Megosztás a következőn keresztül:


Alkalmazás kért engedélyeinek frissítése a Microsoft Entra-azonosítóban

Amikor Microsoft Entra-azonosítóval állít be egy alkalmazást, a fejlesztők engedélyekkel kérhetnek hozzáférést más alkalmazásoktól és szolgáltatásoktól származó adatokhoz. Az engedélyek kéréséhez statikus engedélyeket adhat hozzá az alkalmazás jegyzékfájljához, vagy dinamikusan igényelhet engedélyeket futásidőben. A felhasználók vagy rendszergazdák ezután dönthetnek úgy, hogy engedélyeket adnak a hozzájárulás során, így az alkalmazás hozzáférhet a szükséges adatokhoz.

Az alkalmazás funkcióinak fejlődése során az erőforrások, amelyekhez hozzáférésre van szükség, szintén változnak. Ezek a módosítások magukban foglalhatják az új funkciók engedélyezését, a szükségtelen hozzáférés megszüntetését vagy a magas jogosultsági szintű engedélyek lecserélését a kevésbé kiemeltekre. Ez a cikk bemutatja, hogyan frissítheti az alkalmazáskérések engedélyeit a Microsoft Entra felügyeleti központ és a Microsoft Graph API-hívások használatával.

Az alkalmazás engedélyeinek frissítése nem csak biztonsági ajánlott eljárás, hanem az alkalmazás felhasználói élményének és bevezetésének javítása is. Az alábbi szakasz az alkalmazás engedélyeinek frissítésének néhány előnyét ismerteti:

  • Ha az alkalmazás új funkciókkal rendelkezik, további engedélyeket kérhet, amelyek lehetővé teszik az alkalmazás számára a szükséges további erőforrások elérését.
  • Az ügyfelek nagyobb valószínűséggel fogadják el az alkalmazást, ha csak a működéshez szükséges legkevésbé kiemelt engedélyeket kérik. Azt mutatja, hogy az alkalmazás tiszteletben tartja az ügyfél adatvédelmi és adatvédelmi jogait, és nem fér hozzá több erőforráshoz, mint amennyi szükséges.
  • Emellett, ha az alkalmazás biztonsága sérül, kisebb a robbanási sugár, ha kevesebb vagy kisebb jogosultságú engedéllyel rendelkezik. Ez azt jelenti, hogy a támadó kevesebb hozzáféréssel rendelkezik az ügyfél adataihoz és erőforrásaihoz, így a potenciális kár csökken.
  • Az alkalmazás engedélyeinek frissítésével javíthatja az alkalmazás biztonságát, használhatóságát és megfelelőségét, és bizalmat építhet ki az ügyfelekkel.

Előfeltételek

Az alkalmazás kért engedélyeinek frissítéséhez a következőkre van szüksége:

  • Egy Microsoft Entra felhasználói fiók. Ha még nem rendelkezik ilyen fiókkal, hozzon létre ingyenes fiókot.
  • Az alábbi szerepkörök egyike: Alkalmazásadminisztrátor, felhőalkalmazás-rendszergazda. Az alkalmazás tulajdonosa, aki nem rendszergazda, frissítheti az alkalmazás kért engedélyeit.

Az engedélyek frissítésének forgatókönyvei

Az alábbi szakasz a három fő forgatókönyvet sorolja fel, ahol frissítenie kell az alkalmazás által kért engedélyeket:

  • Engedélyek hozzáadása egy alkalmazáshoz
  • Nem használt engedélyek eltávolítása egy alkalmazásból
  • Engedély cseréje

Feljegyzés

Az alkalmazás kért engedélyeinek frissítése nem ad automatikusan hozzáférést az alkalmazásnak a védett erőforrásokhoz, és nem vonja vissza azt. Az ügyfeleknek vagy a szervezet rendszergazdáinak hozzájárulást kell adniuk a hozzáadott új engedélyekhez, vagy manuálisan kell visszavonniuk az engedélyeket.

