Administración de aplicaciones de OAuth

Nota

Microsoft Defender for Cloud Apps (anteriormente conocido como Microsoft Cloud App Security) ahora forma parte de Microsoft 365 Defender. El portal de Microsoft 365 Defender permite a los administradores de seguridad realizar sus tareas de seguridad en una ubicación. Esto simplificará los flujos de trabajo y agregará la funcionalidad de los demás servicios Microsoft 365 Defender. Microsoft 365 Defender será el hogar de la supervisión y administración de la seguridad en las identidades, los datos, los dispositivos, las aplicaciones y la infraestructura de Microsoft. Para obtener más información sobre estos cambios, consulte Microsoft Defender for Cloud Apps en Microsoft 365 Defender.

Muchas aplicaciones de productividad de terceros que pueden instalar los usuarios empresariales de su organización solicitan permiso para acceder a la información y los datos del usuario e iniciar sesión en nombre del usuario en otras aplicaciones en la nube, como Office 365, Google Workspace y Salesforce. Cuando los usuarios instalan estas aplicaciones, a menudo hacen clic en Aceptar sin revisar detenidamente los detalles en el mensaje, incluyendo la concesión de permisos a la aplicación. Este problema se agrava por el hecho de que es posible que el departamento de TI no tenga suficiente información para evaluar el riesgo de seguridad que supone una aplicación frente a la ventaja de productividad que ofrece. Dado que aceptar permisos de aplicación de terceros es un riesgo de seguridad potencial para la organización, supervisar los permisos de aplicación que conceden los usuarios le ofrece la visibilidad y el control necesarios para proteger a los usuarios y las aplicaciones.

Los permisos de aplicación Microsoft Defender for Cloud Apps permiten ver qué aplicaciones de OAuth instaladas por el usuario tienen acceso a Office 365 datos, datos de Google Workspace y datos de Salesforce. Defender for Cloud Apps indica qué permisos tienen las aplicaciones y qué usuarios han concedido a estas aplicaciones acceso a sus cuentas de Office 365, Google Workspace y Salesforce. Los permisos de aplicación le ayudan a decidir a qué aplicaciones permite que los usuarios tengan acceso y cuáles quiere prohibir.

Para obtener más información sobre cómo investigar aplicaciones de OAuth, consulte Investigación de aplicaciones de OAuth de riesgo.

Nota

  • Defender for Cloud Apps solo identifica las aplicaciones que solicitan permisos "delegados". Para obtener más información, consulte Permisos de aplicación cliente.

  • Administrar aplicaciones de OAuth solo está disponible después de conectar una o varias de las plataformas compatibles: Office 365, Google Workspace o Salesforce. Una vez conectado, la opción de menú Aplicaciones de OAuth aparecerá en Investigar.

Trabajar con la página de aplicaciones de OAuth

La página OAuth muestra información sobre los permisos de sus aplicaciones conectadas.

Para acceder a la pestaña de OAuth:

En el portal de Defender for Cloud Apps, seleccione Investigar y, a continuación, aplicaciones de OAuth.

permisos de aplicación.

La página Aplicaciones de OAuth de aplicación proporciona la siguiente información sobre cada aplicación de OAuth a la que se han concedido permisos:

Elemento Qué significa Se aplica a
Icono Básica en la barra de consulta de aplicación Cambie a consulta en la vista básica. Office 365, Google Workspace, Salesforce
Icono Avanzada en la barra de consulta de aplicación Cambie a consulta en la vista avanzada. Office 365, Google Workspace, Salesforce
Icono Abrir o cerrar todos los detalles en la lista de aplicaciones Vea más o menos detalles sobre cada aplicación.
Icono Exportar en la lista de aplicaciones Exporte un archivo CSV que contiene una lista de aplicaciones, el número de usuarios para cada aplicación, los permisos asociados a la aplicación, el nivel de permisos, el estado de la aplicación y el nivel de uso de la comunidad. Office 365, Google Workspace, Salesforce
Aplicación Nombre de la aplicación. Seleccione el nombre para ver más información, incluida la descripción, el publicador (para Office 365), el sitio web de la aplicación y el identificador. Office 365, Google Workspace, Salesforce
Autorizado por Número de usuarios que han autorizado esta aplicación para obtener acceso a sus cuentas de aplicación y han concedido permisos a la aplicación. Seleccione el número para ver más información, incluida una lista de correos electrónicos de usuario, y si un administrador ha aceptado previamente la aplicación. Office 365, Google Workspace, Salesforce
Nivel de permisos El icono y texto de nivel de permisos que indica Alto, Medio o Bajo. El nivel indica el grado de acceso que tiene esta aplicación a sus datos. Por ejemplo, Bajo podría indicar que la aplicación solo tiene acceso a los perfiles y nombres de usuario. Seleccione el nivel para obtener más información, incluidos los permisos concedidos a la aplicación, el uso de la comunidad o actividad relacionada en el registro de gobernanza. Office 365, Google Workspace
Estado de la aplicación Un administrador puede marcar una aplicación como Aprobada, Prohibida, o dejarla como Sin determinar. Office 365, Google Workspace, Salesforce
Uso de la comunidad Muestra la popularidad de la aplicación entre los usuarios (conocida, poco conocida o desconocida) Office 365, Google Workspace, Salesforce
Última autorización Fecha más reciente en la que un usuario concedió permisos a esta aplicación. Office 365 y Salesforce
Publisher Nombre del proveedor que proporciona la aplicación.

