Gerenciar aplicativos OAuth

  • Artigo

Muitos aplicativos de produtividade de terceiros, que podem ser instalados por usuários corporativos da sua organização, solicitam permissão para acessar dados e informações de usuário e entrar, em nome do usuário, em outros aplicativos de nuvem, como o Microsoft 365, o Google Workspace e o Salesforce. Quando os usuários instalam esses aplicativos, eles geralmente clicam em aceitar sem examinar atentamente os detalhes na solicitação, incluindo a concessão de permissões para o aplicativo. Esse problema mistura-se ao fato de que o TI pode não ter informações suficientes para avaliar o risco de segurança de um aplicativo em relação aos benefícios de produtividade que ele oferece. Como aceitar permissões de aplicativo de terceiros é um risco de segurança potencial para sua organização, monitorar as permissões de aplicativo que seus usuários concedem oferece a visibilidade e o controle necessários para proteger os usuários e seus aplicativos.

As permissões de aplicativo do Microsoft Defender para Aplicativos de Nuvem permitem ver quais aplicativos OAuth instalados pelo usuário têm acesso a dados do Microsoft 365, dados do Google Workspace e dados da Salesforce. O Defender para Aplicativos de Nuvem informa quais permissões os aplicativos têm e quais usuários concederam a esses aplicativos acesso às suas contas do Microsoft 365, Google Workspace e Salesforce. As permissões de aplicativo ajudam na decisão de quais aplicativos você permite que os usuários acessem e quais você deseja vetar.

Para obter mais informações, consulte Investigar aplicativos OAuth arriscados.

Observação

Este artigo usa exemplos e capturas de tela da página de aplicativos OAuth, que é usada quando você não tem a governança de aplicativos ativada.

Se você estiver usando recursos de visualização e tiver a governança do aplicativo ativada, a mesma funcionalidade estará disponível na página Governança do aplicativo.

Para obter mais informações, confira Governança de aplicativos do Microsoft Defender para Aplicativos de Nuvem.

Pré-requisitos

Você deve ter conectado uma ou mais das plataformas compatíveis ao Defender for Cloud Apps, incluindo Microsoft 365, Google Workspace ou Salesforce.

Trabalhando com a página de aplicativos de OAuth

A página OAuth exibe informações sobre permissões de aplicativo em seus aplicativos conectados.

Para acessar a guia OAuth:

No portal do Microsoft Defender, em Aplicativos de Nuvem, selecione Aplicativos OAuth.

app permissions.

A página Aplicativos OAuth fornece as seguintes informações sobre cada aplicativo OAuth que recebeu permissões. O Defender for Cloud Apps identifica apenas aplicativos que solicitam permissões delegadas.

Item O que significa Aplicável ao
Ícone básico na barra de consulta de aplicativo Alterne para a consulta no modo de exibição básico. Microsoft 365, Google Workspace, Salesforce
Ícone Avançado na barra de consulta de aplicativo Alterne para a consulta no modo de exibição Avançado. Microsoft 365, Google Workspace, Salesforce
Abrir ou fechar todos os ícones de detalhes na lista de aplicativos Exiba mais ou menos detalhes sobre cada aplicativo.
Ícone de exportar na lista de aplicativos Exporte um arquivo CSV que contém uma lista de aplicativos, o número de usuários para cada aplicativo, as permissões associadas com o aplicativo, o nível das permissões, estado do aplicativo e nível de uso da comunidade. Microsoft 365, Google Workspace, Salesforce
Aplicativo Nome do aplicativo. Selecione o nome para exibir mais informações, incluindo a descrição, o editor (para o Microsoft 365), o site do aplicativo e a ID. Microsoft 365, Google Workspace, Salesforce
Autorizado por O número de usuários que autorizaram esse aplicativo a acessar suas contas de aplicativo e concederam permissões ao aplicativo. Selecione o número para exibir mais informações, incluindo uma lista de emails de usuário e se um administrador consentiu ou não com o aplicativo anteriormente. Microsoft 365, Google Workspace, Salesforce
Nível de permissões O ícone de nível de permissões e o texto que indica Alto, Médio ou Baixo. O nível indica quanto acesso esse aplicativo tem aos dados do aplicativo. Por exemplo, Baixo pode indicar que o aplicativo acessa apenas nome e o perfil do usuário. Selecione o nível para exibir mais informações, incluindo as permissões concedidas ao aplicativo, uso da comunidade ou a atividade relacionada no Log de governança. Microsoft 365, Google Workspace
Estado do aplicativo Um administrador pode marcar um aplicativo como aprovado, vetado ou deixar como indeterminado. Microsoft 365, Google Workspace, Salesforce
Uso da comunidade Mostra quão popular o aplicativo é entre todos os seus usuários (comum, incomum, raro) Microsoft 365, Google Workspace, Salesforce
Última autorização A data mais recente em que um usuário concedeu permissões para este aplicativo. Microsoft 365, Salesforce
Publisher O nome do fornecedor que oferece o aplicativo.

