Vállalati alkalmazásoknak adott engedélyek áttekintése

Ebből a cikkből megtudhatja, hogyan tekintheti át a Microsoft Entra-bérlői alkalmazásokhoz adott engedélyeket. Előfordulhat, hogy felül kell vizsgálnia az engedélyeket, ha kártékony alkalmazást észlelt, vagy az alkalmazás a szükségesnél több engedélyt kapott. Megtudhatja, hogyan vonhatja vissza az alkalmazásnak adott engedélyeket a Microsoft Graph API-val és a PowerShell meglévő verzióival.

A cikk lépései az összes olyan alkalmazásra vonatkoznak, amelyet felhasználói vagy rendszergazdai hozzájárulással adtak hozzá a Microsoft Entra-bérlőhöz. További információ az alkalmazásokhoz való hozzájárulásról: Felhasználói és rendszergazdai hozzájárulás.

Előfeltételek

Az alkalmazásoknak adott engedélyek áttekintéséhez a következőkre van szükség:

• An Azure account with an active subscription. Fiók ingyenes létrehozása.
• Az alábbi szerepkörök egyike: Global Rendszergazda istrator, Cloud Application Rendszergazda istrator, Application Rendszergazda istrator.
• A szolgáltatásnév tulajdonosa, aki nem rendszergazda, érvényteleníteni tudja a frissítési jogkivonatokat.

Engedélyek visszaállítása

A visszavont vagy törölt engedélyek visszaállításával kapcsolatos információkért tekintse meg az alkalmazásoknak biztosított visszaállítási engedélyeket.

Engedélyek áttekintése és visszavonása

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

A Microsoft Entra Felügyeleti központban megtekintheti az alkalmazásnak adott engedélyeket. Visszavonhatja a rendszergazdák által a teljes szervezet számára megadott engedélyeket, és környezetfüggő PowerShell-szkripteket kaphat más műveletek végrehajtásához.

Egy alkalmazásnak a teljes szervezet vagy egy adott felhasználó vagy csoport számára megadott engedélyeinek áttekintése:

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.
2. Keresse meg az Identity>Applications>Enterprise-alkalmazásokat>Az összes alkalmazás.
3. Jelölje ki azt az alkalmazást, amelyhez korlátozni szeretné a hozzáférést.
4. Válassza ki az Engedélyek lehetőséget.
5. A teljes szervezetre vonatkozó engedélyek megtekintéséhez válassza a Rendszergazda hozzájárulás lapot. Az adott felhasználónak vagy csoportnak adott engedélyek megtekintéséhez válassza a Felhasználói hozzájárulás lapot.
6. Egy adott engedély részleteinek megtekintéséhez válassza ki az engedélyt a listából. Megnyílik az Engedély részletei panel. Miután áttekintette az alkalmazásnak adott engedélyeket, visszavonhatja a rendszergazdák által a teljes szervezet számára megadott engedélyeket.

   Megjegyzés:

   A portálon nem vonhatja vissza a Felhasználói hozzájárulás lapon található engedélyeket. Ezeket az engedélyeket Microsoft Graph API-hívások vagy PowerShell-parancsmagok használatával vonhatja vissza. További információt a cikk PowerShell- és Microsoft Graph-lapjaiban talál.

Engedélyek visszavonása a Rendszergazda hozzájárulás lapján:

1. Tekintse meg az engedélyek listáját a Rendszergazda hozzájárulás lapján.
2. Válassza ki a visszavonni kívánt engedélyt, majd válassza ki az engedély ... vezérlőelemét.
3. Válassza az Engedély visszavonása lehetőséget.

Engedélyek áttekintése és visszavonása

Az alábbi Azure AD PowerShell-szkripttel visszavonhatja az alkalmazásnak adott összes engedélyt. Legalább felhőalapú alkalmazásként kell bejelentkeznie Rendszergazda istratorként.

