Vállalati alkalmazásoknak adott engedélyek áttekintése

Ebből a cikkből megtudhatja, hogyan tekintheti át a Microsoft Entra-bérlői alkalmazásokhoz adott engedélyeket. Előfordulhat, hogy át kell tekintenie az engedélyeket, ha rosszindulatú alkalmazást észlel, vagy olyant, amely a szükségesnél több engedéllyel rendelkezik. Megtudhatja, hogyan vonhatja vissza az alkalmazásnak adott engedélyeket a Microsoft Graph API-val és a PowerShell meglévő verzióival.

A cikk lépései az összes olyan alkalmazásra vonatkoznak, amelyet felhasználói vagy rendszergazdai hozzájárulással adtak hozzá a Microsoft Entra-bérlőhöz. További információ az alkalmazásokhoz való hozzájárulásról: Felhasználói és rendszergazdai hozzájárulás.

Előfeltételek

Az alkalmazásoknak adott engedélyek áttekintéséhez a következőkre van szükség:

• Aktív előfizetéssel rendelkező Azure-fiók. Hozzon létre egy fiókot ingyenesen.
• Az alábbi szerepkörök egyike: Felhőalkalmazás-rendszergazda, alkalmazásadminisztrátor.
• A szolgáltatásnév tulajdonosa, aki nem rendszergazda, érvényteleníteni tudja a frissítési jogkivonatokat.

Engedélyek áttekintése és visszavonása a Microsoft Entra Felügyeleti központban

Borravaló

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

A Microsoft Entra Felügyeleti központban megtekintheti az alkalmazásnak adott engedélyeket. Visszavonhatja a rendszergazdák által a teljes szervezet számára megadott engedélyeket, és környezetfüggő PowerShell-szkripteket kaphat más műveletek végrehajtásához.

A visszavont vagy törölt engedélyek visszaállításáról további információt az alkalmazásoknak adott engedélyek visszaállítása című témakörben talál.

Az alkalmazás teljes szervezetre vagy adott felhasználóra vagy csoportra vonatkozó engedélyeinek áttekintése:

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazás-rendszergazdaként.
2. Keresse meg az Identity>Applications>Enterprise-alkalmazásokat>Az összes alkalmazás.
3. Jelölje ki azt az alkalmazást, amelyhez korlátozni szeretné a hozzáférést.
4. Válassza ki az Engedélyek lehetőséget.
5. A teljes szervezetre vonatkozó engedélyek megtekintéséhez válassza a Rendszergazdai hozzájárulás lapot. Az adott felhasználónak vagy csoportnak adott engedélyek megtekintéséhez válassza a Felhasználói hozzájárulás lapot.
6. Egy adott engedély részleteinek megtekintéséhez válassza ki az engedélyt a listából. Megnyílik az Engedély részletei panel. Az alkalmazásnak adott engedélyek áttekintése után visszavonhatja a rendszergazdák által a teljes szervezet számára megadott engedélyeket.

   Jegyzet

   A portálon nem vonhatja vissza a Felhasználói hozzájárulás lapon található engedélyeket. Ezeket az engedélyeket Microsoft Graph API-hívások vagy PowerShell-parancsmagok használatával vonhatja vissza. További információt a cikk PowerShell- és Microsoft Graph-lapjaiban talál.

Engedélyek visszavonása a Rendszergazdai hozzájárulás lapon:

1. Tekintse meg az engedélyek listáját a Rendszergazdai hozzájárulás lapon.
2. Válassza ki a visszavonni kívánt engedélyt, majd válassza ki az engedély ... vezérlőelemét.
3. Válassza az Engedély visszavonása lehetőséget.

Engedélyek áttekintése és visszavonása az Azure AD PowerShell használatával

Az alábbi Azure AD PowerShell-szkripttel visszavonhatja az alkalmazásnak adott összes engedélyt. Legalább felhőalkalmazás-rendszergazdaként kell bejelentkeznie.

