Dela via

Skapa appprinciper i appstyrning

  • Artikel

Tillsammans med en inbyggd uppsättning funktioner för att identifiera avvikande appbeteende och generera aviseringar baserat på maskininlärningsalgoritmer gör principer i appstyrning att du kan:

  • Ange villkor som appstyrning aviserar dig om appbeteende för automatisk eller manuell reparation.

  • Tillämpa appefterlevnadsprinciperna för din organisation.

Använd appstyrning för att skapa OAuth-principer för appar som är anslutna till Microsoft Entra-ID, Google Workspace och Salesforce.


Skapa OAuth-appprinciper för Microsoft Entra-ID

För appar som är anslutna till Microsoft Entra-ID skapar du appprinciper från angivna mallar som kan anpassas eller skapar en egen anpassad appprincip.

  1. Om du vill skapa en ny appprincip för Azure AD-appar går du till Microsoft Defender XDR > App governance > Policies > Azure AD.

    Till exempel:

    Screenshot of the Azure AD tab.

  2. Välj alternativet Skapa ny princip och gör sedan något av följande steg:

    • Om du vill skapa en ny appprincip från en mall väljer du den relevanta mallkategorin följt av mallen i den kategorin.
    • Om du vill skapa en anpassad princip väljer du kategorin Anpassad .

    Till exempel:

    Screenshot of a Choose a policy template page.

Appprincipmallar

Om du vill skapa en ny appprincip baserat på en appprincipmall går du till sidan Välj appprincipmall, väljer en kategori av appmall, väljer namnet på mallen och väljer sedan Nästa.

I följande avsnitt beskrivs mallkategorierna för appprinciper.

Användning

I följande tabell visas de appstyrningsmallar som stöds för att generera aviseringar för appanvändning.

Mallnamn beskrivning
Ny app med hög dataanvändning Hitta nyligen registrerade appar som har laddat upp eller laddat ned stora mängder data med Graph API. Den här principen kontrollerar följande villkor:

  • Registreringsålder: Sju dagar eller mindre (anpassningsbar)
  • Dataanvändning: Större än 1 GB på en dag (anpassningsbar)
    		•
    Ökning av användare Hitta appar med en betydande ökning av antalet användare. Den här principen kontrollerar följande villkor:

  • Tidsintervall: Senaste 90 dagarna
  • Ökning av medgivande användare: Minst 50 % (anpassningsbar)
    		•

    Behörigheter

    I följande tabell visas de appstyrningsmallar som stöds för att generera aviseringar för appbehörigheter.

    Mallnamn beskrivning
    Överprivilegierad app Hitta appar som har oanvända Graph API-behörigheter. Dessa appar har beviljats behörigheter som kan vara onödiga för regelbunden användning.
    Ny högprivilegierad app Hitta nyligen registrerade appar som har beviljats skrivåtkomst och andra kraftfulla Graph API-behörigheter. Den här principen kontrollerar följande villkor:

  • Registreringsålder: Sju dagar eller mindre (anpassningsbar)
    		•
    Ny app med icke-Graph API-behörigheter Hitta nyligen registrerade appar som har behörighet till icke-Graph-API:er. Dessa appar kan utsätta dig för risker om DE API:er som de får åtkomst till får begränsad support och uppdateringar.
    Den här principen kontrollerar följande villkor:

  • Registreringsålder: Sju dagar eller mindre (anpassningsbar)
  • Api-behörigheter som inte är graph: Ja
    		•

    Certifiering

    I följande tabell visas de appstyrningsmallar som stöds för att generera aviseringar för Microsoft 365-certifiering.

    Mallnamn beskrivning
    Ny ocertifierad app Hitta nyligen registrerade appar som inte har utgivarattestering eller Microsoft 365-certifiering. Den här principen kontrollerar följande villkor:

  • Registreringsålder: Sju dagar eller mindre (anpassningsbar)
  • Certifiering: Ingen certifiering (anpassningsbar)
    		•

    Anpassade principer

    Använd en anpassad appprincip när du behöver göra något som inte redan har gjorts av någon av de inbyggda mallarna.

    1. Om du vill skapa en ny anpassad appprincip väljer du först Skapa ny princip på sidan Principer . På sidan Välj appprincipmall väljer du kategorin Anpassad, mallen Anpassad princip och väljer sedan Nästa.

    2. På sidan Namn och beskrivning konfigurerar du följande:

      • Principnamn
      • Principbeskrivning
      • Välj principens allvarlighetsgrad, som anger allvarlighetsgraden för aviseringar som genereras av den här principen.
        • Högst
        • Medium
        • Lägst

    3. På sidan Välj principinställningar och villkor väljer du för Välj vilka appar den här principen ska gälla för:

      • Alla appar
      • Välj specifika appar
      • Alla appar utom

    4. Om du väljer specifika appar eller alla appar förutom den här principen väljer du Lägg till appar och väljer önskade appar i listan. I fönstret Välj appar kan du välja flera appar som den här principen gäller för och sedan välja Lägg till. Välj Nästa när du är nöjd med listan.

