Alkalmazásengedély-stratégia fejlesztése

A Teljes felügyelet alapelvek használatával történő fejlesztés során tekintse át ezt a cikket az erőforrásokhoz való hozzáférés engedélyezésének és a delegált engedélystratégiák fejlesztésének áttekintése után. A hitelesítő adatok kezelésének alkalmazásengedély-megközelítését akkor határozza meg, amikor a Microsoft Identitásplatform használatával hitelesíti és engedélyezi az alkalmazásokat, valamint kezeli az engedélyeket és a hozzájárulásokat.

Ha nincs érintett felhasználó, akkor nem rendelkezik érvényes engedélymodellel , mert az alkalmazás mindig ugyanazokat az engedélyeket kapja, mint az alkalmazás adott felhasználója.

• Az alkalmazás bizonyítja, hogy az alkalmazás engedélyt kér. Az alkalmazás az alábbi módszerek egyikével igazolja saját identitását :

  • egy tanúsítványt, amely a legjobb megoldás, vagy
  • egy kifinomult titkos kódkezelő rendszerben lévő titkos kód, vagy
  • titkos kód, amikor az Azure-beli szolgáltatásokat fejleszti, és felügyelt identitásokat használ Azure-erőforrásokhoz. Lásd: Az alkalmazás hitelesítő adatainak kezelése szakasz.

• Az alkalmazáshoz mindig előzetes rendszergazdai hozzájárulás szükséges. Az alkalmazás ezt az engedélyt a hatókörrel .default fogja kérni. A rendszergazda által az alkalmazáshoz hozzárendelt engedélyeket fogja kérni. Az egyes hatókörök elnevezésétől függetlenül ezek az engedélyek alapértelmezés szerint az összes felhasználóra érvényesek.

• Transzfelhasználói funkciók. Alapértelmezés szerint lehetővé teszi az alkalmazás számára, User.ReadWrite.All hogy minden felhasználó profilját frissítse, még akkor is Calendar.Read. Alkalmazásengedélyként lehetővé teszi, hogy az alkalmazás elolvassa a bérlő összes felhasználójának naptárát.

• Az alkalmazás által megadott engedélyek mindig a használt engedélyek. A delegált engedélyekkel ellentétben az alkalmazásengedélyeket nem köti össze egy adott felhasználó.

Alkalmazásengedélyek korlátozása

Az alkalmazásokat háromféleképpen korlátozhatja a globális hozzáférésnél kisebbre.

• A Microsoft Teams-alkalmazások erőforrás-specifikus hozzájárulással (RSC) rendelkeznek, amely lehetővé teszi az alkalmazások számára, hogy egy adott csapathoz férjenek hozzá ahelyett, hogy a vállalat összes csapatához hozzáférnek. Az RSC egy Microsoft Teams- és Microsoft Graph API-integráció, amely lehetővé teszi, hogy az alkalmazás API-végpontokat használjon, és bizonyos erőforrásokat kezeljen. Az engedélymodell lehetővé teszi, hogy a Teams és a csevegés tulajdonosai hozzájárulást adjanak az alkalmazásnak a Teams- és csevegési adataik eléréséhez és módosításához.

• A Microsoft Exchange-rendszergazdák Exchange-alkalmazásszabályzatokat hozhatnak létre, amelyek egy PowerShell-szkripttel korlátozzák az alkalmazások hozzáférését adott postaládákhoz. Egy adott alkalmazást bizonyos postaládákra korlátozhatja, amelyekhez hozzáféréssel vagy Mail.Read hozzáféréssel rendelkezikCalendar.Read. Ez lehetővé teszi például, hogy olyan automatizálást hozzon létre, amely csak egy postaládát tud olvasni, vagy csak egy postaládából küldhet leveleket, és nem a vállalat minden felhasználójától.

