Управление приложениями OAuth

  • Статья

Многие сторонние приложения для повышения производительности, которые могут быть установлены бизнес-пользователями в организации, запрашивают разрешение на доступ к данным пользователей и данным и войдите от имени пользователя в других облачных приложениях, таких как Microsoft 365, Google Workspace и Salesforce. При установке таких приложений пользователи часто принимают условия использования, не обращая внимания на их текст, включая согласие на предоставление приложению разрешений. Проблема усугубляется тем, что ИТ-отдел может не иметь достаточной информации для сопоставления рисков для безопасности при использовании приложения с преимуществами в производительности, которые оно предоставляет. Так как принятие разрешений сторонних приложений представляет собой потенциальный риск безопасности для вашей организации, мониторинг разрешений приложений, предоставляемых пользователями, дает вам необходимую видимость и контроль для защиты пользователей и приложений.

Разрешения приложения Microsoft Defender для облака Apps позволяют увидеть, какие приложения OAuth, установленные пользователем, имеют доступ к данным Microsoft 365, данным Google Workspace и Salesforce. Defender для облака Приложения сообщают, какие разрешения имеют приложения и какие пользователи предоставили этим приложениям доступ к своим учетным записям Microsoft 365, Google Workspace и Salesforce. Справка по разрешениям приложения позволит решить, доступ пользователей к каким приложениям нужно разрешить, а к каким заблокировать.

Дополнительные сведения см. в статье "Исследование рискованных приложений OAuth".

Примечание.

В этой статье используются примеры и снимки экрана со страницы приложений OAuth, которая используется при отключении управления приложениями.

Если вы используете предварительные версии функций и включили управление приложениями, то те же функции доступны на странице управления приложениями .

Дополнительные сведения см. в разделе "Управление приложениями" в Microsoft Defender для облака Apps.

Необходимые компоненты

Необходимо подключить одну или несколько поддерживаемых платформ к Defender для облака Приложениям, включая Microsoft 365, Google Workspace или Salesforce.

Работа со страницей приложений OAuth

На странице OAuth отображаются сведения о разрешениях приложения в подключенных приложениях.

Для доступа к вкладке "OAuth" выполните указанные ниже действия.

На портале Microsoft Defender в разделе "Облачные приложения " выберите приложения OAuth.

app permissions.

На странице приложений OAuth приведены следующие сведения о каждом приложении OAuth, которое было предоставлено разрешения. Defender для облака Приложения идентифицируют только приложения, которые запрашивают Делегированные разрешения.

Товар Значение Относится к
Значок "Основное" на панели запроса приложения Открытие запроса в представлении "Основное". Microsoft 365, Google Workspace, Salesforce
Значок "Расширенное" на панели запроса приложения Открытие запроса в представлении "Расширенное". Microsoft 365, Google Workspace, Salesforce
Значок "Открыть или закрыть все сведения" в списке приложений Просмотр большего или меньшего количества сведений о каждом приложении.
Значок экспорта в списке приложений Экспорт CSV-файла, содержащего список приложений, число пользователей для каждого приложения, разрешения, связанные с приложением, уровень разрешений, состояние приложения и уровень использования сообществом. Microsoft 365, Google Workspace, Salesforce
Приложение Имя приложения Выберите имя, чтобы просмотреть дополнительные сведения, включая описание, издатель (для Microsoft 365), веб-сайт приложения и идентификатор. Microsoft 365, Google Workspace, Salesforce
Кем авторизовано Число пользователей, которые предоставили этому приложению доступ к своей учетной записи и выдали ему разрешения. Выберите число пользователей для просмотра дополнительных сведений, включающих список адресов электронной почты пользователей и информацию о ранее предоставленных администратором разрешениях. Microsoft 365, Google Workspace, Salesforce
Уровень разрешений Значок "Уровень разрешений" и текст, указывающий на уровень разрешений: "Высокий", "Средний" или "Низкий". Этот уровень отражает степень доступа приложения к данным приложения. Например, низкий уровень может означать, что приложение обращается только к профилю пользователя и имени пользователя. Выберите уровень, чтобы просмотреть дополнительные сведения, в том числе разрешения, предоставленные приложению, использование сообществом или соответствующие действия в журнале управления. Microsoft 365, Google Workspace
Состояние приложения Администратор может пометить приложение как одобренное, заблокированное или оставить его в состоянии "Не определено". Microsoft 365, Google Workspace, Salesforce
Использование сообществом Показывает, насколько приложение популярно среди пользователей (популярно, непопулярно, используется редко) Microsoft 365, Google Workspace, Salesforce
Последняя авторизация Дата последнего предоставления разрешений этому приложению пользователем. Microsoft 365, Salesforce
Publisher Имя поставщика приложения.