Connect-AzureAD 

# Get Service Principal using objectId
$sp = Get-AzureADServicePrincipal -ObjectId "<ServicePrincipal objectID>"

# Get all delegated permissions for the service principal
$spOAuth2PermissionsGrants = Get-AzureADOAuth2PermissionGrant -All $true| Where-Object { $_.clientId -eq $sp.ObjectId }

# Remove all delegated permissions
$spOAuth2PermissionsGrants | ForEach-Object {
    Remove-AzureADOAuth2PermissionGrant -ObjectId $_.ObjectId
}

# Get all application permissions for the service principal
$spApplicationPermissions = Get-AzureADServiceAppRoleAssignedTo -ObjectId $sp.ObjectId -All $true | Where-Object { $_.PrincipalType -eq "ServicePrincipal" }

# Remove all application permissions
$spApplicationPermissions | ForEach-Object {
    Remove-AzureADServiceAppRoleAssignment -ObjectId $_.PrincipalId -AppRoleAssignmentId $_.objectId
}

A frissítési jogkivonatok érvénytelenítése

Távolítsa el a felhasználók vagy csoportok appRoleAssignments parancsait az alkalmazáshoz az alábbi szkriptek használatával.

Connect-AzureAD

# Get Service Principal using objectId
$sp = Get-AzureADServicePrincipal -ObjectId "<ServicePrincipal objectID>"

# Get Azure AD App role assignments using objectID of the Service Principal
$assignments = Get-AzureADServiceAppRoleAssignment -ObjectId $sp.ObjectId -All $true | Where-Object {$_.PrincipalType -eq "User"}

# Revoke refresh token for all users assigned to the application
$assignments | ForEach-Object {
    Revoke-AzureADUserAllRefreshToken -ObjectId $_.PrincipalId
}

Engedélyek áttekintése és visszavonása

Az alábbi Microsoft Graph PowerShell-szkripttel visszavonhatja az alkalmazásnak adott összes engedélyt. Legalább felhőalapú alkalmazásként kell bejelentkeznie Rendszergazda istratorként.

Connect-MgGraph -Scopes "Application.ReadWrite.All", "Directory.ReadWrite.All", "DelegatedPermissionGrant.ReadWrite.All", "AppRoleAssignment.ReadWrite.All"

# Get Service Principal using objectId
$sp = Get-MgServicePrincipal -ServicePrincipalID "$ServicePrincipalID"

Example: Get-MgServicePrincipal -ServicePrincipalId '22c1770d-30df-49e7-a763-f39d2ef9b369'

# Get all delegated permissions for the service principal
$spOAuth2PermissionsGrants= Get-MgOauth2PermissionGrant -All| Where-Object { $_.clientId -eq $sp.Id }

# Remove all delegated permissions
$spOauth2PermissionsGrants |ForEach-Object {
  Remove-MgOauth2PermissionGrant -OAuth2PermissionGrantId $_.Id
  }

# Get all application permissions for the service principal
$spApplicationPermissions = Get-MgServicePrincipalAppRoleAssignment -ServicePrincipalId $Sp.Id -All | Where-Object { $_.PrincipalType -eq "ServicePrincipal" }

# Remove all application permissions
$spApplicationPermissions | ForEach-Object {
Remove-MgServicePrincipalAppRoleAssignedTo -ServicePrincipalId $Sp.Id  -AppRoleAssignmentId $_.Id
 }

A frissítési jogkivonatok érvénytelenítése

Távolítsa el a felhasználók vagy csoportok appRoleAssignments parancsait az alkalmazáshoz az alábbi szkriptek használatával.