Comprobación del publicador: la comprobación del publicador ayuda a los administradores y usuarios finales a comprender la autenticidad de los desarrolladores de aplicaciones que se integran con el Plataforma de identidad de Microsoft. Para obtener más información, consulte Comprobación del publicador.
Office 365
Último uso Fecha más reciente en la que un miembro de la organización usó esta aplicación. Salesforce

Prohibir o aprobar una aplicación

  1. En la página Aplicaciones de OAuth , seleccione la aplicación para abrir el cajón de aplicaciones para ver más información sobre la aplicación y los permisos concedidos.

    • Seleccione Permisos para ver una lista completa de los permisos concedidos a la aplicación.
    • En Uso de la comunidad, puede ver la frecuencia con la que se encuentra la aplicación en otras organizaciones.
    • Seleccione Actividad relacionada para ver las actividades que aparecen en el registro de actividad relacionado con esta aplicación.
  2. Para prohibir la aplicación, seleccione el icono de prohibición al final de la fila de la aplicación en la tabla.

    icono de la aplicación ban.

    • Puede elegir si quiere indicar a los usuarios que se ha prohibido la aplicación que han instalado y autorizado. La notificación informa a los usuarios de que la aplicación estará deshabilitada y no tendrán acceso a la aplicación conectada. Si no quiere que lo sepan, anule la selección de Enviar una notificación a los usuarios que hayan concedido permiso a esta aplicación prohibida en el cuadro de diálogo.
    • Se recomienda permitir que los usuarios de la aplicación sepan que se ha prohibido el uso de la aplicación.

    ban app.

  3. Escriba el mensaje que quiere enviar a los usuarios de la aplicación en el cuadro Escriba un mensaje de notificación personalizado. Seleccione Ban app (Prohibir aplicación) para enviar el correo y prohibir la aplicación de los usuarios de la aplicación conectada.

  4. Para aprobar la aplicación, seleccione el icono Aprobar al final de la fila de la tabla.

    aprobar aplicación.

    • El icono se vuelve verde y se aprueba la aplicación para todos los usuarios de la aplicación conectada.
    • Marcar una aplicación como aprobada no tiene efecto para el usuario final. Este cambio de color sirve para ayudarle a ver las aplicaciones que se han aprobado y distinguirlas de las que todavía no se han revisado.

Revocar la aplicación y enviar una notificación al usuario

Para Google Workspace y Salesforce, es posible revocar el permiso a una aplicación o notificar al usuario que debe cambiar el permiso. Cuando revoca el permiso, quita todos los permisos concedidos a la aplicación en "Aplicaciones empresariales" en Azure AD.

  1. En la página Aplicaciones de OAuth , seleccione los tres puntos al final de la fila de la aplicación y seleccione Notificar al usuario. De forma predeterminada, se le notificará al usuario de la siguiente manera: autorizó la aplicación para acceder a su cuenta de Google Workspace. Esta aplicación entra en conflicto con la directiva de seguridad de la organización. Reconsidere la concesión o revocación de los permisos que asignó a esta aplicación en su cuenta de Google Workspace. Para revocar el acceso a la aplicación, vaya a: https://security.google.com/settings/security/permissions?hl=en&pli=1 Seleccione la aplicación y seleccione "Revocar acceso" en la barra de menús derecha. Puede personalizar el mensaje que se envía.

  2. También puede revocar permisos para usar la aplicación para el usuario. Seleccione el icono al final de la fila de la aplicación en la tabla y seleccione Revocar aplicación.

    revocar aplicación.

Consultar aplicaciones de OAuth

Puede consultar aplicaciones de OAuth en la vista Básica o la vista Avanzada. Seleccione valores de las listas desplegables para mostrar las aplicaciones específicas en la vista Básica. En la vista avanzada, use la lista desplegable Seleccionar un filtro para restringir la búsqueda. Agregue "operadores", "es igual a" o "no es igual a" a un valor seleccionado para completar la consulta.

  • Elija el icono Agregar un filtro para agregar filtros adicionales para refinar aún más la consulta. Los filtros se aplicarán automáticamente y se actualizará la lista de aplicaciones.

  • Elija el icono Quitar un filtro situado junto al filtro para quitar los filtros.

Auditoría de aplicaciones de OAuth

Defender for Cloud Apps audita todas las actividades de autorización de OAuth para proporcionarle una supervisión completa e investigación de las actividades realizadas. También puede exportar los detalles de los usuarios que autorizaron una aplicación de OAuth específica, lo que le proporciona información adicional sobre los usuarios, que puede usar para su posterior análisis.

Para exportar el registro, realice los pasos siguientes:

  1. En la página Aplicaciones de OAuth , en la fila en la que aparece la aplicación pertinente, en Autorizado por, seleccione el vínculo que muestra el número de usuarios que autorizaron la aplicación.

  2. En el menú emergente, seleccione Exportar.

    Captura de pantalla que muestra la exportación de la auditoría de aplicaciones de OAuth.

Envío de comentarios

Si hay una aplicación de OAuth detectada en su organización que parece malintencionada, puede enviar los comentarios del equipo de Defender for Cloud Apps para informarnos. Esta característica le permite formar parte de nuestra comunidad de seguridad y mejorar el análisis y la puntuación de riesgo de las aplicaciones OAuth.

  1. En la página Aplicaciones de OAuth , seleccione los tres puntos al final de la fila de la aplicación y seleccione Aplicación de informes.

    aplicación de informe.

  2. En la pantalla Notificar esta aplicación , puede seleccionar si desea notificar la aplicación como malintencionada o notificar otro problema con la forma en que Defender for Cloud Apps percibe la aplicación. Por ejemplo, Publicador incorrecto, Permisos incorrectos u Otros. Los datos que envíe se usarán para actualizar la puntuación de riesgo de la aplicación, así como otros análisis sobre la aplicación.

Pasos siguientes

Si surgen problemas, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.