Engedélyek hozzáadása egy alkalmazáshoz

Akkor adhat hozzá engedélyt, ha az alkalmazás olyan új funkciókkal rendelkezik, amelyekhez korábban nem volt szükség engedélyre.

Ajánlott, hogy csak az alkalmazás működéséhez szükséges minimális engedélyekhez kérjen hozzáférést. Ha új engedélyt kell hozzáadnia az alkalmazás új funkcióinak támogatásához, csak a legkevésbé kiemelt engedélyt kell kérnie ehhez a funkcióhoz. Ha például hozzá szeretne adni egy e-mail értesítési funkciót az alkalmazáshoz, hozzá kell férnie a felhasználó e-mailjeihez. Ehhez hozzáférést kell kérnie az Mail.ReadWrite engedélyhez.

A statikus hozzájárulással nem futásidőben, hanem a felhasználóktól vagy rendszergazdáktól kérhet engedélyeket az alkalmazás regisztrációja során. A statikus hozzájáruláshoz az alkalmazásnak deklarálnia kell az összes szükséges engedélyt a Microsoft Entra felügyeleti központ Alkalmazásregisztrációk paneljén. A Microsoft Entra Felügyeleti központ használatával csak statikus hozzájárulásra vonatkozó engedélyeket frissíthet. A különböző típusú hozzájárulásokról további információt a hozzájárulás típusai című témakörben talál. A dinamikus hozzájárulás engedélyeinek frissítéséről a cikk Microsoft Graph lapján tájékozódhat.

Ebben a szakaszban megtudhatja, hogyan adhat hozzá engedélyeket a statikus hozzájáruláshoz.

A Statikus hozzájáruláshoz kétféleképpen adhat engedélyeket a Microsoft Entra Felügyeleti központban:

1. lehetőség: Engedélyek hozzáadása az API engedélypaneljén

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazás-rendszergazdaként vagy alkalmazástulajdonosként.
  2. Keresse meg az Identitásalkalmazások>> Alkalmazásregisztrációk> Az összes alkalmazást.
  3. Keresse meg azt az alkalmazásregisztrációt, amelyhez engedélyeket szeretne hozzáadni, és jelölje ki. Az engedélyek kétféleképpen vehetők fel:
  4. Engedélyek hozzáadása az API-engedélyek panelen.
    1. Keresse meg az API-engedélyek panelt, és válassza az Engedély hozzáadása lehetőséget.

    2. Válassza ki a elérni kívánt API-t és a kért engedélyt az elérhető lehetőségek listájából, és válassza az Engedélyek hozzáadása lehetőséget.

      Képernyőkép az API-engedélyek panelről.

2. lehetőség: Engedélyek hozzáadása az alkalmazásjegyzékhez

  1. A bal oldali navigációs panel Kezelés menücsoportjában válassza a Jegyzék elemet. A kijelölés megnyit egy szerkesztőt, amely lehetővé teszi az alkalmazásregisztrációs objektum attribútumainak közvetlen szerkesztését.
  2. Gondosan szerkessze a requiredResourceAccess tulajdonságot az alkalmazás jegyzékfájljában.
  3. Adja hozzá a tulajdonságot és resourceAccess a resourceAppId tulajdonságot, és rendelje hozzá a szükséges engedélyeket.
  4. Mentse a módosításokat.

Az engedélyek hozzáadásának következő lépéseinek elvégzéséhez a következő erőforrásokra és jogosultságokra van szüksége:

  • Futtassa a HTTP-kéréseket egy tetszőleges eszközben, például az alkalmazásban vagy a Graph Explorerben.
  • Futtassa az API-kat felhasználóként legalább felhőalkalmazás-rendszergazdával, vagy a célalkalmazás-regisztráció tulajdonosaként.
  • A módosítások elvégzéséhez használt alkalmazásnak engedélyt kell adnia Application.ReadWrite.All .
  1. Azonosítsa az alkalmazáshoz szükséges engedélyeket, azok engedélyazonosítóit, és hogy alkalmazásszerepkörök (alkalmazásengedélyek) vagy delegált engedélyek-e. Ha például Microsoft Graph-engedélyeket szeretne kérni, tekintse meg a Microsoft Graph engedélylistáját és azonosítóit.