Verificação do editor - a verificação do editor ajuda administradores e usuários finais a reconhecer a autenticidade dos desenvolvedores de aplicativos que se integram com a plataforma de identidade da Microsoft. Para saber mais, confira Verificação do editor.		 Microsoft 365
Última utilização A data mais recente em que este aplicativo foi usado por alguém em sua organização. Salesforce

Vetar ou aprovar um aplicativo

  1. Nas guias Google ou Salesforce, na página Governança de aplicativos, selecione o aplicativo para abrir a Gaveta de aplicativos para exibir mais informações sobre o aplicativo e as permissões concedida a ele.

    • Selecione Permissões para exibir uma lista completa das permissões concedidas ao aplicativo.
    • Em Uso da comunidade, você pode exibir o quão comum o aplicativo é em outras organizações.
    • Selecione Atividade do aplicativo para exibir as atividades listadas no log de atividades relacionado a esse aplicativo.

  2. Para proibir o aplicativo, selecione o ícone de proibição no final da linha do aplicativo na tabela.

    ban app icon.

    • Você pode escolher se deseja informar os usuários de que o aplicativo instalado e autorizado foi vetado. A notificação permite que os usuários saibam que o aplicativo será desabilitado e eles não terão acesso ao aplicativo conectado. Se não quiser que eles saibam, cancele a seleção de Notificar os usuários que concederam acesso a esse aplicativo vetado na caixa de diálogo.
    • Recomendamos informar os usuários do aplicativo de que ele está prestes a ter o uso vetado.

    ban app.

  3. Digite a mensagem que você deseja enviar para os usuários do aplicativo em Inserir uma caixa de mensagem de notificação personalizada. Selecione Vetar aplicativo para enviar o email e vetar o aplicativo dos usuários do aplicativo conectado.

  4. Para aprovar o aplicativo, selecione o ícone de aprovar no final da linha na tabela.

    approve app.

    • O ícone fica verde e o aplicativo é aprovado para todos os usuários do aplicativo conectado.
    • Quando você marca um aplicativo como aprovado, não há nenhum efeito sobre o usuário final. Essa alteração de cor destina-se a ajudá-lo a ver os aplicativos que você aprovou para separá-los daqueles que você ainda não examinou.

Aplicativos OAuth de consulta

Você pode consultar os aplicativos OAuth na exibição Básica ou na exibição Avançada. selecione valores de uma ou várias listas suspensas para exibir aplicativos específicos na exibição Básica. Na modo de exibição avançado, use a lista suspensa Selecionar um filtro para restringir sua pesquisa. Adicione operadores, é igual a ou não é igual a um valor selecionado para concluir a sua consulta.

  • Selecione o ícone Adicionar um filtro para adicionar mais filtros para refinar sua consulta. Os filtros são aplicados automaticamente e a lista de aplicativos é atualizada.

  • Selecione o ícone Remover um filtro ao lado do filtro para remover os filtros.

Auditoria de aplicativo OAuth

O Defender para Aplicativos de Nuvem audita todas as atividades de autorização do OAuth para fornecer monitoramento e investigação abrangentes das atividades executadas. Também é possível exportar os detalhes dos usuários que autorizaram um aplicativo OAuth específico, fornecendo informações adicionais sobre os usuários, que podem ser usadas para análise adicional.

Para exportar o log, execute as etapas a seguir.

  1. Nas guias Google ou Salesforce, na página Governança de aplicativos, na linha em que o aplicativo relevante aparece, em Autorizado por, selecione o link mostrando o número de usuários que autorizaram o aplicativo.

  2. No pop-up, selecione Exportar.

    Screenshot showing export of OAuth app auditing.

Enviar comentários

Se algum aplicativo OAuth que pareça mal-intencionado for descoberto na sua organização, informe a equipe do Defender para Aplicativos de Nuvem. Esse recurso permite que você participe da nossa comunidade de segurança e melhore a análise e a pontuação de risco do aplicativo OAuth.

  1. Nas guias Google ou Salesforce, na página Governança de aplicativos, selecione as reticências no final da linha do aplicativo e escolha Denunciar aplicativo.

    report app.

  2. Na tela Denunciar este aplicativo, você pode selecionar se deseja denunciar o aplicativo como malicioso ou relatar outro problema com a maneira como o Defender para Aplicativos de Nuvem percebe o aplicativo. Por exemplo, você pode usar Editor incorreto, Permissões incorretas ou Outro. Os dados que você envia são usados para atualizar a pontuação de risco do aplicativo, bem como outras análises sobre ele.

Próximas etapas

Controlar aplicativos de nuvem com políticas

Se encontrar algum problema, estamos aqui para ajudar. Para obter ajuda ou suporte para o problema do seu produto, abra um tíquete de suporte.