Проверка издателя — проверка издателя помогает администраторам и конечным пользователям понимать подлинность разработчиков приложений, интегрирующихся с платформа удостоверений Майкрософт. Дополнительные сведения см. в разделе "Проверка издателя".		 Microsoft 365
Последнее использование Дата последнего использования этого приложения каким-либо пользователем в вашей организации. Salesforce

Заблокировать или одобрить приложение

  1. На вкладках Google или Salesforce на странице управления приложениями выберите приложение, чтобы открыть ящик приложений, чтобы просмотреть дополнительные сведения о приложении и предоставленных разрешениях.

    • Выберите разрешения для просмотра полного списка разрешений, предоставленных приложению.
    • В разделе Использование сообществом можно просмотреть, насколько широко приложение используется в других организациях.
    • Выберите действие "Приложение", чтобы просмотреть действия, перечисленные в журнале действий, связанных с этим приложением.

  2. Чтобы запретить приложение, выберите значок запрета в конце строки приложения в таблице.

    ban app icon.

    • Вы можете выбрать, нужно ли сообщить пользователям о том, что ранее установленное и одобренное ими приложение было заблокировано. В уведомлении пользователям сообщается о том, что приложение будет отключено и доступ к нему станет невозможен. Если вы не хотите сообщать пользователям о блокировке приложения, снимите флажок Уведомить пользователей, предоставивших доступ заблокированному приложению в диалоговом окне.
    • Рекомендуется сообщать пользователям о блокировке одобренного ими приложения.

    ban app.

  3. Введите сообщение, которое вы хотите отправить пользователям, в поле "Введите пользовательское сообщение для уведомления". Выберите "Запретить" для отправки почты и запретить приложению пользователям подключенных приложений.

  4. Чтобы утвердить приложение, выберите значок утверждения в конце строки в таблице.

    approve app.

    • Значок состояния станет зеленым, и приложение будет доступно для всех пользователей подключенного приложения.
    • Одобрение приложения никак не повлияет на конечных пользователей. Изменение цвета позволяет визуально отделить приложения, которые вы одобрили, от приложений, к которым вы еще не обращались.

Запрос приложений OAuth

Вы можете запросить приложения OAuth в основном или расширенном представлении. Для отображения приложений в основном представлении выберите значения в одном раскрывающемся списке или нескольких. В расширенном представлении сократите область поиска с помощью раскрывающегося списка Выбор фильтра. Дополните запрос, добавив операторы и проверки на равенство или неравенство для указанных значений.

  • Выберите значок Добавить фильтр, чтобы добавить дополнительные фильтры для дальнейшего уточнения запроса. Фильтры применяются автоматически, и список приложений обновляется.

  • Выберите значок Удалить фильтр рядом с фильтром, чтобы удалить фильтры.

Аудит приложений OAuth

Defender для облака Приложения проверяют все действия авторизации OAuth, чтобы обеспечить комплексный мониторинг и исследование выполненных действий. Вы также можете экспортировать сведения о пользователях, которые авторизовать определенное приложение OAuth, предоставляя дополнительные сведения о пользователях, которые затем можно использовать для дальнейшего анализа.

Чтобы экспортировать журнал, выполните следующие действия.

  1. На вкладках Google или Salesforce на странице управления приложениями в строке, в которой отображается соответствующее приложение, в разделе "Авторизовано", выберите ссылку, показывающую количество пользователей, авторизованных приложением.

  2. Во всплывающем итоге выберите "Экспорт".

    Screenshot showing export of OAuth app auditing.

Отправка отзыва

Если в вашей организации обнаружено приложение OAuth, которое кажется вредоносным, вы можете отправить отзыв команды Defender для облака Apps, чтобы сообщить нам об этом. Благодаря этой функции вы можете присоединиться к нашему сообществу по безопасности, чтобы помочь нам улучшить функции анализа и оценки риска приложения OAuth.

  1. На вкладках Google или Salesforce на странице управления приложениями выберите три точки в конце строки приложения и выберите приложение "Отчет".

    report app.

  2. На экране "Отчет" этого приложения можно выбрать, следует ли сообщать о приложении как вредоносном или сообщать о другой проблеме с способом Defender для облака Приложения воспринимают это приложение. Например, можно выбрать Неправильный издатель, Неправильные разрешения или Другое. Отправленные вами сведения будут использованы для обновления оценки риска и других аналитических данных по приложению.

Следующие шаги

Управление облачными приложениями с помощью политик

Если у вас возникли проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку проблемы с продуктом, откройте запрос в службу поддержки.