  2. Adja hozzá a szükséges Microsoft Graph-engedélyeket az alkalmazáshoz. Az alábbi példa meghívja az Update application API-t, hogy adja hozzá a szükséges Microsoft Graph-engedélyeket egy objektumazonosító aaaaaaaa-0000-1111-2222-bbbbbbbbbbbbáltal azonosított alkalmazásregisztrációhoz. Ez a példa használ Analytics.Read és Application.Read.All delegált engedélyt és alkalmazásengedélyt. A Microsoft Graph egy ServicePrincipal objektumként 00000003-0000-0000-c000-000000000000 van azonosítva globálisan egyediként AppId.

    PATCH https://graph.microsoft.com/v1.0/applications/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
    Content-Type: application/json
     {
         "requiredResourceAccess": [
             {
                 "resourceAppId": "00000003-0000-0000-c000-000000000000",
                 "resourceAccess": [
                     {
                         "id": "e03cf23f-8056-446a-8994-7d93dfc8b50e",
                         "type": "Scope"
                     },
                     {
                         "id": "9a5d68dd-52b0-4cc2-bd40-abcf44ac3a30",
                         "type": "Role"
                     }
                 ]
             }
         ]
     }
    

A dinamikus hozzájárulással a felhasználóktól vagy rendszergazdáktól kérhet engedélyeket futásidőben, ahelyett, hogy statikusan deklarálhatja őket a Alkalmazásregisztrációk panelen. A dinamikus hozzájárulás lehetővé teszi, hogy az alkalmazás csak azokat az engedélyeket kérje, amelyekre egy adott funkcióhoz szüksége van, és szükség esetén engedélyt kérjen a felhasználótól vagy a rendszergazdától. A dinamikus hozzájárulás delegált engedélyekkel használható, és a /.default hatókörrel kombinálva minden engedélyhez rendszergazdai hozzájárulást kérhet.

Engedélyek hozzáadása dinamikus hozzájáruláshoz:

  • A Microsoft Graph használata: Adja hozzá a szükséges Microsoft Graph-engedélyeket egy alkalmazásregisztrációhoz. Ez a példa használ Analytics.Read és Application.Read.All delegált engedélyt és alkalmazásengedélyt. Cserélje le a hatókörök értékeit az alkalmazáshoz konfigurálni kívánt Microsoft Graph-delegált engedélyek értékeire.

    A kérésnek az alábbi példához hasonlóan kell lennie:

    https://login.microsoftonline.com/common/oauth2/v2.0/authorize?client_id=00001111-aaaa-2222-bbbb-3333cccc4444&response_type=code&scope=Analytics.Read+Application.Read

  • MSAL.js használata: Cserélje le a hatókörök értékeit az alkalmazáshoz konfigurálni kívánt Microsoft Graph-delegált engedélyek értékeire.

      const Request = {
          scopes: ["openid", "profile"],
          loginHint: "example@domain.net"
      };
    
      myMSALObj.ssoSilent(Request)
          .then((response) => {
              // your logic
          }).catch(error => {
              console.error("Silent Error: " + error);
              if (error instanceof msal.InteractionRequiredAuthError) {
                  myMSALObj.loginRedirect(loginRequest);
              }
      });
    

Az engedélyek alkalmazáshoz való hozzáadása után a felhasználóknak vagy a rendszergazdáknak hozzájárulást kell adniuk az új engedélyekhez. A nem admin felhasználók hozzájárulási kérést kapnak, amikor bejelentkeznek az alkalmazásba. A rendszergazdai felhasználók viszont engedélyt adhatnak az új engedélyekre a szervezet összes felhasználója nevében, amikor először jelentkeznek be az alkalmazásba vagy a Microsoft Entra felügyeleti központban.