Connect-AzureAD 

# Get Service Principal using objectId
$sp = Get-AzureADServicePrincipal -ObjectId "<ServicePrincipal objectID>"

# Get all delegated permissions for the service principal
$spOAuth2PermissionsGrants = Get-AzureADOAuth2PermissionGrant -All $true| Where-Object { $_.clientId -eq $sp.ObjectId }

# Remove all delegated permissions
$spOAuth2PermissionsGrants | ForEach-Object {
    Remove-AzureADOAuth2PermissionGrant -ObjectId $_.ObjectId
}

# Get all application permissions for the service principal
$spApplicationPermissions = Get-AzureADServiceAppRoleAssignedTo -ObjectId $sp.ObjectId -All $true | Where-Object { $_.PrincipalType -eq "ServicePrincipal" }

# Remove all application permissions
$spApplicationPermissions | ForEach-Object {
    Remove-AzureADServiceAppRoleAssignment -ObjectId $_.PrincipalId -AppRoleAssignmentId $_.objectId
}

A frissítési jogkivonatok érvénytelenítése az Azure AD PowerShell használatával

Távolítsa el a felhasználók vagy csoportok appRoleAssignments parancsait az alkalmazáshoz az alábbi szkriptek használatával.

Connect-AzureAD

# Get Service Principal using objectId
$sp = Get-AzureADServicePrincipal -ObjectId "<ServicePrincipal objectID>"

# Get Azure AD App role assignments using objectID of the Service Principal
$assignments = Get-AzureADServiceAppRoleAssignment -ObjectId $sp.ObjectId -All $true | Where-Object {$_.PrincipalType -eq "User"}

# Revoke refresh token for all users assigned to the application
$assignments | ForEach-Object {
    Revoke-AzureADUserAllRefreshToken -ObjectId $_.PrincipalId
}

Engedélyek áttekintése és visszavonása a Microsoft Graph PowerShell használatával

Az alábbi Microsoft Graph PowerShell-szkripttel visszavonhatja az alkalmazásnak adott összes engedélyt. Legalább felhőalkalmazás-rendszergazdaként kell bejelentkeznie.

Connect-MgGraph -Scopes "Application.ReadWrite.All", "Directory.ReadWrite.All", "DelegatedPermissionGrant.ReadWrite.All", "AppRoleAssignment.ReadWrite.All"

# Get Service Principal using objectId
$sp = Get-MgServicePrincipal -ServicePrincipalID "<ServicePrincipal objectID>"

Example: Get-MgServicePrincipal -ServicePrincipalId 'aaaaaaaa-bbbb-cccc-1111-222222222222'

# Get all delegated permissions for the service principal
$spOAuth2PermissionsGrants= Get-MgOauth2PermissionGrant -All| Where-Object { $_.clientId -eq $sp.Id }

# Remove all delegated permissions
$spOauth2PermissionsGrants |ForEach-Object {
  Remove-MgOauth2PermissionGrant -OAuth2PermissionGrantId $_.Id
}

# Get all application permissions for the service principal
$spApplicationPermissions = Get-MgServicePrincipalAppRoleAssignment -ServicePrincipalId $Sp.Id -All | Where-Object { $_.PrincipalType -eq "ServicePrincipal" }

# Remove all application permissions
$spApplicationPermissions | ForEach-Object {
Remove-MgServicePrincipalAppRoleAssignedTo -ServicePrincipalId $Sp.Id  -AppRoleAssignmentId $_.Id
}

A frissítési jogkivonatok érvénytelenítése a Microsoft Graph PowerShell használatával

Távolítsa el a felhasználók vagy csoportok appRoleAssignments parancsait az alkalmazáshoz az alábbi szkriptek használatával.

Connect-MgGraph -Scopes "Application.ReadWrite.All", "Directory.ReadWrite.All", "AppRoleAssignment.ReadWrite.All"

# Get Service Principal using objectId
$sp = Get-MgServicePrincipal -ServicePrincipalID "<ServicePrincipal objectID>"

Example: Get-MgServicePrincipal -ServicePrincipalId 'aaaaaaaa-bbbb-cccc-1111-222222222222'

# Get Azure AD App role assignments using objectID of the Service Principal
$spApplicationPermissions = Get-MgServicePrincipalAppRoleAssignedTo -ServicePrincipalID $sp.Id -All | Where-Object { $_.PrincipalType -eq "ServicePrincipal" }

# Revoke refresh token for all users assigned to the application
  $spApplicationPermissions | ForEach-Object {
  Remove-MgServicePrincipalAppRoleAssignment -ServicePrincipalId $_.PrincipalId -AppRoleAssignmentId $_.Id
}

Engedélyek áttekintése és visszavonása a Microsoft Graph használatával

Az engedélyek áttekintéséhez jelentkezzen be a Graph Explorerbe legalább felhőalkalmazás-rendszergazdaként.

