Contexte
En donnant leur consentement à certaines applications, il arrive parfois que des tiers puissent accéder aux informations personnelles de vos utilisateurs. Il est essentiel de procéder à la vérification des applications installées dans votre organisation. Une application certifiée par Microsoft peut sembler inoffensive en soi, mais elle pourrait également présenter des vulnérabilités susceptibles d'exposer les données de l'entreprise.
Réglage Office Protect
Les applications tierces ne doivent être acceptées que par les spécialistes des TI après un processus de vérification. Ce paramètre empêchera les utilisateurs normaux d'accepter des applications. Les administrateurs seront toujours en mesure de consentir aux applications.
Dans Microsoft
Ce réglage se trouve dans le portail d'administration Entra (Identity), dans la rubrique Applications/Enterprise Applications/Consent and Permissions section.
Opération à rechercher dans les journaux d'audit unifiés : Create company settings / Update company settings
Documentation de Microsoft sur le consentement de l'utilisateur final aux applications : https://docs.microsoft.com/fr-ca/azure/active-directory/manage-apps/configure-user-consent?tabs=azure-portal
Vous avez peut-être reçu en février un événement de sécurité d'Office Protect vous informant que le paramètre Do Not Allow Third-Party Integrated Applications avait été modifié en dehors d'Office Protect. Cet événement a été déclenché après que Microsoft a effectué des modifications dans la manière dont ce paramètre est géré. Le changement s'est produit au niveau des autorisations. Le paramètre trouvé dans le Centre d'administration Microsoft > Settings/Org Settings/User Consent to Apps n'est plus aligné sur ces changements (voir captures d'écran ci-dessous).
Dans Microsoft Entra admin portal, après avoir activé le paramètre via Office Protect:
Sur la même organisation, dans le portail d'administration Microsoft : not aligned with the way the setting is enabled. Si les paramètres de consentement utilisateur sont bien configurés dans le portail d'administration Entra, vos utilisateurs ne pourront pas consentir à des applications.