Ha a hozzáadott engedélyek rendszergazdai hozzájárulást igényelnek, a szükséges műveletek az alkalmazás típusától függően változnak:

  • Egybérlős alkalmazás és több-bérlős alkalmazás az otthoni bérlőben: A felhasználónak legalább kiemelt szerepkör-rendszergazdai szerepkörként kell bejelentkeznie, és bérlőszintű hozzájárulást kell adnia.
  • Több-bérlős alkalmazások az ügyfél bérlőiben: A felhasználó új hozzájárulási kéréseket lát a következő bejelentkezési kísérlet során. Ha az engedélyek csak felhasználói hozzájárulást igényelnek, a felhasználó adhat hozzájárulást. Ha az engedélyek rendszergazdai hozzájárulást igényelnek, a felhasználónak kapcsolatba kell lépnie a rendszergazdával a hozzájárulás megadásához.

Nem használt engedélyek kérésének leállítása

Az engedélyek eltávolítása csökkentheti a bizalmas adatok felfedésének vagy a biztonság veszélyeztetésének kockázatát, és leegyszerűsítheti a felhasználók vagy rendszergazdák hozzájárulási folyamatát. Ha az alkalmazásnak már nincs szüksége engedélyre, meg kell akadályoznia, hogy az alkalmazás engedélyt kérjen az alkalmazásregisztráció szükséges erőforrás-hozzáféréséből és kódjából. Egy olyan alkalmazás például, amely már nem küld e-mail-értesítéseket, eltávolíthatja az Mail.ReadWrite engedélyt.

Fontos

Ha eltávolít egy engedélyt az alkalmazásregisztrációból, az nem vonja vissza automatikusan az alkalmazásnak már megadott engedélyeket. Manuálisan kell visszavonnia az engedélyeket. További információt a jelen cikk vállalati alkalmazásra vonatkozó eltávolított engedélyeinek visszavonása című szakaszában talál.

A statikus hozzájárulást igénylő engedélyek kérésének leállításához el kell távolítania az engedélyt a Alkalmazásregisztrációk panelről. A bérlő rendszergazdájának is vissza kell vonnia az engedélyt a Vállalati alkalmazások panelen. A vállalati alkalmazások engedélyeinek visszavonásáról további információt a vállalati alkalmazások engedélyeinek visszavonása című témakörben talál.

Ebben a szakaszban megtudhatja, hogyan állíthatja le a statikus hozzájáruláshoz szükséges engedélyek kérését.

A Microsoft Entra felügyeleti központban kétféleképpen távolíthat el engedélyeket a statikus hozzájárulásból:

1. lehetőség: Az API engedélypaneljén

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazás-rendszergazdaként vagy alkalmazástulajdonosként.
  2. Keresse meg az Identitásalkalmazások>> Alkalmazásregisztrációk> Az összes alkalmazást.
  3. Keresse meg azt az alkalmazásregisztrációt, amelyből engedélyeket szeretne eltávolítani, és jelölje ki.
  4. Távolítsa el az engedélyeket az API engedélypaneljéről :
    1. Keresse meg az API-engedélyek panelt, és keresse meg az eltávolítani kívánt engedélyeket.

    2. Válassza ki az eltávolítani kívánt API-t, majd válassza a Rendszergazdai hozzájárulás visszavonása lehetőséget, majd távolítsa el a következő engedélyt . Biztosítja, hogy a megadott engedély el legyen távolítva a bérlőből.

      Képernyőkép arról, hogyan távolíthat el engedélyeket az API engedélypaneljén keresztül.

