Aplikacja prosi o dostęp do konta PW — co zrobić?
Spis treści
-
- Kiedy mogę samodzielnie zatwierdzić aplikację?
- Kiedy wymagana jest zgoda administratora?
- Jak złożyć wniosek o zgodę administratora?
- Co należy podać we wniosku?
- Co sprawdza Centrum Informatyzacji PW?
- Jak długo ważny jest wniosek?
- Czy każda aplikacja zostanie zatwierdzona?
- Co zrobić, jeżeli aplikacja wygląda podejrzanie?
- Najważniejsze zasady bezpieczeństwa
- Podsumowanie
Zgoda administratora na aplikacje korzystające z konta PW / Microsoft 365
Centrum Informatyzacji PW wprowadziło kontrolowany proces wyrażania zgód na aplikacje korzystające z logowania kontem PW w usługach Microsoft 365.
Zmiana ma na celu zwiększenie bezpieczeństwa kont pracowników i studentów oraz ograniczenie ryzyka związanego z tzw. OAuth phishingiem.
Jest to rodzaj ataku, w którym złośliwa aplikacja próbuje nakłonić użytkownika do nadania jej dostępu do danych, takich jak poczta, pliki, kalendarz lub informacje profilowe.
Od tej pory użytkownicy mogą samodzielnie zatwierdzać tylko wybrane aplikacje o niskim poziomie ryzyka.
Aplikacje wymagające szerszego dostępu muszą zostać ocenione przez administratorów.
Kiedy mogę samodzielnie zatwierdzić aplikację?
Samodzielne zatwierdzenie aplikacji przez użytkownika jest możliwe tylko wtedy, gdy aplikacja spełnia wymagania bezpieczeństwa.
Dotyczy to aplikacji pochodzących od zweryfikowanych wydawców lub aplikacji zarejestrowanych w organizacji, które proszą wyłącznie o podstawowe uprawnienia niskiego ryzyka.
Do takich podstawowych uprawnień należą między innymi:
- logowanie użytkownika,
- odczyt podstawowego profilu,
- odczyt adresu e-mail użytkownika.
Przykładowe uprawnienia niskiego ryzyka:
- User.Read,
- openid,
- profile,
- email.
Są to uprawnienia wykorzystywane głównie do zalogowania użytkownika i potwierdzenia jego tożsamości.
Kiedy wymagana jest zgoda administratora?
Zgoda administratora jest wymagana, jeżeli aplikacja prosi o szerszy dostęp do danych użytkownika lub organizacji.
Dotyczy to w szczególności aplikacji, które chcą uzyskać dostęp do:
- poczty e-mail,
- wysyłania wiadomości,
- plików w OneDrive,
- witryn SharePoint,
- kalendarza,
- kontaktów,
- danych katalogowych organizacji,
- danych wielu użytkowników,
- uprawnień administracyjnych.
Przykładowe uprawnienia wymagające szczególnej ostrożności:
- Mail.Read,
- Mail.ReadWrite,
- Mail.Send,
- Files.Read.All,
- Files.ReadWrite.All,
- Sites.Read.All,
- Sites.ReadWrite.All,
- Directory.Read.All,
- Calendars.ReadWrite,
- Contacts.Read.
Jeżeli aplikacja wymaga takich uprawnień, użytkownik nie powinien zatwierdzać jej samodzielnie.
W takim przypadku wymagane jest zgłoszenie wniosku o zgodę administratora.
Jak złożyć wniosek o zgodę administratora?
Jeżeli podczas logowania do aplikacji pojawi się komunikat informujący, że wymagana jest zgoda administratora, należy skorzystać z opcji wysłania wniosku o zgodę administratora, jeżeli taka opcja jest dostępna w oknie logowania Microsoft.
Wniosek trafi do wyznaczonego zespołu Centrum Informatyzacji PW, który zweryfikuje aplikację oraz zakres wymaganych uprawnień.
Wniosek nie oznacza automatycznego zatwierdzenia aplikacji.
Każda aplikacja jest oceniana indywidualnie pod kątem bezpieczeństwa i zasadności użycia.
Co należy podać we wniosku?
