Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Když se naučíte vyvíjet pomocí principů Zero Trust, přečtěte si tento článek po zkontrolování získání autorizace k přístupu k prostředkům a strategii delegování oprávnění. Definujte přístup oprávnění aplikace ke správě přihlašovacích údajů, když k ověřování a autorizaci aplikací a správě oprávnění a souhlasu používáte platformu Microsoft Identity Platform.
Pokud nejde o žádného uživatele, nemáte efektivní model oprávnění, protože vaše aplikace vždy získá předem přiřazená oprávnění.
Aplikace prokáže, že se jedná o aplikaci, která žádá o oprávnění. Vaše aplikace prokáže svou vlastní identitu pomocí jedné z následujících metod:
- Certifikát, který je nejlepší volbou.
- Tajný kód v sofistikovaném systému správy tajných kódů.
- Při vývoji služeb v Azure použijte spravované identity pro prostředky Azure, projděte si následující část Správa přihlašovacích údajů aplikace.
Aplikace vždy vyžaduje předběžný souhlas správce. Aplikace vyžaduje toto oprávnění v rámci rozsahu
.default. Požádá o oprávnění, která správce přiřadí k aplikaci.Funkce pro transgender uživatele Ve výchozím nastavení
User.ReadWrite.Allumožňuje aplikaci aktualizovat profil každého uživatele. Jako oprávnění aplikace umožňuje vaší aplikaci číst a aktualizovat profil každého uživatele v rámci prostředí klienta.Oprávnění udělená aplikaci jsou vždy využívaná oprávnění. Na rozdíl od delegovaného oprávnění nejsou oprávnění aplikace svázaná tím, co může konkrétní uživatel dělat.
Omezení oprávnění aplikace
Existují tři způsoby, jak omezit aplikaci na méně než globální přístup.
Aplikace Microsoft Teams mají souhlas specifický pro prostředky (RSC), který aplikaci umožňuje přístup ke konkrétnímu týmu, a ne ke všem týmům v podniku. RSC je integrace rozhraní Microsoft Teams a rozhraní Microsoft Graph API, která vaší aplikaci umožňuje používat koncové body rozhraní API a spravovat konkrétní prostředky. Jeho model oprávnění umožňuje vlastníkům teams a chatu udělit souhlas pro vaši aplikaci pro přístup k datům teams a chatu a jejich úpravám.
Pokud chcete omezit přístup aplikace k určitým poštovním schránkám pomocí skriptu PowerShellu, můžou správci Microsoft Exchange vytvářet zásady aplikace Exchange. Můžou omezit aplikaci na určité poštovní schránky s
Calendar.ReadneboMail.Readpřístupem. Díky tomu můžete například vytvořit automatizaci, která může číst jenom jednu poštovní schránku nebo odesílat poštu jenom z jedné poštovní schránky, a ne od všech uživatelů v podniku.Pokud chcete povolit podrobná oprávnění pro přístup k SharePointu pomocí aplikace, má SharePoint weby.Selected jako určitý obor. Výběrem
Sites.Selectedpro svou aplikaci namísto jednoho z ostatních výsledků oprávnění se standardně stanou aplikace bez přístupu ke kolekcím webů SharePointu. Správce používá koncový bod oprávnění webu k udělení oprávnění ke čtení, zápisu nebo čtení a zápisu vaší aplikaci.
Správa přihlašovacích údajů aplikací
Hygiena přihlašovacích údajů může zajistit, aby se vaše aplikace rychle zotavila z potenciálního porušení zabezpečení. Následující osvědčené postupy vás provedou vývojem aplikací, které provádějí detekci a nápravu a zároveň se vyhýbají výpadkům a ovlivňují legitimní uživatele. Tato doporučení podporují princip nulové důvěry s předpokladem narušení při vaší přípravě na reakci na bezpečnostní incident.
Odeberte všechny tajnosti z kódu a konfigurace. Když používáte platformu Azure, umístěte tajné kódy do trezoru klíčů a získejte k nim přístup prostřednictvím spravovaných identit pro prostředky Azure. Zajistěte, aby váš kód byl odolný a zvládl rotace tajemství v případě kompromitace. Správci IT můžou odebírat a obměňovat tajné kódy a certifikáty bez odebrání aplikace nebo ovlivnění legitimních uživatelů.
Místo tajných klíčů klienta používejte certifikáty, pokud není k dispozici zabezpečený proces pro správu tajných kódů. Útočníci vědí, že klientská tajemství mají tendenci být méně bezpečně zpracovávána a zneužití uniklých tajemství je obtížné sledovat. Certifikáty lze lépe spravovat a odvolat, pokud jsou kompromitovány. Pokud používáte citlivé údaje, sestavte nebo použijte zabezpečený bezdotykový proces nasazení a přepínání mezi nimi. Používejte tajemství s určenou dobou platnosti (například jeden rok, dva roky) a vyvarujte se nikdy nevyprší.
Pravidelně zahrnujte certifikáty a tajné kódy , aby se zajistila odolnost proti chybám ve vaší aplikaci, a vyhnete se výpadku kvůli nouzovému přechodu.
Další kroky
- Získání autorizace pro přístup k prostředkům vám pomůže pochopit, jak nejlépe zajistit nulovou důvěryhodnost při získávání přístupových oprávnění k prostředkům pro vaši aplikaci.
- Vývoj strategie delegovaných oprávnění vám pomůže implementovat nejlepší přístup ke správě oprávnění v aplikaci a vyvíjet s využitím principů nulové důvěryhodnosti.
- Osvědčené postupy autorizace pomáhají implementovat nejlepší modely autorizace, oprávnění a souhlasu pro vaše aplikace.
- Žádost o oprávnění, která vyžadují souhlas správce , popisuje oprávnění a prostředí souhlasu, pokud oprávnění aplikace vyžadují souhlas správce.
- Služba API Protection popisuje osvědčené postupy pro ochranu rozhraní API prostřednictvím registrace, definování oprávnění a souhlasu a vynucování přístupu k dosažení vašich cílů nulová důvěra (Zero Trust).
- Poskytnutí přihlašovacích údajů identity aplikace, když není přítomen uživatel vysvětluje, proč spravované identity Azure jsou nejlepším postupem pro ověřování klienta pro služby na platformě Azure (aplikace bez uživatele).