A következő engedélyekhez kell hozzájárulnia:

Application.ReadWrite.All, Directory.ReadWrite.All, DelegatedPermissionGrant.ReadWrite.All. AppRoleAssignment.ReadWrite.All

Delegált engedélyek

Futtassa az alábbi lekérdezéseket az alkalmazáshoz megadott delegált engedélyek áttekintéséhez.

1. Szolgáltatásnév lekérése az objektumazonosító használatával.

   GET https://graph.microsoft.com/v1.0/servicePrincipals/{id}
   

   Példa:

   GET https://graph.microsoft.com/v1.0/servicePrincipals/00001111-aaaa-2222-bbbb-3333cccc4444
   

2. A szolgáltatásnévhez tartozó összes delegált engedély lekérése

   GET https://graph.microsoft.com/v1.0/servicePrincipals/{id}/oauth2PermissionGrants
   

3. Távolítsa el a delegált engedélyeket az oAuth2PermissionGrants azonosító használatával.

   DELETE https://graph.microsoft.com/v1.0/oAuth2PermissionGrants/{id}
   

Alkalmazásengedélyek

Futtassa az alábbi lekérdezéseket az alkalmazáshoz megadott alkalmazásengedélyek áttekintéséhez.

1. A szolgáltatásnév összes alkalmazásengedélyének lekérése

   GET https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipal-id}/appRoleAssignments
   

2. Alkalmazásengedélyek eltávolítása az appRoleAssignment azonosítójával

   DELETE https://graph.microsoft.com/v1.0/servicePrincipals/{resource-servicePrincipal-id}/appRoleAssignedTo/{appRoleAssignment-id}
   

A frissítési jogkivonatok érvénytelenítése a Microsoft Graph használatával

Futtassa az alábbi lekérdezéseket a felhasználók vagy csoportok appRoleAssignments alkalmazásának az alkalmazásba való eltávolításához.

1. Szolgáltatásnév lekérése az objectID használatával.

   GET https://graph.microsoft.com/v1.0/servicePrincipals/{id}
   

   Példa:

   GET https://graph.microsoft.com/v1.0/servicePrincipals/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
   

2. Microsoft Entra-alkalmazás szerepkör-hozzárendeléseinek lekérése a szolgáltatásnév objectID azonosítójának használatával.

   GET https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipal-id}/appRoleAssignedTo
   

3. Az alkalmazáshoz hozzárendelt felhasználók és csoportok frissítési jogkivonatának visszavonása az appRoleAssignment azonosítójával.

   DELETE https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipal-id}/appRoleAssignedTo/{appRoleAssignment-id}
   

Jegyzet

Az aktuálisan megadott engedély visszavonása nem akadályozza meg a felhasználókat abban, hogy újra jóváhagyják az alkalmazás kért engedélyeit. Meg kell akadályoznia, hogy az alkalmazás dinamikus hozzájárulással kérje az engedélyeket. Ha meg szeretné akadályozni, hogy a felhasználók teljes mértékben hozzájáruljanak a hozzájáruláshoz, olvassa el annak konfigurálását, hogy a felhasználók hogyan járulnak hozzá az alkalmazásokhoz.

Egyéb megfontolandó engedélyezés

Nem csak a delegált és az alkalmazásengedélyek biztosítják az alkalmazásoknak és a felhasználóknak a védett erőforrásokhoz való hozzáférést. A rendszergazdáknak tisztában kell lenniük más engedélyezési rendszerekkel, amelyek bizalmas információkhoz adhatnak hozzáférést. A Microsoft különböző engedélyezési rendszerei közé tartoznak például a Microsoft Entra beépített szerepkörei, az Exchange RBAC és a Teams erőforrás-specifikus hozzájárulása.

Következő lépések

• Felhasználói hozzájárulási beállítás konfigurálása
• Rendszergazdai hozzájárulási munkafolyamat konfigurálása
• Visszavont engedélyek visszaállítása