Com configurar de manera segura les aplicacions empresarials a Microsoft 365

Què són les Aplicacions Empresarials?

Les Aplicacions Empresarials permeten a Microsoft habilitar l'accés de tercers a funcionalitats dins de l'entorn Microsoft 365. Penseu en una aplicació de correu electrònic desenvolupada per una part externa que pot llegir i enviar correus en nom de l'usuari. Quan un usuari concedeix permís a una aplicació d'aquest tipus, aquesta s'afegeix automàticament al tenant de Microsoft 365 com una Aplicació Empresarial.

Per a un usuari, autoritzar una aplicació de tercers és així:

Font: https://learn.microsoft.com/en-us/purview/media/o365-thirdpartydataconnector-optin1.png

Quan es fa clic al botó 'Acceptar', l'usuari concedeix a l'aplicació certs drets dins del seu compte. Si s'activen les configuracions predeterminades, els usuaris poden concedir aquests drets pràcticament a qualsevol aplicació sense cap intervenció o aprovació d'un expert en seguretat.

Com a administrador, pots veure exactament quines aplicacions tenen accés a un o més comptes del tenant fent el següent:

1. Ves a Entra ID. A sota de 'Gestionar' i 'Aplicacions empresarials', trobaràs una llista de totes les Aplicacions Empresarials del tenant.

2. Selecciona una Aplicació Empresarial. A sota de 'Seguretat' i 'Permisos', veuràs els permisos concedits. Nota la distinció entre 'consentiment d'administrador' i 'consentiment d'usuari'. Aquí veuràs quins usuaris han autoritzat l'aplicació i amb quins permisos.

Representa això un risc de seguretat per al tenant de Microsoft 365?

Sí, les aplicacions externes poden suposar un risc de seguretat per a l'entorn de Microsoft 365. Com? Un tercer maliciós podria utilitzar una aplicació per sol·licitar accés complet al compte d'un usuari. Si l'usuari accepta, aquest tercer té accés a l'entorn de Microsoft 365, incloent totes les dades i fitxers als quals l'usuari pot accedir.

A més, hi ha un risc indirecte potencial. Un tercer pot no tenir intencions malicioses però si la seva pròpia seguretat és feble i un atacant hi accedeix, el teu entorn de Microsoft 365 encara està en risc. L'atacant pot accedir a l'aplicació aprovada i infiltrar-se a la teva organització. Per tant, és crucial limitar l'accés a aplicacions de confiança i minimitzar els permisos concedits tant com sigui possible.

Què puc fer com a administrador per protegir l'entorn de Microsoft 365?

Com a administrador, és fonamental entendre quines aplicacions tenen accés al tenant i els seus permisos. Com s'ha esmentat abans, revisar les configuracions és vital. Les configuracions predeterminades poden permetre als usuaris concedir accés complet a aplicacions arbitràries. Per mitigar aquest risc, pots prendre diverses mesures.

Bloqueig de permisos

Primerament, és possible bloquejar completament que els usuaris concedeixin drets a aplicacions de tercers. Això mitiga efectivament els riscos esmentats anteriorment. Aquesta configuració es fa al Portal d'Azure sota Entra ID, "Aplicacions empresarials" → "Seguretat" → "Consentiment i permisos" → "Configuració de consentiment d'usuari". Aquí, ajusta les dues configuracions següents:

1. Estableix "Consentiment d'usuari per a aplicacions" a "No permetre consentiment d'usuari".
2. Estableix "Consentiment del propietari del grup" a "No permetre consentiment del propietari del grup".

Aquesta opció no és adequada per a tots els entorns de Microsoft 365. En moltes organitzacions, les aplicacions de confiança són necessàries per a les tasques diàries dels usuaris, i aquestes també quedarien bloquejades. A continuació, expliquem com evitar aquest problema.

Aprovació d'administrador

Per permetre aplicacions de tercers de confiança, pots optar per aprovar només les aplicacions autoritzades per un administrador.

Aquesta configuració està disponible al Portal d'Azure sota Entra ID, "Aplicacions empresarials" → "Seguretat" → "Consentiment i permisos" → "Configuració de consentiment d'administrador". Selecciona "Sí" per a "Els usuaris poden sol·licitar consentiment d'administrador per a aplicacions que no poden autoritzar". Després configura els detalls per a "Sol·licituds de consentiment d'administrador".

Tingues en compte que aquestes configuracions només s'apliquen a les aplicacions que els usuaris no poden autoritzar per si mateixos. També són necessaris els passos sota "Bloqueig de permisos" per fer complir l'aprovació d'administrador per a totes les aplicacions.

Permetre permisos no sensibles per defecte

Com a extensió de l'opció anterior, pots permetre certs permisos per defecte per a totes les aplicacions, sense la intervenció d'un administrador. Això pot aplicar-se a aplicacions que requereixen un accés molt limitat, com llegir l'adreça de correu electrònic d'un usuari per a l'Inici de Sessió Únic.

Això es pot configurar al Portal d'Azure sota Entra ID, "Aplicacions empresarials" → "Consentiment i permisos" → "Classificacions de permisos". Microsoft proporciona recomanacions en aquesta pàgina sobre quins permisos no sensibles i d'ús comú configurar, incloent permisos per a l'Inici de Sessió Únic.

Passos següents

Quan les configuracions de consentiment estan adequadament configurades, també és essencial avaluar els permisos concedits prèviament. Els usuaris podrien haver concedit accés elevat a aplicacions no confiables en el passat.

DEFION Security: El teu soci per a un entorn Microsoft 365 segur

Assegurar el teu entorn Microsoft 365 pot ser una tasca complexa. T'ajudem a configurar i gestionar el teu entorn Microsoft 365, assegurant que les teves configuracions de seguretat siguin sempre òptimes. Durant una avaluació de seguretat de Microsoft 365, treballem estretament amb tu per revisar les configuracions actuals. Examinem com estan configurades les configuracions de consentiment esmentades anteriorment i explorem quines Aplicacions Empresarials ja tenen accés dins del teu entorn.

Després d'aquesta avaluació exhaustiva, parlem amb tu sobre les millors mesures de seguretat adequades a la teva organització. Hi ha moltes opcions per gestionar i limitar les Aplicacions Empresarials, i estem aquí per ajudar-te a prendre les decisions correctes. El nostre objectiu? Crear l'entorn més segur possible, amb un impacte mínim en l'ús diari dels teus empleats.

A més de les Aplicacions Empresarials, examinem tota la configuració i ús del teu entorn Microsoft 365, centrant-nos no en la seguretat dels serveis de Microsoft en si, sinó en com la teva organització configura i utilitza aquests serveis.

Qui trucaràs? DEFION Security!

Interessat a fer el teu entorn Microsoft 365 encara més segur? Contacta'ns a [email protected] o truca al +31 (0)88 733 13 37 i et respondrem ràpidament.