Vállalati alkalmazásoknak adott engedélyek áttekintése
Ebből a cikkből megtudhatja, hogyan tekintheti át a Microsoft Entra-bérlői alkalmazásokhoz adott engedélyeket. Előfordulhat, hogy felül kell vizsgálnia az engedélyeket, ha kártékony alkalmazást észlelt, vagy az alkalmazás a szükségesnél több engedélyt kapott. Megtudhatja, hogyan vonhatja vissza az alkalmazásnak adott engedélyeket a Microsoft Graph API-val és a PowerShell meglévő verzióival.
A cikk lépései az összes olyan alkalmazásra vonatkoznak, amelyet felhasználói vagy rendszergazdai hozzájárulással adtak hozzá a Microsoft Entra-bérlőhöz. További információ az alkalmazásokhoz való hozzájárulásról: Felhasználói és rendszergazdai hozzájárulás.
Előfeltételek
Az alkalmazásoknak adott engedélyek áttekintéséhez a következőkre van szükség:
- An Azure account with an active subscription. Fiók ingyenes létrehozása.
- Az alábbi szerepkörök egyike: Global Rendszergazda istrator, Cloud Application Rendszergazda istrator, Application Rendszergazda istrator.
- A szolgáltatásnév tulajdonosa, aki nem rendszergazda, érvényteleníteni tudja a frissítési jogkivonatokat.
Engedélyek visszaállítása
A visszavont vagy törölt engedélyek visszaállításával kapcsolatos információkért tekintse meg az alkalmazásoknak biztosított visszaállítási engedélyeket.
Engedélyek áttekintése és visszavonása
Tipp.
A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.
A Microsoft Entra Felügyeleti központban megtekintheti az alkalmazásnak adott engedélyeket. Visszavonhatja a rendszergazdák által a teljes szervezet számára megadott engedélyeket, és környezetfüggő PowerShell-szkripteket kaphat más műveletek végrehajtásához.
Egy alkalmazásnak a teljes szervezet vagy egy adott felhasználó vagy csoport számára megadott engedélyeinek áttekintése:
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.
- Keresse meg az Identity>Applications>Enterprise-alkalmazásokat>Az összes alkalmazás.
- Jelölje ki azt az alkalmazást, amelyhez korlátozni szeretné a hozzáférést.
- Válassza ki az Engedélyek lehetőséget.
- A teljes szervezetre vonatkozó engedélyek megtekintéséhez válassza a Rendszergazda hozzájárulás lapot. Az adott felhasználónak vagy csoportnak adott engedélyek megtekintéséhez válassza a Felhasználói hozzájárulás lapot.
- Egy adott engedély részleteinek megtekintéséhez válassza ki az engedélyt a listából. Megnyílik az Engedély részletei panel.
Miután áttekintette az alkalmazásnak adott engedélyeket, visszavonhatja a rendszergazdák által a teljes szervezet számára megadott engedélyeket.
Megjegyzés:
A portálon nem vonhatja vissza a Felhasználói hozzájárulás lapon található engedélyeket. Ezeket az engedélyeket Microsoft Graph API-hívások vagy PowerShell-parancsmagok használatával vonhatja vissza. További információt a cikk PowerShell- és Microsoft Graph-lapjaiban talál.
Engedélyek visszavonása a Rendszergazda hozzájárulás lapján:
- Tekintse meg az engedélyek listáját a Rendszergazda hozzájárulás lapján.
- Válassza ki a visszavonni kívánt engedélyt, majd válassza ki az engedély ... vezérlőelemét.
- Válassza az Engedély visszavonása lehetőséget.
Engedélyek áttekintése és visszavonása
Az alábbi Azure AD PowerShell-szkripttel visszavonhatja az alkalmazásnak adott összes engedélyt. Legalább felhőalapú alkalmazásként kell bejelentkeznie Rendszergazda istratorként.
Connect-AzureAD
# Get Service Principal using objectId
$sp = Get-AzureADServicePrincipal -ObjectId "<ServicePrincipal objectID>"
# Get all delegated permissions for the service principal
$spOAuth2PermissionsGrants = Get-AzureADOAuth2PermissionGrant -All $true| Where-Object { $_.clientId -eq $sp.ObjectId }
# Remove all delegated permissions
$spOAuth2PermissionsGrants | ForEach-Object {
Remove-AzureADOAuth2PermissionGrant -ObjectId $_.ObjectId
}
# Get all application permissions for the service principal
$spApplicationPermissions = Get-AzureADServiceAppRoleAssignedTo -ObjectId $sp.ObjectId -All $true | Where-Object { $_.PrincipalType -eq "ServicePrincipal" }
# Remove all application permissions
$spApplicationPermissions | ForEach-Object {
Remove-AzureADServiceAppRoleAssignment -ObjectId $_.PrincipalId -AppRoleAssignmentId $_.objectId
}
A frissítési jogkivonatok érvénytelenítése
Távolítsa el a felhasználók vagy csoportok appRoleAssignments parancsait az alkalmazáshoz az alábbi szkriptek használatával.
Connect-AzureAD
# Get Service Principal using objectId
$sp = Get-AzureADServicePrincipal -ObjectId "<ServicePrincipal objectID>"
# Get Azure AD App role assignments using objectID of the Service Principal
$assignments = Get-AzureADServiceAppRoleAssignment -ObjectId $sp.ObjectId -All $true | Where-Object {$_.PrincipalType -eq "User"}
# Revoke refresh token for all users assigned to the application
$assignments | ForEach-Object {
Revoke-AzureADUserAllRefreshToken -ObjectId $_.PrincipalId
}
Engedélyek áttekintése és visszavonása
Az alábbi Microsoft Graph PowerShell-szkripttel visszavonhatja az alkalmazásnak adott összes engedélyt. Legalább felhőalapú alkalmazásként kell bejelentkeznie Rendszergazda istratorként.
