Revisión de los permisos concedidos a las aplicaciones

En este artículo aprenderá a revisar los permisos concedidos a las aplicaciones en el inquilino de Azure Active Directory (Azure AD). Es posible que tenga que revisar los permisos cuando haya detectado una aplicación malintencionada o cuando se hayan concedido a la aplicación más permisos de los necesarios.

Los pasos de este artículo se pueden realizar en todas las aplicaciones que se han agregado al inquilino de Azure Active Directory (Azure AD) mediante el consentimiento del usuario o del administrador. Para más información acerca de cómo dar consentimiento a las aplicaciones, consulte Marco de consentimiento de Azure Active Directory.

Prerrequisitos

Para revisar los permisos concedidos a las aplicaciones, necesita:

  • Una cuenta de Azure con una suscripción activa. Cree una cuenta gratuita.
  • Uno de los siguientes roles: Administrador global, Administrador de aplicaciones en la nube, Administrador de aplicaciones o Propietario de la entidad de servicio.

Puede acceder al portal de Azure AD para obtener scripts de PowerShell contextuales para realizar las acciones.

Revisión de los permisos de la aplicación

Para revisar los permisos de la aplicación:

  1. Inicie sesión en Azure Portal con uno de los roles enumerados en los requisitos previos.
  2. Seleccione Azure Active Directory y, luego, Aplicaciones empresariales.
  3. Seleccione la aplicación a la que desea restringir el acceso.
  4. Seleccione Permisos. En la barra de comandos, seleccione Revisar permisos. Screenshot of the review permissions window.
  5. Para explicar por qué quiere revisar los permisos de la aplicación, seleccione cualquiera de las opciones enumeradas después de la pregunta Why do you want to review permissions for this application? (¿Por qué quiere revisar los permisos de esta aplicación?)

Cada opción genera scripts de PowerShell que permiten controlar el acceso de los usuarios a la aplicación y revisar los permisos concedidos a esta. Para información sobre cómo controlar el acceso de los usuarios a una aplicación, consulte Eliminación del acceso de un usuario a una aplicación.

Revocación de permisos mediante comandos de PowerShell

Mediante el script de PowerShell, puede revocar todos los permisos concedidos a esta aplicación.

Connect-AzureAD

# Get Service Principal using objectId
$sp = Get-AzureADServicePrincipal -ObjectId "<ServicePrincipal objectID>"

# Get all delegated permissions for the service principal
$spOAuth2PermissionsGrants = Get-AzureADOAuth2PermissionGrant -All $true| Where-Object { $_.clientId -eq $sp.ObjectId }

# Remove all delegated permissions
$spOAuth2PermissionsGrants | ForEach-Object {
    Remove-AzureADOAuth2PermissionGrant -ObjectId $_.ObjectId
}

# Get all application permissions for the service principal
$spApplicationPermissions = Get-AzureADServiceAppRoleAssignedTo -ObjectId $sp.ObjectId -All $true | Where-Object { $_.PrincipalType -eq "ServicePrincipal" }

# Remove all delegated permissions
$spApplicationPermissions | ForEach-Object {
    Remove-AzureADServiceAppRoleAssignment -ObjectId $_.PrincipalId -AppRoleAssignmentId $_.objectId
}

Nota:

La revocación del permiso actual concedido no impedirá que los usuarios vuelvan a tener consentimiento en la aplicación. Si desea bloquear el consentimiento de los usuarios, lea Configuración del consentimiento de los usuarios finales a las aplicaciones.

Invalidación de los tokens de actualización

Connect-AzureAD

# Get Service Principal using objectId
$sp = Get-AzureADServicePrincipal -ObjectId "<ServicePrincipal objectID>"

# Get Azure AD App role assignments using objectID of the Service Principal
$assignments = Get-AzureADServiceAppRoleAssignment -ObjectId $sp.ObjectId -All $true | Where-Object {$_.PrincipalType -eq "User"}

# Revoke refresh token for all users assigned to the application
$assignments | ForEach-Object {
    Revoke-AzureADUserAllRefreshToken -ObjectId $_.PrincipalId
}

Pasos siguientes