Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A zéró megbízhatósági alapelvek használatával történő fejlesztés során tekintse át ezt a cikket a felülvizsgálat után : Engedélyek beszerzése az erőforrások eléréséhez és delegált engedélystratégia fejlesztése. Az alkalmazásengedélyek megközelítésének meghatározása a hitelesítő adatok kezeléséhez, amikor a Microsoft identitásplatformot használja az alkalmazások hitelesítésére és engedélyezésére , valamint az engedélyek és hozzájárulások kezelésére.
Ha nincs érintett felhasználó, nem rendelkezikérvényes engedélymodellel , mert az alkalmazás mindig megkapja az előre hozzárendelt engedélyeit.
Az alkalmazás bizonyítja, hogy az alkalmazás engedélyt kér. Az alkalmazás az alábbi módszerek egyikével igazolja saját identitását :
- Egy tanúsítvány, amely a legjobb megoldás.
- Egy titkos kód egy kifinomult titkos kódkezelő rendszerben.
- Amikor az Azure-beli szolgáltatásokat fejleszti, az Azure-erőforrások felügyelt identitásait használja, tekintse át az alábbi Alkalmazás hitelesítő adatainak kezelése szakaszt.
Az alkalmazáshoz mindig előzetes rendszergazdai hozzájárulás szükséges. Az alkalmazás ezt az engedélyt a hatókörrel
.defaultkéri. A rendszergazda által az alkalmazáshoz hozzárendelt engedélyeket kéri le.Transznemű felhasználó funkcionalitása. Alapértelmezés szerint lehetővé teszi az alkalmazás számára,
User.ReadWrite.Allhogy minden felhasználó profilját frissítse. Alkalmazásengedélyként lehetővé teszi az alkalmazás számára, hogy elolvassa és frissítse a bérlő összes felhasználójának profilját.Az alkalmazás által megadott engedélyek mindig a használt engedélyek. A delegált engedéllyel ellentétben az alkalmazásengedélyek nincsenek korlátozva egy adott felhasználó képességei által.
Alkalmazásengedélyek korlátozása
Az alkalmazásokat háromféleképpen korlátozhatja a globális hozzáférésnél kisebbre.
A Microsoft Teams-alkalmazások erőforrás-specifikus hozzájárulással (RSC) rendelkeznek, amely lehetővé teszi az alkalmazások számára, hogy egy adott csapathoz férjenek hozzá ahelyett, hogy a vállalat összes csapatához hozzáférnek. Az RSC egy Microsoft Teams- és Microsoft Graph API-integráció, amely lehetővé teszi, hogy az alkalmazás API-végpontokat használjon, és bizonyos erőforrásokat kezeljen. Az engedélymodell lehetővé teszi, hogy a Teams és a csevegés tulajdonosai hozzájárulást adjanak az alkalmazásnak a Teams- és csevegési adataik eléréséhez és módosításához.
Ha egy PowerShell-szkripttel korlátozni szeretné az alkalmazások hozzáférését adott postaládákhoz, a Microsoft Exchange-rendszergazdák Exchange-alkalmazásszabályzatokat hozhatnak létre. Egy adott alkalmazást korlátozhat bizonyos postaládákra
Calendar.ReadvagyMail.Readhozzáféréssel. Ez lehetővé teszi például, hogy olyan automatizálást hozzon létre, amely csak egy postaládát tud olvasni, vagy csak egy postaládából küldhet leveleket, és nem a vállalat minden felhasználójától.Ha részletes engedélyeket szeretne engedélyezni a SharePoint alkalmazással való eléréséhez, a SharePointban a Helyek.Kiválasztva van egy adott hatókör. A SharePoint-webhelycsoportokhoz való hozzáférés nélküli alkalmazásokban alapértelmezés szerint a többi engedély eredményének egyike helyett válassza
Sites.Selectedki az alkalmazást. A rendszergazda a webhelyengedélyek végpontjával biztosít olvasási, írási vagy olvasási és írási engedélyeket az alkalmazásnak.
Alkalmazások hitelesítő adatainak kezelése
A hitelesítő adatok higiénia biztosíthatja, hogy az alkalmazás gyorsan helyreálljon egy esetleges adatsértésből. Az alábbi ajánlott eljárások útmutatást adnak az észlelést és hibajavítást végző alkalmazások fejlesztéséhez, elkerülve az állásidőt és anélkül, hogy hatással lenne a jogos felhasználókra. Ezek a javaslatok támogatják a Zero Trust elv feltételezhető megsértésének elvét, amely segít felkészülni a biztonsági incidensekre való reagálásra.
Távolítsa el az összes titkos kódot a kódból és a konfigurációból. Az Azure-platform használatakor helyezze el a titkos kulcsokat a Key Vaultban , és érje el őket az Azure-erőforrások felügyelt identitásán keresztül. A kód rugalmassá tétele a titkos kulcsok rotációinak kezelésére, ha biztonsági rés lép fel. Az informatikai rendszergazdák anélkül távolíthatják el és forgathatják el a titkos kulcsokat és a tanúsítványokat, hogy levenné az alkalmazást, vagy hatással lenne a jogos felhasználókra.
Használjon tanúsítványokat az ügyfél titkos kulcsai helyett, hacsak nincs biztonságos eljárás a titkos kódok kezelésére. A támadók tudják, hogy az ügyfél titkos kulcsait általában kevésbé biztonságosan kezelik, és a kiszivárgott titkos kódok használatát nehéz nyomon követni. A tanúsítványok hatékonyabban kezelhetők és visszavonhatók, ha veszélybe kerülnek. Titkos kulcsok használata esetén hozzon létre vagy használjon biztonságos, érintésmentes üzembe helyezési és átállási folyamatot. Használjon titkos kulcsokat megadott lejárati idővel (például egy év, két év), és ne járjon le soha.
A tanúsítványok és titkos kódok rendszeres bevezetése az alkalmazás rugalmasságának kialakításához és a vészhelyzeti átállás miatti kimaradás elkerüléséhez.
Következő lépések
- Az erőforrások elérésére vonatkozó engedély beszerzése segít megérteni, hogyan biztosíthatja a legjobban a zéró megbízhatóságot az alkalmazás erőforrás-hozzáférési engedélyeinek beszerzésekor.
- A delegált engedélystratégia segítségével megvalósíthatja az engedélyek kezelésének legjobb módszerét az alkalmazásban, és nulla megbízhatósági elvekkel fejleszthet.
- Az ajánlott engedélyezési eljárások segítségével implementálhatja a legjobb engedélyezési, engedély- és hozzájárulási modelleket az alkalmazásokhoz.
- A rendszergazdai hozzájárulást igénylő engedélyek kérése azt az engedélyt és a hozzájárulási élményt ismerteti, amikor az alkalmazásengedélyek rendszergazdai hozzájárulást igényelnek.
- API védelem ismerteti az API regisztrációval, az engedélyek és hozzájárulások meghatározásával, valamint a hozzáférés szigorításával kapcsolatos legjobb gyakorlatokat a Zero Trust célok elérése érdekében.
- Adja meg az alkalmazás identitási hitelesítő adatait, ha nincs felhasználó , és elmagyarázza, hogy miért az Azure-erőforrások felügyelt identitásai a legjobb ügyfél-hitelesítő adatok az Azure-beli szolgáltatások (nem használatalapú alkalmazások) esetében.