Aby przyspieszyć obsługę zgłoszenia, w uzasadnieniu należy podać możliwie dokładne informacje:
- nazwę aplikacji,
- cel użycia aplikacji,
- informację, czy aplikacja jest wykorzystywana w pracy, dydaktyce, badaniach lub administracji,
- nazwę jednostki, wydziału, projektu lub zajęć,
- adres strony producenta aplikacji,
- informację, kto ma korzystać z aplikacji — jedna osoba, grupa, studenci, pracownicy,
- termin, od kiedy aplikacja jest potrzebna,
- dane osoby kontaktowej w sprawie aplikacji.
Przykład uzasadnienia:
Proszę o zgodę na aplikację ExampleApp.
Aplikacja będzie wykorzystywana podczas zajęć dydaktycznych do obsługi projektu zespołowego.
Dostęp jest potrzebny dla około 30 studentów od początku semestru. Producent aplikacji: example.com.
Co sprawdza Centrum Informatyzacji PW?
Przed zatwierdzeniem aplikacji administratorzy sprawdzają między innymi:
- nazwę aplikacji,
- identyfikator aplikacji,
- wydawcę aplikacji,
- czy wydawca jest zweryfikowany,
- wymagane uprawnienia,
- zakres dostępu do danych,
- czy aplikacja wymaga dostępu do poczty, plików, SharePointa lub katalogu organizacji,
- czy aplikacja jest potrzebna do celów służbowych, dydaktycznych lub naukowych,
- czy aplikacja nie żąda nadmiernych uprawnień,
- czy aplikacja nie wygląda podejrzanie lub nie podszywa się pod inne narzędzie.
Centrum Informatyzacji PW może zaakceptować wniosek, odrzucić go albo poprosić użytkownika o dodatkowe informacje.
Jak długo ważny jest wniosek?
Wniosek o zgodę administratora jest ważny przez 30 dni.
Jeżeli w tym czasie nie zostanie obsłużony albo użytkownik nie dostarczy wymaganych informacji, wniosek może wygasnąć. W takiej sytuacji konieczne może być ponowne złożenie wniosku.
Czy każda aplikacja zostanie zatwierdzona?
Nie. Aplikacja może nie zostać zatwierdzona, jeżeli:
- żąda zbyt szerokiego dostępu do danych,
- nie ma zweryfikowanego wydawcy,
- pochodzi z niepewnego źródła,
- nie ma jasnego uzasadnienia użycia,
- nie jest związana z działalnością PW,
- może powodować ryzyko wycieku danych,
- podszywa się pod znane narzędzie,
- wymaga dostępu do danych wielu użytkowników bez uzasadnienia.
W przypadku odrzucenia wniosku użytkownik może otrzymać informację o przyczynie lub prośbę o wskazanie bezpieczniejszego rozwiązania.
Co zrobić, jeżeli aplikacja wygląda podejrzanie?
Jeżeli aplikacja ma nietypową nazwę, nieznanego wydawcę, prosi o szeroki dostęp do danych albo pojawia się w nieoczekiwanym momencie, należy przerwać logowanie i nie zatwierdzać zgody.
W takiej sytuacji należy skontaktować się z Centrum Informatyzacji PW i przekazać:
- zrzut ekranu komunikatu,
- nazwę aplikacji,
- adres strony, z której nastąpiło logowanie,
- opis wykonywanej czynności,
- informację, czy podano hasło,
- informację, czy zatwierdzono logowanie MFA.
Najważniejsze zasady bezpieczeństwa
- Nie zatwierdzaj aplikacji, których nie znasz.
- Nie udzielaj aplikacjom dostępu do poczty, plików, kalendarza lub SharePointa, jeżeli nie masz pewności, że jest to konieczne.
- Sprawdzaj nazwę aplikacji i wydawcę.
- W przypadku wątpliwości przerwij logowanie i skontaktuj się z Centrum Informatyzacji PW.
- Wniosek o zgodę administratora jest bezpieczną ścieżką oceny aplikacji i nie oznacza automatycznej akceptacji.
Podsumowanie
Kontrolowany proces zgód aplikacji w Microsoft Entra ID zwiększa bezpieczeństwo kont pracowników i studentów Politechniki Warszawskiej.
Użytkownicy mogą samodzielnie zatwierdzać tylko podstawowe uprawnienia niskiego ryzyka.
Aplikacje wymagające dostępu do poczty, plików, SharePointa, kalendarza lub danych organizacji muszą zostać ocenione przez administratorów Centrum Informatyzacji PW.
Takie rozwiązanie ogranicza ryzyko przejęcia danych przez złośliwe lub niezweryfikowane aplikacje.
Powrót do spisu treści