‹ Terug

Laat beheerders bepalen welke apps toegang krijgen tot jouw omgeving

 

Microsoft 365 gebruikt open standaarden als het gaan om authenticatie en autorisatie. Dit kan hierbij ingesteld worden voor toegang van gebruikers, maar ook voor apps die niet van Microsoft zijn. Zo is het mogelijk om applicaties van andere software leveranciers namens de gebruiker toegang te geven tot jouw data. Dat kan handig zijn, maar wie vertelt jou welke apps te vertrouwen zijn?

 

Instellingen voor gebruikerstoestemming
Als een app toegang wil krijgen tot jouw gegevens, dan wordt de vraag aan de gebruiker gesteld of de app namens de gebruiker mag inloggen. Daarbij worden vaak permissies gevraagd als 'uitlezen van profielen', 'toegang tot de OneDrive van de gebruiker' of 'toegang tot de agenda van de gebruiker'. Namens deze gebruiker heeft de app daarmee rechten om iets in de omgeving te doen. Denk bijvoorbeeld aan een planningsapp die de beschikbaarheid van een gebruiker nodig heeft. Of een app die de naam van de gebruiker wil laten zien.

Tot nu toe redelijk onschuldig, maar een app kan ook permissies vragen om bijvoorbeeld een SharePoint site uit te lezen. Als deze site gevoelige informatie bevat, dan is daar direct risico op bijvoorbeeld een datalek. Het is daarom zaak hier voorzichtig en bewust mee om te gaan.

Wat zijn de mogelijkheden?
Het is daarom mogelijk om in te stellen wat een gebruiker mag doen als het gaat om permissies geven aan een app. Er zijn daarbij drie verschillende smaken:

1) Gebruikers mogen alle rechten geven aan een app (die zijn ook hebben).
2) Gebruikers mogen alleen specifieke rechten geven aan een app (bijvoorbeeld alleen naam en e-mail adres uitlezen).
3) Gebruikers mogen helemaal géén rechten geven aan de app.

Als je volledige controle wil over welke apps toegang mogen krijgen tot jouw data, is aan te bevelen in te stellen dat gebruikers geen rechten mogen geven aan apps. Indien er toch een app toegang moet hebben, kan dit worden ingesteld door een beheerder voor deze gebruiker, of bijvoorbeeld voor alle gebruikers in één keer, zodat ze zelf de vraag niet hoeven te beantwoorden. Niet alleen kan je dan beoordelen of een app veilig is, maar het is ook belangrijk om zo zogenaamde Shadow IT (apps waarvan je niet weet dat ze gebruikt worden in de organisatie) tegen te gaan.

Hoe kunnen gebruikers dan apps toevoegen?
Dat kan in het laatste geval alleen door contact op te nemen met een beheerder van de omgeving. Daar kan de app, inclusief permissies, worden ingesteld. Tevens is het mogelijk om gebruikers apps aan te laten vragen. Een beheerder kan dan een aanvraag krijgen voor het instellen van een app. Het is aan te bevelen in beide gevallen deze mogelijkheden te communiceren met gebruikers.

 

Waar kan ik dit instellen?

De instelling is onderdeel van Entra ID. Ga hiervoor aan 'Bedrijfstoepassingen', 'Beveiliging', 'Toestemming en machtigingen'. In dit scherm kunnen alle instellingen beheerd worden als het gaat om toegangsaanvragen.