Správa aplikací OAuth

  • Článek

Řada kancelářských aplikací třetích stran, které můžou firemní uživatelé ve vaší organizaci nainstalovat, požádá o oprávnění pro přístup k informacím a datům uživatelů a přihlášení jménem uživatele v jiných cloudových aplikacích, jako je Microsoft 365, Google Workspace a Salesforce. Při instalaci těchto aplikací uživatelé často jen kliknou na tlačítko Přijmout, ale už si nepřečtou podrobnosti o tom, jaká oprávnění aplikaci udělují. Problém ještě zhoršuje skutečnost, že IT oddělení nemá dostatečný přehled, aby mohlo zvážit bezpečnostní riziko aplikace a porovnat ho s jejím přínosem z hlediska produktivity. Vzhledem k tomu, že přijetí oprávnění aplikací třetích stran je potenciálním rizikem zabezpečení pro vaši organizaci, monitorování oprávnění aplikace, která uživatelům udělí, vám poskytne potřebnou viditelnost a kontrolu za účelem ochrany uživatelů a aplikací.

Oprávnění aplikace Microsoft Defender for Cloud Apps umožňují zobrazit, které aplikace OAuth nainstalované uživatelem mají přístup k datům Microsoftu 365, datům Google Workspace a datům Salesforce. Defender for Cloud Apps vám řekne, jaká oprávnění aplikace mají a kteří uživatelé udělili těmto aplikacím přístup ke svým účtům Microsoft 365, Google Workspace a Salesforce. Oprávnění aplikací vám pomůžou rozhodnout, ke kterým aplikacím povolíte uživatelům přístup a ke kterým aplikacím chcete zakázat přístup.

Další informace najdete v tématu Zkoumání rizikových aplikací OAuth.

Poznámka:

Tento článek používá ukázky a snímky obrazovky ze stránky aplikací OAuth, která se používá, když nemáte zapnuté zásady správného řízení aplikací.

Pokud používáte funkce ve verzi Preview a máte zapnuté zásady správného řízení aplikací, je stejná funkce k dispozici na stránce zásad správného řízení aplikace.

Další informace najdete v tématu Zásady správného řízení aplikací v programu Microsoft Defender for Cloud Apps.

Požadavky

Musíte mít připojené jednu nebo více podporovaných platforem k Defenderu for Cloud Apps, včetně Microsoftu 365, Google Workspace nebo Salesforce.

Práce se stránkou aplikací OAuth

Na stránce OAuth se zobrazí informace o oprávněních aplikace v připojených aplikacích.

Přístup k kartě OAuth:

Na portálu Microsoft Defender v části Cloud Apps vyberte aplikace OAuth.

app permissions.

Na stránce aplikací OAuth najdete následující informace o každé aplikaci OAuth, která byla udělena oprávnění. Defender for Cloud Apps identifikuje jenom aplikace, které požadují delegovaná oprávnění.

Položka Význam Platí pro
Ikona Základní na panelu dotazu na aplikaci Přepněte na dotaz v základním zobrazení. Microsoft 365, Google Workspace, Salesforce
Ikona Upřesnit na panelu dotazu na aplikaci Přepněte na dotaz v rozšířeném zobrazení. Microsoft 365, Google Workspace, Salesforce
Ikona otevření nebo zavření všech podrobností v seznamu aplikací Umožňuje zobrazit více nebo méně podrobností o jednotlivých aplikacích.
Ikona exportu v seznamu aplikací Exportujte soubor CSV, který obsahuje seznam aplikací, počet uživatelů pro každou aplikaci, oprávnění přidružená k aplikaci, úroveň oprávnění, stav aplikace a úroveň používání komunity. Microsoft 365, Google Workspace, Salesforce
Aplikace Obsahuje název aplikace. Výběrem názvu zobrazíte další informace, včetně popisu, vydavatele (pro Microsoft 365), webu aplikace a ID. Microsoft 365, Google Workspace, Salesforce
Autorizoval(a) Počet uživatelů, kteří u této aplikace autorizovali přístup ke svému účtu aplikace a udělili jí oprávnění. Výběrem čísla zobrazíte další informace, včetně seznamu e-mailů uživatelů a toho, jestli správce dříve aplikaci odsouhlasil. Microsoft 365, Google Workspace, Salesforce
Úroveň oprávnění Ikona úrovně oprávnění a text označující vysokou, střední nebo nízkou hodnotu. Úroveň vyjadřuje rozsah přístupu aplikace k datům aplikace. Například nízká úroveň znamená, že aplikace má přístup jenom k profilu a jménu uživatele. Když úroveň vyberete, zobrazí se další informace včetně oprávnění udělených k aplikaci, používání aplikace komunitou uživatelů a informací o související aktivitě v protokolu zásad správného řízení. Microsoft 365, Google Workspace
Stav aplikace Správce může aplikaci označit jako schválenou, zakázanou nebo blíže neurčenou. Microsoft 365, Google Workspace, Salesforce
Použití komunity Ukazuje, jak oblíbená je aplikace pro všechny vaše uživatele (běžné, neobvyklé, vzácné). Microsoft 365, Google Workspace, Salesforce
Poslední autorizace Poslední datum, kdy uživatel udělil oprávnění k této aplikaci Microsoft 365, Salesforce
Publisher Název dodavatele, který poskytuje aplikaci

Ověření vydavatele – Ověření vydavatele pomáhá správcům a koncovým uživatelům pochopit pravost vývojářů aplikací, kteří se integrují s platformou Microsoft Identity Platform. Další informace najdete v tématu Ověření vydavatele.		 Microsoft 365
Naposledy použito Poslední datum, kdy tuto aplikaci použil někdo ve vaší organizaci Salesforce

Zakázání nebo schválení aplikace

  1. Na kartách Google nebo Salesforce na stránce zásad správného řízení aplikací vyberte aplikaci, aby se otevřela zásuvka aplikace, abyste zobrazili další informace o aplikaci a oprávnění, která byla udělena.

