未設定應用程式的管理員同意工作流程

若缺乏管理員同意工作流程，非管理員使用者將沒有內建方式，向上呈報針對應用程式提出的權限要求。因此，他們可能會採取變通做法，或在允許使用者同意的情況下，自行授予權限，詳情請參閱「應用程式的非受限使用者同意」曝險指標 (IoE)。在這兩種情況下，組織都無法監控並掌管權限授予的情況，進而導致最低特權原則難以落實。

同意網路釣魚攻擊 (也稱為非法同意授予攻擊) 會誘騙使用者授權看似正當，但實際上為惡意的應用程式。若缺乏核准工作流程，就沒有審查層級來標記可疑權限範圍 ，例如 Files.ReadWrite (可完整存取所有使用者檔案) 或 Mail.ReadWrite (可讀寫所有信箱)。因此，攻擊者可能會獲得使用者資料的長期存取權，這類存取權不會因密碼變更或 MFA 而撤銷。

若未啟用管理員同意工作流程，管理員就必須透過電子郵件、即時通訊或直接聯絡等臨時方式處理權限要求，這些方式會造成稽核盲點。系統中沒有自動化的要求流程、提醒機制，或是關於誰在何時、因何理由核准哪些內容的記錄。缺乏稽核記錄，就難以證明在授予應用程式權限前是否經過適當審核。

Microsoft 在設定 Microsoft Entra 以提高安全性中也建議「已啟用管理員同意工作流程」。

請在您的 Entra ID 租用戶中啟用並設定管理員同意工作流程，以建立明確的標準流程，讓使用者針對需要管理員同意的應用程式提出權限申請。啟用後，使用者會看到「需要核准」對話方塊，並可提交要求理由。系統會自動將要求傳送至指定的審查者。此結構化工作流程涵蓋所有要求，並讓管理員能夠全面掌握所有待處理要求。

啟用管理員同意工作流程後，管理員必須指派適當的審查者。若要核准要求，審查者必須具備特定角色，例如全域管理員、雲端應用程式管理員、應用程式管理員或特權角色管理員。指派某人為審查者並不會提升其特權。沒有所需角色的審查者可以檢視、封鎖或拒絕要求，但只有已具備租用戶層級管理員同意授權角色者才能核准要求。 Tenable 建議盡可能指派「雲端應用程式管理員」角色，因為此角色提供必要特權，但不像「全域管理員」那樣擁有廣泛的存取權；後者應保留以備緊急情況使用。不過，只有全域管理員才能核准針對 Microsoft Graph 應用程式角色提出的管理員同意要求。

定期稽核審查者清單，以因應人員異動並保持角色指派的即時性。新指派的審查者僅能檢視獲派後建立的要求，而已移除的審查者則仍可存取其任內的舊要求。管理員應謹慎規劃審查者的新增和移除，以避免審核流程中出現空窗期。

將審查程序正式化後，請設定同意要求的電子郵件通知與過期時間。當有人提交新要求，或要求即將到期時，這些設定會提醒審查者。 提交要求的使用者也會收到通知，告知其要求已受到核准、拒絕或封鎖。設定過期時間可防止過期的要求長期滯留於系統中。

名稱: 未設定應用程式的管理員同意工作流程

代碼名稱: ADMIN-CONSENT-WORKFLOW-FOR-APPLICATIONS-NOT-CONFIGURED

嚴重性: Medium

類型: Microsoft Entra ID Indicator of Exposure