2. lehetőség: Az alkalmazásjegyzékből

  1. A bal oldali navigációs panel Kezelés menücsoportjában válassza a Jegyzék elemet. Megnyílik egy szerkesztő, amely lehetővé teszi az alkalmazásregisztrációs objektum attribútumainak közvetlen szerkesztését.
  2. Gondosan szerkessze a requiredResourceAccess tulajdonságot az alkalmazás jegyzékfájljában.
  3. Távolítsa el a szükségtelen engedélyeket a tulajdonságból és resourceAccess a tulajdonságbólresourceAppId.
  4. Mentse a módosításokat.

Az engedélyek eltávolításának alábbi lépéseinek elvégzéséhez az alábbi erőforrásokra és jogosultságokra van szüksége:

  • Futtassa a HTTP-kéréseket egy tetszőleges eszközben, például az alkalmazásban vagy a Graph Explorerben.
  • Az API-kat legalább felhőalkalmazás-rendszergazdaként vagy a célalkalmazás-regisztráció tulajdonosaként hívhatja meg.
  • A módosítások elvégzéséhez használt alkalmazásnak engedélyt kell adnia Application.ReadWrite.All .
  1. Azonosítsa az alkalmazás engedélyeit.

  2. Ha például meg szeretné akadályozni, hogy az alkalmazás Microsoft Graph-engedélyeket kérjen, azonosítsa az alkalmazásHoz tartozó Microsoft Graph-engedélyeket, azok engedélyazonosítóit, és hogy alkalmazásszerepkörök (alkalmazásengedélyek) vagy delegált engedélyek-e.

  3. Távolítsa el a nem kívánt Microsoft Graph-engedélyeket az alkalmazásból. Az alábbi példa meghívja az Update application API-t, hogy távolítsa el a nem kívánt Microsoft Graph-engedélyeket egy mintaügyfél-azonosító 00001111-aaaa-2222-bbbb-3333cccc4444által azonosított alkalmazásregisztrációból. Ebben a példában az alkalmazás rendelkezik Analytics.Read, User.Readés Application.Read.All. El kell távolítani Analytics.Read és Application.Read.All delegálni kell az engedélyeket és az alkalmazásengedélyeket. A Microsoft Graph egy ServicePrincipal objektumként 00000003-0000-0000-c000-000000000000 van azonosítva, amely globálisan egyedi AppId , a Microsoft Graph pedig annak DisplayName és AppDisplayName.

    PATCH https://graph.microsoft.com/v1.0/applications/00001111-aaaa-2222-bbbb-3333cccc4444
    Content-Type: application/json
    {
        "requiredResourceAccess": [
            {
                "resourceAppId": "00000003-0000-0000-c000-000000000000",
                "resourceAccess": [
                    {
                        "id": "311a71cc-e848-46a1-bdf8-97ff7156d8e6 ",
                        "type": "Scope"
                    }
                ]
            }
        ]
    }
    

Ha el kell távolítania a delegált engedélyeket a dinamikus hozzájárulási kérelemből, adja meg a hatókör paraméterét, miközben kihagyja az eltávolítani kívánt engedélyeket. Az engedélyek eltávolítása biztosítja, hogy az alkalmazás ne hívja meg a megfelelő API-t.

Ez a módszer csak delegált engedélyek esetén működik. Az alkalmazásengedélyeket a rendszergazda statikus hozzájárulással kéri és adja meg, és az OAuth 2.0 engedélyezési kérelem során nem szerepel a hatókör paraméterében.

Az engedélyek dinamikus hozzájárulással történő kérésének leállítása:

  • A Microsoft Graph használata: Távolítsa el a nem kívánt Microsoft Graph delegált engedélyeket a "hatókörök" paraméterből. Ebben a példában az alkalmazás három delegált engedélyt kér – Analytics.ReadUser.Read és Application.Read. A delegált engedélyek, Analytics.Read és Application.Read már nem szükségesek ehhez az alkalmazáshoz. Csak a szükséges User.Read.