• A SharePoint a Sites.Selected hatókörrel rendelkezik, amely részletes engedélyeket biztosít a SharePoint alkalmazással való eléréséhez. Ha az alkalmazást a többi engedély helyett választja Sites.Selected , az alapértelmezés szerint azt eredményezi, hogy az alkalmazás nem fér hozzá SharePoint-webhelycsoportokhoz. A rendszergazda a webhelyengedélyek végpontjával biztosít olvasási, írási vagy olvasási és írási engedélyeket az alkalmazásnak.

Alkalmazások hitelesítő adatainak kezelése

A hitelesítő adatok higiéniával gondoskodhat arról, hogy az alkalmazás gyorsan helyreálljon egy esetleges incidensből. Az alábbi ajánlott eljárások segítségével olyan alkalmazásokat fejleszthet, amelyek észlelést és szervizelést végeznek, miközben elkerülik az állásidőt és befolyásolják a jogos felhasználókat. Ezek a javaslatok támogatják a biztonsági incidensre való reagálásra való felkészülés során a Teljes felügyelet szabálysértés elvét.

• Távolítsa el az összes titkos kódot a kódból és a konfigurációból. Az Azure-platform használatakor helyezze el a titkos kulcsokat a Key Vaultban, és az Azure-erőforrásokhoz tartozó felügyelt identitásokkal érje el őket. A kód rugalmassá tétele a titkos kulcsok rotációinak kezelésére, ha biztonsági rés lép fel. Az informatikai rendszergazdák anélkül távolíthatják el és forgathatják el a titkos kulcsokat és a tanúsítványokat, hogy levenné az alkalmazást, vagy hatással lenne a jogos felhasználókra.

• Használjon tanúsítványokat az ügyfél titkos kulcsai helyett, hacsak nincs biztonságos eljárás a titkos kódok kezelésére. A támadók tudják, hogy az ügyfél titkos kulcsait általában kevésbé biztonságosan kezelik, és a kiszivárgott titkos kódok használatát nehéz nyomon követni. A tanúsítványok hatékonyabban kezelhetők és visszavonhatók, ha veszélybe kerülnek. Titkos kulcsok használata esetén hozzon létre vagy használjon biztonságos, érintésmentes üzembe helyezési és átállási folyamatot. Használjon titkos kulcsokat megadott lejárati idővel (például egy év, két év), és ne járjon le soha.

• A tanúsítványok és titkos kódok rendszeres bevezetése az alkalmazás rugalmasságának kialakításához és a vészhelyzeti átállás miatti kimaradás elkerüléséhez.

Következő lépések

• Az erőforrások elérésére vonatkozó engedélyek beszerzése segít megérteni, hogyan biztosíthatja a legjobban Teljes felügyelet az alkalmazás erőforrás-hozzáférési engedélyeinek beszerzésekor.
• A delegált engedélystratégia fejlesztése segít a legjobb módszer megvalósításában az engedélyek alkalmazásbeli kezeléséhez, és Teljes felügyelet alapelveket használva fejleszthet.
• Az ajánlott engedélyezési eljárások segítségével implementálhatja a legjobb engedélyezési, engedély- és hozzájárulási modelleket az alkalmazásokhoz.
• A rendszergazdai hozzájárulást igénylő engedélyek kérése azt az engedély- és hozzájárulási élményt ismerteti, amikor az alkalmazásengedélyek rendszergazdai hozzájárulást igényelnek.
• Az API Protection ismerteti az API regisztrációval, engedélyek és hozzájárulások meghatározásával, valamint a hozzáférés kényszerítésével kapcsolatos ajánlott eljárásokat a Teljes felügyelet célok elérése érdekében.
• Az alkalmazás identitásának hitelesítő adatainak megadása, ha nincs felhasználó, elmagyarázza, hogy az Azure-beli szolgáltatások (nem felhasználói alkalmazások) esetében a legjobb Teljes felügyelet ügyfél-hitelesítő adatok az Azure-erőforrások felügyelt identitásai.