    5. Välj Redigera villkor. Välj Lägg till villkor och välj ett villkor i listan. Ange önskat tröskelvärde för det valda villkoret. Upprepa för att lägga till fler villkor. Välj Spara för att spara regeln och välj Nästa när du är klar med att lägga till regler.

      Kommentar

      Vissa principvillkor gäller endast för appar som har åtkomst till Graph API-behörigheter. När du utvärderar appar som endast har åtkomst till api:er som inte är graph-API:er hoppar appstyrningen över dessa principvillkor och fortsätter med att endast kontrollera andra principvillkor.

    6. Här är de tillgängliga villkoren för en anpassad appprincip:

      Villkor Villkorsvärden accepteras beskrivning Mer information
      Registreringsålder Inom de senaste X dagarna Appar som har registrerats för Microsoft Entra-ID inom en angiven period från det aktuella datumet
      Certifiering Ingen certifiering, godkänd utgivare, Microsoft 365-certifierad Appar som är Microsoft 365-certifierade, har en utgivarattesteringsrapport eller ingen av dem Microsoft 365-certifiering
      Utgivaren har verifierats Ja eller nej Appar som har verifierat utgivare Utgivarverifiering
      Programbehörigheter (endast Graph) Välj en eller flera API-behörigheter i listan Appar med specifika Graph API-behörigheter som har beviljats direkt Referens för Microsoft Graph-behörigheter
      Delegerade behörigheter (endast Graph) Välj en eller flera API-behörigheter i listan Appar med specifika Graph API-behörigheter som ges av en användare Referens för Microsoft Graph-behörigheter
      Högprivilegierad (endast graph) Ja eller nej Appar med relativt kraftfulla Graph API-behörigheter En intern beteckning baserad på samma logik som används av Defender för molnet Apps.
      Överprivilegierad (endast graf) Ja eller nej Appar med oanvända Graph API-behörigheter Appar med fler beviljade behörigheter än som används av dessa appar.
      Api-behörigheter som inte är graph Ja eller nej Appar med behörigheter till API:er som inte är graph-api:er. Dessa appar kan utsätta dig för risker om DE API:er som de får åtkomst till får begränsad support och uppdateringar.
      Dataanvändning (endast Graph) Större än X GB data som laddats ned och laddats upp per dag Appar som har läst och skrivit mer än en angiven mängd data med Graph API
      Dataanvändningstrend (endast diagram) X % ökning av dataanvändningen jämfört med föregående dag Appar vars data läser och skriver med Graph API har ökat med en angiven procentandel jämfört med föregående dag
      API-åtkomst (endast Graph) Större än X API-anrop per dag Appar som har gjort över ett angivet antal Graph API-anrop på en dag
      API-åtkomsttrend (endast Graph) X % ökning av API-anrop jämfört med föregående dag Appar vars antal Graph API-anrop har ökat med en angiven procentandel jämfört med föregående dag
      Antal medgivande användare (Större än eller mindre än) X-medgivande användare Appar som har getts medgivande av ett större eller färre antal användare än vad som anges
      Öka antalet medgivande användare X % ökning av användare under de senaste 90 dagarna Appar vars antal medgivande användare har ökat med över en angiven procentandel under de senaste 90 dagarna
      Prioritetskontomedgivande ges Ja eller nej Appar som har getts medgivande av prioritetsanvändare En användare med ett prioritetskonto.
      Namn på medgivande användare Välj användare i listan Appar som har getts medgivande av specifika användare
      Roller för medgivande användare Välj roller i listan Appar som har getts medgivande av användare med specifika roller Flera val tillåts.

      Alla Microsoft Entra-roller med tilldelad medlem bör göras tillgängliga i den här listan.
      Känslighetsetiketter som används Välj en eller flera känslighetsetiketter i listan Appar som har använt data med specifika känslighetsetiketter under de senaste 30 dagarna.
      Tjänster som används (endast Graph) Exchange och/eller OneDrive och/eller SharePoint och/eller Teams Appar som har åtkomst till OneDrive, SharePoint eller Exchange Online med Graph API Flera val tillåts.
      Felfrekvens (endast diagram) Felfrekvensen är större än X % under de senaste sju dagarna Appar vars Graph API-felfrekvenser under de senaste sju dagarna är större än en angiven procentandel

      Alla angivna villkor måste uppfyllas för att den här appprincipen ska generera en avisering.

    7. När du är klar med att ange villkoren väljer du Spara och sedan Nästa.

    8. På sidan Definiera principåtgärder väljer du Inaktivera app om du vill att appstyrning ska inaktivera appen när en avisering baserat på den här principen genereras och väljer sedan Nästa. Var försiktig när du tillämpar åtgärder eftersom en princip kan påverka användare och legitim appanvändning.