    • Výběrem možnosti Oprávnění zobrazíte úplný seznam oprávnění udělených aplikaci.
    • V části Používání komunity si můžete prohlédnout, jak je aplikace běžná v jiných organizacích.
    • Výběrem aktivity aplikace zobrazíte aktivity uvedené v protokolu aktivit souvisejících s touto aplikací.

  2. Pokud chcete aplikaci zakázat, vyberte ikonu zákazu na konci řádku aplikace v tabulce.

    ban app icon.

    • Můžete zvolit, jestli chcete uživatelům sdělit, že aplikace, kterou nainstalovali, a autorizovaná byla zakázaná. Oznámení uživatelům oznámí, že aplikace bude zakázaná a nebudou mít přístup k připojené aplikaci. Pokud nechcete, aby věděli, zrušte výběr možnosti Upozornit uživatele, kteří udělili přístup k této zakázané aplikaci v dialogovém okně.
    • Doporučujeme, abyste uživatelům aplikace dali vědět, že se jejich aplikace chystá zakázat.

    ban app.

  3. Do pole Zadat vlastní zprávu s oznámením zadejte zprávu, kterou chcete odeslat uživatelům aplikace. Chcete-li odeslat e-mail, vyberte Možnost Zakázat aplikaci a zakažte aplikaci uživatelům připojené aplikace.

  4. Pokud chcete aplikaci schválit, vyberte ikonu schválit na konci řádku v tabulce.

    approve app.

    • Ikona se změní na zelenou. To znamená, že aplikace je schválená pro všechny uživatele připojené aplikace.
    • Když aplikaci označíte jako schválenou, koncový uživatel nemá žádný vliv. Tato změna barvy vám pomůže zobrazit aplikace, které jste schválili, abyste je oddělili od aplikací, které jste ještě nezkontrolovali.

Dotazování aplikací OAuth

Aplikace OAuth můžete dotazovat buď v základním zobrazení, nebo v rozšířeném zobrazení. výběrem hodnot z jednoho nebo několika rozevíracích seznamu zobrazíte konkrétní aplikace v základním zobrazení. V rozšířeném zobrazení můžete zpřesnit hledání pomocí rozevíracího seznamu Vybrat filtr. Přidejte operátory, rovná se nebo se nerovná vybrané hodnotě pro dokončení dotazu.

  • Pokud chcete přidat další filtry, aby byl dotaz ještě přesnější, zvolte ikonu Přidat filtr. Filtry se použijí automaticky a seznam aplikací se aktualizuje.

  • Pokud chcete filtry odebrat, zvolte vedle filtru ikonu Odebrat filtr.

Auditování aplikací OAuth

Defender for Cloud Apps provede audit všech aktivit autorizace OAuth, aby vám poskytl komplexní monitorování a šetření provedených aktivit. Můžete také exportovat podrobnosti o uživatelích, kteří autorizovali konkrétní aplikaci OAuth, a poskytnout tak další informace o uživatelích, které pak můžete použít k další analýze.

Pokud chcete protokol exportovat, proveďte následující kroky:

  1. Na kartách Google nebo Salesforce na stránce zásad správného řízení aplikací na řádku, na kterém se zobrazí příslušná aplikace, vyberte v části Autorizováno odkaz zobrazující počet uživatelů, kteří aplikaci autorizovali.

  2. V automaticky otevíraných oken vyberte Exportovat.

    Screenshot showing export of OAuth app auditing.

Odeslat názory

Pokud je ve vaší organizaci zjištěná aplikace OAuth, která vypadá zlými úmysly, můžete nám poslat zpětnou vazbu týmu Defenderu for Cloud Apps a dát nám vědět. Tato funkce umožňuje být součástí naší komunity zabezpečení a vylepšit skóre a analýzu rizik aplikací OAuth.

  1. Na kartách Google nebo Salesforce na stránce zásad správného řízení aplikací vyberte tři tečky na konci řádku aplikace a vyberte Aplikaci sestavy.

    report app.

  2. Na obrazovce Sestava této aplikace můžete vybrat, jestli se má aplikace hlásit jako škodlivá, nebo nahlásit jiný problém způsobem, jakým Defender for Cloud Apps aplikaci považuje. Můžete například použít nesprávného vydavatele, nesprávná oprávnění nebo jiná. Data, která odešlete, se použijí k aktualizaci skóre rizika aplikace a dalších analýz aplikace.

Další kroky

Řízení cloudových aplikací pomocí zásad

Pokud narazíte na nějaké problémy, jsme tady, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu k problému s produktem, otevřete lístek podpory.