Configurare le classificazioni delle autorizzazioni
Questo articolo illustra come configurare le classificazioni delle autorizzazioni in Microsoft Entra ID. Le classificazioni delle autorizzazioni consentono di identificare l'effetto delle diverse autorizzazioni in base ai criteri dell'organizzazione e alle valutazioni dei rischi. È possibile ad esempio usare le classificazioni delle autorizzazioni nei criteri di consenso per identificare il set di autorizzazioni a cui gli utenti possono fornire il consenso.
Sono supportate tre classificazioni di autorizzazioni: "Basso", "Medio" (anteprima) e "Alto" (anteprima). Solo le autorizzazioni delegate che non richiedono il consenso dell'amministratore possono essere classificate.
Le autorizzazioni minime necessarie per eseguire l'accesso di base sono openid
, profile
, email
e offline_access
, che sono tutte autorizzazioni delegate in Microsoft Graph. Con queste autorizzazioni un'app può leggere i dettagli del profilo dell'utente che ha eseguito l'accesso e può gestire l'accesso anche quando l'utente non usa più l'app.
Prerequisiti
Per configurare le classificazioni delle autorizzazioni, è necessario:
- Un account Azure con una sottoscrizione attiva. Creare un account gratuitamente.
- Uno dei ruoli seguenti: amministratore applicazione cloud o amministratore applicazione
Gestisci la classificazioni delle autorizzazioni
Suggerimento
La procedura descritta in questo articolo può variare leggermente in base al portale di partenza.
Seguire questa procedura per classificare le autorizzazioni tramite l'interfaccia di amministrazione di Microsoft Entra:
- Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.
- Passare alle impostazioni Identità>Applicazioni>Applicazioni aziendali>Consensi e autorizzazioni>Impostazioni per il consenso utente.
- Scegliere la scheda per la classificazione delle autorizzazioni da aggiornare.
- Scegliere Aggiungi autorizzazioni per classificare un'altra autorizzazione.
- Selezionare l'API e quindi selezionare le autorizzazioni delegate.
In questo esempio è stato classificato il set minimo di autorizzazioni necessarie per Single Sign-On:
Per classificare le autorizzazioni, è possibile usare il modulo Azure AD PowerShell più recente. Le classificazioni delle autorizzazioni vengono configurate nell'oggetto ServicePrincipal dell'API che pubblica le autorizzazioni.
Eseguire il comando di PowerShell seguente per connettersi a un cluster sicuro. Per fornire il consenso agli ambiti necessari, accedere come almeno un amministratore applicazione cloud.
Connect-AzureAD
Elencare le classificazioni delle autorizzazioni correnti con Azure AD PowerShell
Recuperare l'oggetto ServicePrincipal dell'API. Qui viene recuperato l'oggetto ServicePrincipal dell'API Microsoft Graph:
$api = Get-AzureADServicePrincipal ` -Filter "servicePrincipalNames/any(n:n eq 'https://graph.microsoft.com')"
Leggere le classificazioni delle autorizzazioni delegate per l'API:
Get-AzureADMSServicePrincipalDelegatedPermissionClassification ` -ServicePrincipalId $api.ObjectId | Format-Table Id, PermissionName, Classification
Classificare un'autorizzazione come "Basso impatto" con Azure AD PowerShell
Recuperare l'oggetto ServicePrincipal dell'API. Qui viene recuperato l'oggetto ServicePrincipal dell'API Microsoft Graph:
$api = Get-AzureADServicePrincipal ` -Filter "servicePrincipalNames/any(n:n eq 'https://graph.microsoft.com')"
Individuare l'autorizzazione delegata che si vuole classificare:
$delegatedPermission = $api.OAuth2Permissions | Where-Object { $_.Value -eq "User.ReadBasic.All" }
Impostare la classificazione delle autorizzazioni usando il nome e l'ID dell'autorizzazione:
Add-AzureADMSServicePrincipalDelegatedPermissionClassification ` -ServicePrincipalId $api.ObjectId ` -PermissionId $delegatedPermission.Id ` -PermissionName $delegatedPermission.Value ` -Classification "low"
Rimuovere una classificazione delle autorizzazioni delegate con Azure AD PowerShell
Recuperare l'oggetto ServicePrincipal dell'API. Qui viene recuperato l'oggetto ServicePrincipal dell'API Microsoft Graph:
$api = Get-AzureADServicePrincipal ` -Filter "servicePrincipalNames/any(n:n eq 'https://graph.microsoft.com')"
Individuare la classificazione delle autorizzazioni delegate che si vuole rimuovere:
$classifications = Get-AzureADMSServicePrincipalDelegatedPermissionClassification ` -ServicePrincipalId $api.ObjectId $classificationToRemove = $classifications | Where-Object {$_.PermissionName -eq "User.ReadBasic.All"}
Eliminare la classificazione delle autorizzazioni:
Remove-AzureADMSServicePrincipalDelegatedPermissionClassification ` -ServicePrincipalId $api.ObjectId ` -Id $classificationToRemove.Id
È possibile usare Microsoft Graph PowerShell per classificare le autorizzazioni. Le classificazioni delle autorizzazioni vengono configurate nell'oggetto ServicePrincipal dell'API che pubblica le autorizzazioni.