    9. På sidan Definiera principstatus väljer du något av följande alternativ:

      • Granskningsläge: Principer utvärderas men konfigurerade åtgärder inträffar inte. Principer för granskningsläge visas med statusen Granskning i listan över principer. Du bör använda granskningsläge för att testa en ny princip.
      • Aktiv: Principer utvärderas och konfigurerade åtgärder kommer att utföras.
      • Inaktiv: Principer utvärderas inte och konfigurerade åtgärder inträffar inte.

    10. Granska noggrant alla parametrar i din anpassade princip. Välj Skicka när du är nöjd. Du kan också gå tillbaka och ändra inställningar genom att välja Redigera under någon av inställningarna.

    Testa och övervaka din nya appprincip

    Nu när din appprincip har skapats bör du övervaka den på sidan Principer för att säkerställa att den registrerar ett förväntat antal aktiva aviseringar och totalt antal aviseringar under testningen.

    Screenshot of the app governance policies summary page in Microsoft Defender XDR, with a highlighted policy.

    Om antalet aviseringar är ett oväntat lågt värde redigerar du inställningarna för appprincipen så att du har konfigurerat den korrekt innan du anger dess status.

    Här är ett exempel på en process för att skapa en ny princip, testa den och sedan göra den aktiv:

    1. Skapa den nya principen med allvarlighetsgrad, appar, villkor och åtgärder inställda på inledande värden och statusen inställd på Granskningsläge.
    2. Sök efter förväntat beteende, till exempel aviseringar som genereras.
    3. Om beteendet inte är förväntat redigerar du principapparna, villkoren och åtgärdsinställningarna efter behov och går tillbaka till steg 2.
    4. Om beteendet förväntas redigerar du principen och ändrar dess status till Aktiv.

    Följande flödesdiagram visar till exempel de steg som ingår:

    Diagram of the create app policy workflow.

    Skapa en ny princip för OAuth-appar som är anslutna till Salesforce och Google Workspace

    Principer för OAuth-appar utlöser endast aviseringar för principer som är auktoriserade av användare i klientorganisationen.

    Så här skapar du en ny appprincip för Salesforce, Google och andra appar:

    1. Gå till Microsoft Defender XDR-appstyrningsprinciper >>> Andra appar. Till exempel:

      Other apps-policy creation

    2. Filtrera apparna efter dina behov. Du kanske till exempel vill visa alla appar som begär behörighet att ändra kalendrar i postlådan.

      Dricks

      Använd communityns användningsfilter för att få information om huruvida det är vanligt, ovanligt eller sällsynt att tillåta behörighet till den här appen. Det här filtret kan vara användbart om du har en app som är sällsynt och begär behörighet som har hög allvarlighetsgrad eller begär behörighet från många användare.

    3. Du kanske vill ange principen baserat på gruppmedlemskapen för de användare som har auktoriserat apparna. En administratör kan till exempel välja att ange en princip som återkallar ovanliga appar om de ber om höga behörigheter, endast om den användare som har behörighet är medlem i gruppen Administratörer.

    Till exempel:

    new OAuth app policy.

    Principer för avvikelseidentifiering för OAuth-appar som är anslutna till Salesforce och Google Workspace

    Förutom Oauth-appprinciper som du kan skapa tillhandahåller Defender för molnet appar färdiga principer för avvikelseidentifiering som profilerar metadata för OAuth-appar för att identifiera dem som är potentiellt skadliga.

    Det här avsnittet är endast relevant för Salesforce- och Google Workspace-program.

    Kommentar

    Principer för avvikelseidentifiering är endast tillgängliga för OAuth-appar som är auktoriserade i ditt Microsoft Entra-ID. Allvarlighetsgraden för avvikelseidentifieringsprinciper för OAuth-appar kan inte ändras.

    I följande tabell beskrivs de färdiga avvikelseidentifieringsprinciperna som tillhandahålls av Defender för molnet Apps:

    Princip beskrivning
    Vilseledande OAuth-appnamn Söker igenom OAuth-appar som är anslutna till din miljö och utlöser en avisering när en app med ett missvisande namn identifieras. Vilseledande namn, till exempel främmande bokstäver som liknar latinska bokstäver, kan tyda på ett försök att dölja en skadlig app som en känd och betrodd app.
    Vilseledande utgivarnamn för en OAuth-app Söker igenom OAuth-appar som är anslutna till din miljö och utlöser en avisering när en app med ett vilseledande utgivarnamn identifieras. Vilseledande utgivarnamn, till exempel främmande bokstäver som liknar latinska bokstäver, kan tyda på ett försök att dölja en skadlig app som en app som kommer från en känd och betrodd utgivare.
    Medgivande för skadlig OAuth-app Söker igenom OAuth-appar som är anslutna till din miljö och utlöser en avisering när en potentiellt skadlig app har auktoriserats. Skadliga OAuth-appar kan användas som en del av en nätfiskekampanj i ett försök att kompromettera användare. Den här identifieringen använder Microsofts expertis inom säkerhetsforskning och hotinformation för att identifiera skadliga appar.
    Misstänkta aktiviteter för nedladdning av OAuth-appfiler Mer information finns i Principer för avvikelseidentifiering.

    Gå vidare

    Hantera dina appprinciper