Workflow de consentement de l'administrateur pour les applications non configurées

Sans le workflow de consentement de l'administrateur, les utilisateurs non-administrateurs ne disposent d'aucun moyen intégré pour remonter les demandes d'autorisation pour les applications. Par conséquent, ils peuvent avoir recours à des solutions alternatives ou, si le consentement de l'utilisateur est autorisé, s'accorder eux-mêmes des autorisations (voir l'IoE « Consentement non restreint des utilisateurs pour les applications »). Dans les deux cas, l'organisation manque de visibilité et de contrôle sur les octrois d'autorisations, ce qui affaiblit l'application du principe du moindre privilège.

Les attaques d'hameçonnage de consentement (également appelées octroi de consentement illicite) incitent les utilisateurs à accorder l'accès à des applications malveillantes qui semblent légitimes. En l'absence de workflow d'approbation, aucune couche de vérification ne permet de signaler les étendues d'autorisation suspectes telles que Files.ReadWrite (accès complet aux fichiers utilisateur) ou Mail.ReadWrite (accès en lecture et en écriture à toutes les messageries). Par conséquent, les attaquants peuvent obtenir un accès persistant aux données utilisateur, accès qui n'est pas révoqué par les changements de mot de passe ni par l'authentification MFA.

Sans le workflow de consentement de l'administrateur, les administrateurs doivent gérer les demandes d'autorisation par le biais de canaux ad hoc tels que l'e-mail, la messagerie instantanée ou le contact direct, et ces méthodes créent des angles morts du point de vue des audits. Aucun processus de demande automatisé, système de rappel ou enregistrement ne permet de savoir qui a approuvé quoi, quand et pourquoi. En raison de cette absence de contrôle, il devient difficile de démontrer que les demandes d'autorisation des applications ont fait l'objet d'un examen approprié.

Microsoft recommande également dans Configurer Microsoft Entra pour renforcer la sécurité que « le flux de travail de consentement administrateur [soit] activé ».

Activez et configurez le workflow de consentement de l'administrateur dans votre tenant Entra ID afin d'établir un processus clair et standardisé permettant aux utilisateurs de demander des autorisations pour les applications qui nécessitent le consentement de l'administrateur. Une fois le workflow activé, la boîte de dialogue « Approbation requise » s'ouvre et les utilisateurs peuvent soumettre une justification. Le système transmet automatiquement la demande aux réviseurs désignés. Ce workflow structuré traite toutes les demandes et offre aux administrateurs une visibilité totale sur toutes les demandes en attente.

Après avoir activé le workflow de consentement de l'administrateur, les administrateurs doivent désigner des réviseurs appropriés. Pour approuver les demandes, les réviseurs doivent avoir un rôle spécifique, par exemple Administrateur général, Administrateur d'application cloud, Administrateur d'application ou Administrateur de rôle privilégié. Attribuer à une personne le rôle de réviseur n'augmente pas ses privilèges. Les réviseurs qui ne disposent pas du rôle requis peuvent afficher, bloquer ou refuser les demandes, mais seuls ceux qui possèdent déjà un rôle autorisé à accorder le consentement de l'administrateur à l'échelle du tenant peuvent les approuver. Tenable recommande d'attribuer le rôle « Administrateur d'application cloud » dans la mesure du possible, car il fournit les privilèges nécessaires sans l'accès étendu du rôle « Administrateur général » qui doit être réservé aux cas d'urgence. Cependant, seuls les Administrateurs généraux peuvent approuver les demandes de consentement de l'administrateur pour les applications demandant des rôles d'application Microsoft Graph.

Auditez périodiquement la liste des réviseurs pour que les affectations restent à jour en cas de changement de personnel. Les nouveaux réviseurs ne peuvent voir que les demandes créées après leur affectation, tandis que les réviseurs supprimés conservent l'accès aux demandes précédentes. Les administrateurs doivent scrupuleusement planifier les ajouts et suppressions de réviseurs afin d'éviter toute faille en termes de couverture.

Une fois le processus de révision officialisé, configurez les notifications par e-mail et les paramètres d'expiration des demandes de consentement. Ces paramètres avertissent les réviseurs lorsque de nouvelles demandes sont soumises ou arrivent à expiration. Les utilisateurs qui soumettent des demandes reçoivent des notifications lorsque celles-ci sont approuvées, refusées ou bloquées. La définition d'une période d'expiration empêche les demandes obsolètes de persister indéfiniment.

Nom: Workflow de consentement de l'administrateur pour les applications non configurées

Nom de code: ADMIN-CONSENT-WORKFLOW-FOR-APPLICATIONS-NOT-CONFIGURED

Sévérité: Medium

Type: Microsoft Entra ID Indicator of Exposure