A kérésnek a következő példához hasonlónak kell lennie:

https://login.microsoftonline.com/common/oauth2/v2.0/authorize?client_id=00001111-aaaa-2222-bbbb-3333cccc4444&response_type=code&scope=User.Read

  • MSAL.js használata: Távolítsa el a nem kívánt Microsoft Graph delegált engedélyeket a "hatókörökben".

        const Request = {
            scopes: ["openid", "profile"],
            loginHint: "example@domain.net"
        };
    
        myMSALObj.ssoSilent(Request)
            .then((response) => {
                // your logic
            }).catch(error => {
                console.error("Silent Error: " + error);
                if (error instanceof msal.InteractionRequiredAuthError) {
                    myMSALObj.loginRedirect(loginRequest);
                }
        });
    

Miután eltávolította az engedélyeket az alkalmazásregisztrációból, a bérlő rendszergazdájának vissza kell vonnia a hozzájárulást a szervezet adatainak védelméhez. Ha az eltávolított engedély rendszergazdai hozzájárulást igényel, a szükséges műveletek az alkalmazás típusától függően változnak:

  • Egybérlős alkalmazás és több-bérlős alkalmazás az otthoni bérlőben: Egyetlen bérlős alkalmazás esetén forduljon a bérlő rendszergazdájához, hogy visszavonja az alkalmazásnak már megadott engedélyeket. Több-bérlős alkalmazás esetén forduljon az összes olyan bérlő rendszergazdájához, ahol az alkalmazás példányai találhatók, hogy visszavonja a vállalati alkalmazásnak adott engedélyeket. Az eltávolított engedélyekhez való hozzájárulás visszavonása biztosítja, hogy az alkalmazás ne tartsa fenn a hozzáférést az eltávolított engedélyen keresztül.
  • Több-bérlős alkalmazások az ügyfelek bérlőiben: Győződjön meg arról, hogy az ügyfelekkel kommunikálva visszavonja az engedélyeket bejelentésekkel, blogokkal és egyéb kommunikációs csatornákkal.

Az önálló bérlői és a több-bérlős alkalmazások esetében a felhasználói hozzájárulást engedélyező bérlők nem érintett felhasználói a MyApps portálon visszavonhatják a korábban megadott engedélyekhez való hozzájárulást. További információ arról, hogy a végfelhasználók hogyan vonhatják vissza az engedélyeket a MyApps portálon: Végfelhasználói hozzájárulás visszavonása.

Engedély cseréje

A magas jogosultságú engedélyeket akkor érdemes lecserélni, ha egy kevésbé kiemelt engedély elegendő.

Az engedélyek cseréje csökkentheti a bizalmas adatok felfedésének vagy a biztonság veszélyeztetésének kockázatát, és ezáltal javíthatja a felhasználói élményt és a megbízhatóságot. Ha az alkalmazás magas jogosultsági szintű engedélyt használ, például Directory.ReadWrite.Allérdemes megfontolnia, hogy egy kevésbé emelt szintű engedély, például User.ReadWrite.Allelegendő-e az alkalmazás működéséhez.

Feljegyzés

Amikor módosítja egy alkalmazás statikus hozzájáruláshoz kért engedélyeit, az ügyfélnek újra kell majd kérnie. Az újraküldési művelet visszavonja az összes korábban megadott engedélyt, és engedélyt ad az újaknak. Amikor módosítja egy alkalmazás dinamikus hozzájáruláshoz kért engedélyeit, a korábban megadott engedélyek nem lesznek visszavonva. Az ügyfélnek manuálisan kell visszavonnia az engedélyeket.

Az engedély cseréjéhez el kell távolítania a szükségtelen engedélyt, és hozzá kell adnia egy másikat. A lépések olyanok, mint a nem használt engedélyek kérésének leállítása és a cikk engedélyszakaszainak hozzáadása című cikkben ismertetett lépések.