Connect-MgGraph -Scopes "Application.ReadWrite.All", "Directory.ReadWrite.All", "DelegatedPermissionGrant.ReadWrite.All", "AppRoleAssignment.ReadWrite.All"
# Get Service Principal using objectId
$sp = Get-MgServicePrincipal -ServicePrincipalID "$ServicePrincipalID"
Example: Get-MgServicePrincipal -ServicePrincipalId '22c1770d-30df-49e7-a763-f39d2ef9b369'
# Get all delegated permissions for the service principal
$spOAuth2PermissionsGrants= Get-MgOauth2PermissionGrant -All| Where-Object { $_.clientId -eq $sp.Id }
# Remove all delegated permissions
$spOauth2PermissionsGrants |ForEach-Object {
Remove-MgOauth2PermissionGrant -OAuth2PermissionGrantId $_.Id
}
# Get all application permissions for the service principal
$spApplicationPermissions = Get-MgServicePrincipalAppRoleAssignment -ServicePrincipalId $Sp.Id -All | Where-Object { $_.PrincipalType -eq "ServicePrincipal" }
# Remove all application permissions
$spApplicationPermissions | ForEach-Object {
Remove-MgServicePrincipalAppRoleAssignedTo -ServicePrincipalId $Sp.Id -AppRoleAssignmentId $_.Id
}
A frissítési jogkivonatok érvénytelenítése
Távolítsa el a felhasználók vagy csoportok appRoleAssignments parancsait az alkalmazáshoz az alábbi szkriptek használatával.
Connect-MgGraph -Scopes "Application.ReadWrite.All", "Directory.ReadWrite.All", "AppRoleAssignment.ReadWrite.All"
# Get Service Principal using objectId
$sp = Get-MgServicePrincipal -ServicePrincipalID "$ServicePrincipalID"
Example: Get-MgServicePrincipal -ServicePrincipalId '22c1770d-30df-49e7-a763-f39d2ef9b369'
# Get Azure AD App role assignments using objectID of the Service Principal
$spApplicationPermissions = Get-MgServicePrincipalAppRoleAssignedTo -ServicePrincipalID $sp.Id -All | Where-Object { $_.PrincipalType -eq "ServicePrincipal" }
# Revoke refresh token for all users assigned to the application
$spApplicationPermissions | ForEach-Object {
Remove-MgServicePrincipalAppRoleAssignment -ServicePrincipalId $_.PrincipalId -AppRoleAssignmentId $_.Id
}
Engedélyek áttekintése és visszavonása
Az engedélyek áttekintéséhez jelentkezzen be a Graph Explorerbe legalább felhőalapú alkalmazásként Rendszergazda istratorként.
A következő engedélyekhez kell hozzájárulnia:
Application.ReadWrite.All
, Directory.ReadWrite.All
, DelegatedPermissionGrant.ReadWrite.All
. AppRoleAssignment.ReadWrite.All
Delegated permissions
Futtassa az alábbi lekérdezéseket az alkalmazáshoz megadott delegált engedélyek áttekintéséhez.
Szolgáltatásnév lekérése az objektumazonosító használatával.
GET https://graph.microsoft.com/v1.0/servicePrincipals/{id}
Példa:
GET https://graph.microsoft.com/v1.0/servicePrincipals/00063ffc-54e9-405d-b8f3-56124728e051
A szolgáltatásnév összes delegált engedélyének lekérése
GET https://graph.microsoft.com/v1.0/servicePrincipals/{id}/oauth2PermissionGrants
Távolítsa el a delegált engedélyeket az oAuth2PermissionGrants azonosító használatával.
DELETE https://graph.microsoft.com/v1.0/oAuth2PermissionGrants/{id}
Application permissions
Futtassa az alábbi lekérdezéseket az alkalmazáshoz megadott alkalmazásengedélyek áttekintéséhez.
A szolgáltatásnév összes alkalmazásengedélyének lekérése
GET https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipal-id}/appRoleAssignments
Alkalmazásengedélyek eltávolítása az appRoleAssignment azonosítójával
DELETE https://graph.microsoft.com/v1.0/servicePrincipals/{resource-servicePrincipal-id}/appRoleAssignedTo/{appRoleAssignment-id}
A frissítési jogkivonatok érvénytelenítése
Futtassa az alábbi lekérdezéseket a felhasználók vagy csoportok appRoleAssignments alkalmazásának az alkalmazásba való eltávolításához.
Szolgáltatásnév lekérése az objectID használatával.
GET https://graph.microsoft.com/v1.0/servicePrincipals/{id}
Példa:
GET https://graph.microsoft.com/v1.0/servicePrincipals/57443554-98f5-4435-9002-852986eea510
Microsoft Entra-alkalmazás szerepkör-hozzárendeléseinek lekérése a szolgáltatásnév objectID azonosítójának használatával.
GET https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipal-id}/appRoleAssignedTo
Az alkalmazáshoz hozzárendelt felhasználók és csoportok frissítési jogkivonatának visszavonása az appRoleAssignment azonosítójával.
DELETE https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipal-id}/appRoleAssignedTo/{appRoleAssignment-id}
Megjegyzés:
Az aktuálisan megadott engedély visszavonása nem akadályozza meg a felhasználókat abban, hogy újra jóváhagyják az alkalmazást. Ha meg szeretné akadályozni a felhasználók beleegyezését, olvassa el annak konfigurálását, hogy a felhasználók hogyan járulnak hozzá az alkalmazásokhoz.