Как запретить пользователям предоставлять приложениям разрешение на доступ к вашим данным Microsoft 365

Опубликовано: 9 Марта, 2023
Как запретить пользователям предоставлять приложениям разрешение на доступ к вашим данным Microsoft 365

Все мы слышали страшные истории о приложениях, представляющих серьезную угрозу безопасности. Эти приложения могут активно шпионить за вашими пользователями . Они могут даже анализировать самые конфиденциальные данные вашей организации. Вы же не хотите, чтобы это произошло с вашей учетной записью Microsoft 365! Даже законные приложения также могут содержать непроверенную уязвимость в системе безопасности. Это позволит злоумышленнику получить доступ к ресурсам вашей организации . Чтобы противостоять этому, многие современные вычислительные платформы не дают полной свободы ни одному недавно установленному приложению. Приложение должно запрашивать разрешения. К сожалению, многие пользователи нажимают «ОК», не задумываясь о последствиях. Тем не менее, вы можете запретить пользователям предоставлять разрешения приложениям, которые они устанавливают сами, изменив настройки согласия!

Я покажу вам, как запретить пользователям предоставлять разрешения приложениям в Microsoft 365. Я также покажу вам различные варианты, которые у вас есть.

Раскрытие данных Microsoft 365

Когда пользователь устанавливает приложение, он не всегда предоставляет одни и те же данные. Это зависит от разрешений приложения. Некоторые приложения могут вообще не предоставлять никаких данных. Другие, однако, теоретически могут попытаться получить доступ ко всем вашим данным . Тем не менее, вы не можете рисковать, и ваш единственный подход к защите данных — упреждение. Вот почему рекомендуется изменить настройки согласия, чтобы избежать предоставления нежелательных разрешений приложениям.

Вот как изменить настройки согласия на использование.

Настройка параметров согласия пользователя

Прежде чем я начну, в этой статье предполагается, что пользователь, пытающийся предоставить разрешение, вошел в Azure Active Directory и имеет учетную запись Microsoft 365. Azure Active Directory (Azure AD) — это основной компонент Microsoft 365, поскольку он служит облачным аналогом среды Active Directory.

Когда пользователь устанавливает приложение, установщик обычно запрашивает различные разрешения. Запрошенные разрешения сильно различаются между приложениями. Они могут запросить доступ к оборудованию устройства , например к камере или микрофону. Им также может потребоваться доступ к данным . Не каждое приложение запрашивает доступ к данным, но многие это делают. Когда пользователь предоставляет доступ к данным, приложение получает доступ к конфиденциальным данным Microsoft 365. Это ставит под угрозу конфиденциальность организации.

Чтобы запретить пользователям предоставлять доступ к приложениям, вам необходимо настроить параметры согласия пользователя . Вы можете получить доступ к этим параметрам через центр администрирования Azure Active Directory.

Выполните следующие действия, чтобы найти настройки согласия пользователя:

  1. Откройте , затем выберите .
  2. Нажмите на вкладку , показанную на рисунке ниже.
    Изображение 1463
    Azure Active Directory, я готов. Что дальше?

  3. Выберите вкладку Все приложения (предварительная версия), чтобы просмотреть все доступные приложения.
    Изображение 1464
    Все эти приложения могут видеть мои данные?

  4. Перейдите на вкладку . Вы также увидите .

    Изображение 1465
    По крайней мере, я могу решать, что могут делать пользователи!

Исследуйте вкладки

Давайте немного поговорим о вкладках, которые мы прошли. Вкладка «Корпоративные приложения» — это место для управления приложениями. Приложения на этой вкладке будут использовать текущего клиента Azure AD в качестве поставщика удостоверений.

Согласие и разрешения содержат настройки согласия пользователя. В нем объясняется, что вы должны отслеживать и контролировать возможность пользователей предоставлять разрешения приложениям . Пользователи могут извлечь большую выгоду из этой возможности, но администраторы должны знать о связанных с этим рисках.

Вот почему Microsoft предоставляет вам различные варианты согласия пользователя. Это поможет вам быть уверенным, что данные вашей организации максимально безопасны. Давайте посмотрим на эти настройки.

Пользовательские настройки

Прежде чем я расскажу о существующих настройках, стоит отметить, что настройки делятся на 2 разные категории: пользовательские настройки и групповые настройки. Мы обсудим групповые настройки позже. А пока давайте посмотрим, каковы 3 настройки согласия пользователя:

1. Не разрешайте согласие

Этот параметр запрещает пользователям предоставлять разрешения приложениям. Им требуется одобрение администратора.