Usare i comandi seguenti per connettersi a Microsoft Graph PowerShell. Per fornire il consenso agli ambiti necessari, accedere come almeno un amministratore applicazione cloud.
Connect-MgGraph -Scopes "Policy.ReadWrite.PermissionGrant".
Elencare le classificazioni delle autorizzazioni correnti per un'API usando Microsoft Graph PowerShell
Recuperare l'oggetto ServicePrincipal dell'API:
$api = Get-MgServicePrincipal -Filter "displayName eq 'Microsoft Graph'"
Leggere le classificazioni delle autorizzazioni delegate per l'API:
Get-MgServicePrincipalDelegatedPermissionClassification -ServicePrincipalId $api.Id
Classificare un'autorizzazione come "basso impatto" con Microsoft Graph PowerShell
Recuperare l'oggetto ServicePrincipal dell'API:
$api = Get-MgServicePrincipal -Filter "displayName eq 'Microsoft Graph'"
Individuare l'autorizzazione delegata che si vuole classificare:
$delegatedPermission = $api.Oauth2PermissionScopes | Where-Object {$_.Value -eq "openid"}
Configurare la classificazione delle autorizzazioni:
$params = @{ PermissionId = $delegatedPermission.Id PermissionName = $delegatedPermission.Value Classification = "Low" } New-MgServicePrincipalDelegatedPermissionClassification -ServicePrincipalId $api.Id -BodyParameter $params
Rimuovere una classificazione delle autorizzazioni delegate con Microsoft Graph PowerShell
Recuperare l'oggetto ServicePrincipal dell'API:
$api = Get-MgServicePrincipal -Filter "displayName eq 'Microsoft Graph'"
Individuare la classificazione delle autorizzazioni delegate che si vuole rimuovere:
$classifications = Get-MgServicePrincipalDelegatedPermissionClassification -ServicePrincipalId $api.Id $classificationToRemove = $classifications | Where-Object {$_.PermissionName -eq "openid"}
Eliminare la classificazione delle autorizzazioni:
Remove-MgServicePrincipalDelegatedPermissionClassification -DelegatedPermissionClassificationId $classificationToRemove.Id -ServicePrincipalId $api.id
Per configurare le proprietà di classificazioni di autorizzazioni per un'applicazione aziendale, accedere a Graph Explorer almeno come amministratore applicazione cloud.
È necessario fornire il consenso all'autorizzazione Policy.ReadWrite.PermissionGrant
.
Eseguire le query seguenti in Microsoft Graph Explorer per aggiungere una classificazione delle autorizzazioni delegate per un'applicazione.
Elencare le classificazioni delle autorizzazioni correnti per un'API usando l'API Microsoft Graph
Elencare le classificazioni delle autorizzazioni correnti per un'API usando la chiamata api Microsoft Graph seguente.
GET https://graph.microsoft.com/v1.0/servicePrincipals(appId='00000003-0000-0000-c000-000000000000')/delegatedPermissionClassifications
Classificare un'autorizzazione come "Basso impatto" usando l'API Microsoft Graph
Nell'esempio seguente viene classificata l'autorizzazione come "basso impatto."
Aggiungere una classificazione delle autorizzazioni delegate per un'API usando la chiamata api Microsoft Graph seguente.
POST https://graph.microsoft.com/v1.0/servicePrincipals(appId='00000003-0000-0000-c000-000000000000')/delegatedPermissionClassifications
Content-type: application/json
{
"permissionId": "b4e74841-8e56-480b-be8b-910348b18b4c",
"classification": "low"
}
Rimuovere una classificazione delle autorizzazioni delegate usando l'API Microsoft Graph
Eseguire la query seguente in Microsoft Graph Explorer per rimuovere una classificazione delle autorizzazioni delegate per un'API.
DELETE https://graph.microsoft.com/v1.0/servicePrincipals(appId='00000003-0000-0000-c000-000000000000')/delegatedPermissionClassifications/QUjntFaOC0i-i5EDSLGLTAE