Connect-MgGraph -Scopes "Application.ReadWrite.All", "Directory.ReadWrite.All", "AppRoleAssignment.ReadWrite.All"

# Get Service Principal using objectId
$sp = Get-MgServicePrincipal -ServicePrincipalID "$ServicePrincipalID"

Example: Get-MgServicePrincipal -ServicePrincipalId '22c1770d-30df-49e7-a763-f39d2ef9b369'

# Get Azure AD App role assignments using objectID of the Service Principal
$spApplicationPermissions = Get-MgServicePrincipalAppRoleAssignedTo -ServicePrincipalID $sp.Id -All | Where-Object { $_.PrincipalType -eq "ServicePrincipal" }

# Revoke refresh token for all users assigned to the application
  $spApplicationPermissions | ForEach-Object {
  Remove-MgServicePrincipalAppRoleAssignment -ServicePrincipalId $_.PrincipalId -AppRoleAssignmentId $_.Id
  }

Engedélyek áttekintése és visszavonása

Az engedélyek áttekintéséhez jelentkezzen be a Graph Explorerbe legalább felhőalapú alkalmazásként Rendszergazda istratorként.

A következő engedélyekhez kell hozzájárulnia:

Application.ReadWrite.All, Directory.ReadWrite.All, DelegatedPermissionGrant.ReadWrite.All. AppRoleAssignment.ReadWrite.All

Delegated permissions

Futtassa az alábbi lekérdezéseket az alkalmazáshoz megadott delegált engedélyek áttekintéséhez.

1. Szolgáltatásnév lekérése az objektumazonosító használatával.

   GET https://graph.microsoft.com/v1.0/servicePrincipals/{id}
   

   Példa:

   GET https://graph.microsoft.com/v1.0/servicePrincipals/00063ffc-54e9-405d-b8f3-56124728e051
   

2. A szolgáltatásnév összes delegált engedélyének lekérése

   GET https://graph.microsoft.com/v1.0/servicePrincipals/{id}/oauth2PermissionGrants
   

3. Távolítsa el a delegált engedélyeket az oAuth2PermissionGrants azonosító használatával.

   DELETE https://graph.microsoft.com/v1.0/oAuth2PermissionGrants/{id}
   

Application permissions

Futtassa az alábbi lekérdezéseket az alkalmazáshoz megadott alkalmazásengedélyek áttekintéséhez.

1. A szolgáltatásnév összes alkalmazásengedélyének lekérése

   GET https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipal-id}/appRoleAssignments
   

2. Alkalmazásengedélyek eltávolítása az appRoleAssignment azonosítójával

   DELETE https://graph.microsoft.com/v1.0/servicePrincipals/{resource-servicePrincipal-id}/appRoleAssignedTo/{appRoleAssignment-id}
   

A frissítési jogkivonatok érvénytelenítése

Futtassa az alábbi lekérdezéseket a felhasználók vagy csoportok appRoleAssignments alkalmazásának az alkalmazásba való eltávolításához.

1. Szolgáltatásnév lekérése az objectID használatával.

   GET https://graph.microsoft.com/v1.0/servicePrincipals/{id}
   

   Példa:

   GET https://graph.microsoft.com/v1.0/servicePrincipals/57443554-98f5-4435-9002-852986eea510
   

2. Microsoft Entra-alkalmazás szerepkör-hozzárendeléseinek lekérése a szolgáltatásnév objectID azonosítójának használatával.

   GET https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipal-id}/appRoleAssignedTo
   

3. Az alkalmazáshoz hozzárendelt felhasználók és csoportok frissítési jogkivonatának visszavonása az appRoleAssignment azonosítójával.

   DELETE https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipal-id}/appRoleAssignedTo/{appRoleAssignment-id}
   

Megjegyzés:

Az aktuálisan megadott engedély visszavonása nem akadályozza meg a felhasználókat abban, hogy újra jóváhagyják az alkalmazást. Ha meg szeretné akadályozni a felhasználók beleegyezését, olvassa el annak konfigurálását, hogy a felhasználók hogyan járulnak hozzá az alkalmazásokhoz.

További lépések

• Felhasználói hozzájárulási beállítás konfigurálása
• Rendszergazdai beleegyezés konfigurálásának munkafolyamata
• Visszavont engedélyek visszaállítása