2. Предоставьте согласие утвержденным издателям

Этот параметр позволяет пользователям давать согласие на приложения от проверенных издателей. Разрешения обычно малоэффективны (в соответствии со стандартами Microsoft). Условием является то, что издатель приложения был проверен. В противном случае приложение должно быть зарегистрировано в организации.

Администратор должен определить, какие разрешения малоэффективны. Если вы посмотрите на предыдущий рисунок, вы увидите вкладку Permission Classification. На этой вкладке перечислены разрешения, которые Microsoft считает маловажными. Вам все еще нужно выбрать разрешения и добавить их самостоятельно.

Изображение 1466
Рекомендации Microsoft снимают с вас нагрузку!

3. Разрешить согласие

Этот параметр позволяет пользователям предоставлять разрешения приложениям по мере необходимости. Эта настройка наиболее удобна для пользователей. Тем не менее, это представляет наибольший риск. Вот почему этот вариант обычно не рекомендуется.

Настройки группы

Настройки для владельцев групп аналогичны настройкам согласия пользователей. Тем не менее, они не идентичны. Вот 3 настройки группы для разрешений приложений:

1. Не разрешайте предоставление разрешений

Этот параметр не позволяет владельцам групп предоставлять какие-либо разрешения. Хотя этот параметр достаточно безопасен, некоторые могут счесть его непрактичным.

2. Разрешить утвержденным владельцам групп предоставлять разрешения

Этот параметр позволит только избранным владельцам групп предоставлять разрешения приложениям. Администратор должен добавить этих лиц в белый список.

3. Разрешить предоставление разрешений

Этот параметр дает согласие владельца группы для всех владельцев группы. Этот параметр сообщает Azure AD, что все владельцы групп могут предоставлять разрешения приложениям.

Нижняя линия

Azure AD предоставляет множество параметров для администраторов. Они помогают ограничить или даже заблокировать возможность пользователя предоставлять разрешения приложениям. Это также относится к владельцам групп. Это помогает защитить данные Microsoft 365 организации.

В конечном счете, администраторам необходимо найти баланс. Хотя пользователям полезно устанавливать и разрешать приложения, администратор должен осознавать риски, связанные с этой свободой. Обычно лучше всего требовать административного утверждения для разрешений приложений. Также полезно предоставить пользователям возможность предоставлять приложениям только незначительные разрешения.

Часто задаваемые вопросы

Почему настройки согласия разделены на две почти одинаковые группы?

Владельцы групп часто являются менеджерами. Хотя вы можете не захотеть, чтобы пользователи разрешали приложениям доступ к вашим данным, администратору может потребоваться предоставить такие разрешения.

Каковы разрешения по умолчанию с низким уровнем воздействия?

По умолчанию Microsoft не включает никаких разрешений с низким уровнем воздействия. Тем не менее, он предоставляет список того, что он считает разрешениями с низким уровнем воздействия. Эти разрешения позволяют приложению читать профиль пользователя, иметь автономный доступ, разрешать пользователю вход в систему, просматривать основную информацию профиля и просматривать адрес электронной почты пользователя.

Какие разрешения обычно запрашивают приложения?

Это зависит от приложения. Тем не менее, приложение довольно часто запрашивает доступ для чтения и записи к данным Microsoft 365.

Каковы риски предоставления установленным пользователем приложениям доступа к данным?

Конфиденциальность компании находится под угрозой , если приложения могут получить доступ к своим данным Microsoft 365. Это особенно проблематично для организаций в регулируемых отраслях. Вредоносное приложение может использовать свой доступ для удаления, шифрования или раскрытия корпоративных данных.

Будут ли приложения иметь какие-либо законные основания для доступа к данным Microsoft 365?

Да, могут. Почтовому клиенту необходим доступ для отправки файлов в виде вложений. Инструменты проверки грамматики также не могут анализировать документы Word без доступа.

Microsoft

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Миграция автономного клиента Office 365 на Exchange 2010 (часть 8)
13 Марта, 2023
Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 2)
13 Марта, 2023
Миграция автономного клиента Office 365 в Exchange 2010 (часть 7)
13 Марта, 2023
Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 1)
13 Марта, 2023
Миграция автономного клиента Office 365 на Exchange 2010 (часть 6)
13 Марта, 2023
Настройка гибридного развертывания Exchange с переходом на Office 365 (Exchange Online) (часть 11)
13 Марта, 2023
Миграция автономного клиента Office 365 на Exchange 2010 (часть 5)
13 Марта, 2023
Настройка гибридного развертывания Exchange с переходом на Office 365 (Exchange Online) (часть 10)
13 Марта, 2023