Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Sıfır Güven ilkelerini kullanarak geliştirmeyi öğrenirken, Kaynaklara erişmek için yetkilendirme alma ve Temsilci izinleri stratejisi geliştirme gözden geçirmenizden sonra bu makaleye başvurun. Microsoft kimlik platformunu kullanarak uygulamalarınızın kimliğini doğrulamak ve yetkilendirmek,izinleri ve onayları yönetmek için kimlik bilgileri yönetimine yönelik uygulama izinleri yaklaşımınızı tanımlayın.
Hiçbir kullanıcı dahil olmadığında, uygulamanız her zaman önceden atanmış izinlerini aldığından etkili bir izin modeline sahip olmazsınız.
Uygulama, izin isteyen uygulama olduğunu kanıtlar. Uygulamanız aşağıdaki yöntemlerden biriyle kendi kimliğini kanıtlıyor :
- En iyi seçenek olan bir sertifika.
- Gelişmiş bir gizli yönetim sistemindeki bir sır.
- Azure'da hizmetlerinizi geliştirirken Azure kaynakları için Yönetilen Kimlikler'i kullanın, aşağıdaki Uygulama kimlik bilgilerini yönetme bölümünü gözden geçirin.
Uygulama her zaman önceden yönetici onayı gerektirir. Uygulamanız bu izni
.defaultkapsamı ile istemektedir. Yöneticinin uygulamaya atamış olduğu izinleri istemektedir.Trans kullanıcı işlevselliği. Varsayılan olarak,
User.ReadWrite.Alluygulamanızın her kullanıcının profilini güncelleştirmesine izin verir. Uygulama izni olarak, uygulamanızın kiracıdaki her kullanıcının profilini okumasına ve güncelleştirmesine olanak tanır.Uygulamaya verilen izinler her zaman kullanılan izinlerdir. Temsilci izninin aksine, uygulama izinleri belirli bir kullanıcının yapabilecekleriyle sınırlanmamıştır.
Uygulama izinlerini sınırlama
Bir uygulamayı genel erişimden daha azla sınırlamanın üç yolu vardır.
Microsoft Teams uygulamaları, bir uygulamanın kuruluştaki tüm ekiplere erişmek yerine belirli bir ekise erişmesine olanak tanıyan kaynağa özgü onay (RSC) içerir. RSC, uygulamanızın API uç noktalarını kullanmasına ve belirli kaynakları yönetmesine olanak tanıyan bir Microsoft Teams ve Microsoft Graph API tümleştirmesidir. İzin modeli, Teams ve Sohbet sahiplerinin uygulamanızın Teams ve Sohbet verilerine erişmesi ve bunları değiştirmesi için onay vermesine olanak tanır.
Microsoft Exchange yöneticileri, PowerShell betiğiyle uygulama erişimini belirli posta kutularıyla sınırlamak için Exchange uygulama ilkeleri oluşturabilir. Belirli bir uygulamayı,
Calendar.ReadveyaMail.Readerişimine sahip belirli posta kutularıyla sınırlandırabilir. Örneğin, tek bir posta kutusunu okuyabilen veya kuruluştaki herkesten değil, yalnızca bir posta kutusundan posta gönderebilen bir otomasyon oluşturmanıza olanak tanır.SharePoint'e bir uygulamayla erişmeye yönelik ayrıntılı izinlere izin vermek için, SharePoint'in belirli bir kapsam olarak Seçilen Siteleri vardır. SharePoint site koleksiyonlarına erişimi olmayan uygulamalarda varsayılan olarak diğer izin sonuçlarından biri yerine uygulamanızı seçin
Sites.Selected. Yönetici, uygulamanıza Okuma, Yazma veya Okuma ve Yazma izinleri vermek için site izinleri uç noktasını kullanır.
Uygulama kimlik bilgilerini yönetme
Kimlik bilgisi hijyeni, uygulamanızın olası bir ihlalden hızla kurtulmasını sağlayabilir. Aşağıdaki en iyi yöntemler, kapalı kalma süresini önlerken ve meşru kullanıcıları etkilerken algılama ve düzeltme gerçekleştiren uygulamalar geliştirme konusunda size yol gösterir. Bu öneriler, sizi bir güvenlik olayına yanıt vermeye hazırlarken ihlal varsayma Sıfır Güven ilkesini destekler.
Koddan ve yapılandırmadan tüm gizli bilgileri kaldırın. Azure platformunu kullandığınızda, Key Vault'a gizli bilgileri yerleştirin ve Azure kaynakları için yönetilen kimlikler aracılığıyla bunlara erişin. Kodunuzu bir güvenlik ihlali durumunda gizli anahtar değişimlerini yönetebilmek için sağlam hale getirin. BT yöneticileri, uygulamanızı kaldırmadan veya yasal kullanıcıları etkilemeden gizli bilgileri ve sertifikaları kaldırabilir ve yenileyebilir.
Sırları yönetmek için güvenli bir süreç gerçekleştirilmedikçe istemci sırları yerine sertifikalar kullanın. Saldırganlar, istemci sırlarının genellikle daha az güvenli bir şekilde işlendiğini ve sızdırılan sır kullanımını izlemenin zor olduğunu bilir. Sertifikalar daha iyi yönetilebilir ve ele geçirilirse iptal edilebilir. Gizli bilgileri veya verileri kullandığınızda, onlar için güvenli bir elle müdahale gerektirmeyen dağıtım ve yenileme süreci oluşturun veya kullanın. Gizli dizileri belirli bir süre sonu süresiyle (örneğin, bir yıl, iki yıl) kullanın ve hiçbir zaman dolmamasını sağlayın.
Sertifikaları ve gizli anahtarları düzenli olarak yenileyin, böylece uygulamanızda dayanıklılık oluşturur ve acil durum geçişi nedeniyle kesintileri önler.
Sonraki Adımlar
- Kaynaklara erişim yetkisi almak , uygulamanız için kaynak erişim izinleri alırken Sıfır Güven'i en iyi şekilde nasıl sağlayacağınızı anlamanıza yardımcı olur.
- Temsilcili izinler stratejisi geliştirme , uygulamanızdaki izinleri yönetmek için en iyi yaklaşımı uygulamanıza ve Sıfır Güven ilkeleriyle geliştirmenize yardımcı olur.
- Yetkilendirme en iyi yöntemleri , uygulamalarınız için en iyi yetkilendirme, izin ve onay modellerini uygulamanıza yardımcı olur.
- Yönetici onayı gerektiren istek izinleri , uygulama izinleri yönetici onayı gerektirdiğinde izin ve onay deneyimini açıklar.
- API Koruması, api'nizi kayıt, izin ve onay tanımlama ve Sıfır Güven hedeflerinize ulaşmak için erişimi zorlama yoluyla korumaya yönelik en iyi yöntemleri açıklar.
- Azure kaynakları için Yönetilen Kimlikler'in, Azure'daki hizmetler (kullanıcı olmayan uygulamalar) için en iyi istemci kimlik bilgileri uygulaması olmasının nedenini açıklayan kullanıcı olmadığında uygulama kimliği kimlik bilgilerini sağlayın.