同意限制在经验证的出版商和选定的权限。 它涵盖了流程更改、管理员教育、审核和监视，以及管理租户范围的管理员同意等概念。

流程更改和教育

• 请考虑启用管理员同意工作流，以允许用户直接从同意屏幕请求管理员审批。

• 确保所有管理员都了解：

  • 权限和同意框架
  • 同意体验和提示如何工作。
  • 评估租户范围的管理员同意请求。

• 查看组织的现有流程，以便用户请求对应用程序进行管理员审批，并在必要时进行更新。 如果流程发生更改：

  • 更新相关文档、监视、自动化等。
  • 将流程更改传达给所有受影响的用户、开发人员、支持团队和 IT 管理员。

审核和监视

• 在组织中审核应用和授予的权限，以确保没有不当或可疑的应用程序被授予对数据的访问权限。

• 查看文章检测并修正 Office 365 中的非法同意授权以了解其他最佳做法，并防范请求 OAuth 同意的可疑应用程序。

• 如果你的组织有适当的许可证：

  • 请使用 Microsoft Defender for Cloud 应用中的其他 OAuth 应用程序审核功能。
  • 请使用 Azure Monitor 工作簿来监视权限和同意相关活动。 Consent Insights 工作簿会按失败的同意请求数量提供应用视图。 此信息可能有助于确定应用程序优先级，以便管理员查看并决定是否向这些应用程序授予管理员同意。

减少摩擦的其他注意事项

若要最大程度减少对已在使用中的受信任业务关键型应用程序的影响，请考虑主动向具有大量用户同意授权的应用程序授予管理员同意：

• 基于登录日志或同意授权活动，对已添加到组织中并且使用率较高的应用进行清点。 可使用 PowerShell 脚本快速轻松地发现具有大量用户同意授权的应用程序。

• 评估顶级应用程序以授予管理员许可。

  重要

  在授予租户范围管理员同意之前，请仔细评估应用程序，即使组织中的许多用户已自行同意。

• 对于每个批准的应用程序，请授予租户范围的管理员同意，并考虑通过要求用户分配来限制用户访问。

评估对租户范围的管理员同意的请求

授予租户范围管理员同意是一种敏感操作。 权限是代表整个组织授予的，其中可以包括尝试高特权操作的权限。 此类操作的示例包括：角色管理、对所有邮箱或所有站点的完全访问权限以及完全用户模拟。

授予租户范围管理员同意之前，务必确保对于所授予的访问权限级别，你信任应用程序和应用程序发布者。 如果你不确信了解控制应用程序的人员以及应用程序请求获得权限的原因，请勿授予同意。

评估授予管理员同意的请求时，请考虑以下建议：

• 了解 Microsoft 标识平台中的权限和同意框架。

• 了解委托的权限与应用程序权限之间的区别。

  应用程序权限允许应用程序访问整个组织的数据，而无需任何用户交互。 委托的权限允许应用程序代表在某个时候已登录应用程序的用户进行操作。

• 了解所请求的权限。

  应用程序请求的权限在同意提示中列出。 展开权限标题会显示权限的说明。 应用程序权限的说明通常以“无登录用户”结束。委托的权限的说明通常以“代表登录用户”结尾。Microsoft Graph 权限参考中介绍了 Microsoft Graph API 的权限。 请参阅其他 API 的文档，以了解其所公开的权限。

  如果不了解所请求的权限，请勿授予同意。

• 了解请求权限的应用程序以及发布该应用程序的人员。

  当心尝试模仿其他应用程序的恶意应用程序。

  如果怀疑应用程序或其发布者的合法性，请勿授予同意。 而是寻求确认（例如，直接从应用程序发布者处）。

• 确保所需权限与预期从应用程序获得的功能保持一致。

  例如，提供 SharePoint 站点管理的应用程序可能需要委托的访问权限来读取所有网站集，但不一定需要对所有邮箱的完全访问权限或是目录中的完全模拟权限。

  如果怀疑应用程序请求的权限多于所需权限，请勿授予同意。 请与应用程序发布者联系以获取更多详细信息。

授予租户范围的管理员许可

有关从 Microsoft Entra 管理中心授予租户范围管理员同意的分步说明，请参阅向应用程序授予租户范围管理员同意。

撤销租户范围的管理员同意

若要撤销租户范围的管理员同意，可以查看和撤销以前授予应用程序的权限。 有关详细信息，请参阅查看授予应用程序的权限。 还可以通过禁用用户登录到应用程序或隐藏应用程序来删除用户对应用程序的访问权限，这样它就不会出现在“我的应用”门户中。

代表特定用户授予同意

管理员还可以使用 Microsoft Graph API 代表单个用户向委托的权限授予同意，而不是为整个组织授予同意。 有关使用 Microsoft Graph PowerShell 的详细示例，请参阅使用 PowerShell 代表单个用户授予同意。

限制用户对应用程序的访问权限

即使已授予了租户范围管理员同意，用户对应用程序的访问权限仍可受到限制。 若要限制用户访问，需要将用户分配给应用程序。 有关详细信息，请参阅分配用户和组的方法。 管理员还可以禁用对任何应用程序的所有未来的用户同意操作，从而限制用户对应用程序的访问权限。

有关更广泛的概述（包括如何处理其他复杂方案），请参阅使用 Microsoft Entra ID 进行应用程序访问管理。

后续步骤

• 配置管理员同意工作流
• 配置用户对应用程序表示同意的方式