Az alkalmazásoknak megadott engedélyek áttekintése

Ebből a cikkből megtudhatja, hogyan tekintheti át az Azure Active Directory- (Azure AD-) bérlőben lévő alkalmazásoknak biztosított engedélyeket. Előfordulhat, hogy át kell tekintenie az engedélyeket, ha kártékony alkalmazást észlelt, vagy ha az alkalmazás a szükségesnél több engedélyt kapott.

A cikkben ismertetett lépések az Összes olyan alkalmazásra vonatkoznak, amelyet felhasználói vagy rendszergazdai hozzájárulással adott hozzá az Azure Active Directory-bérlőhöz. Az alkalmazásokhoz való hozzájárulással kapcsolatos további információkért lásd az Azure Active Directory hozzájárulási keretrendszerét.

Előfeltételek

Az alkalmazásoknak biztosított engedélyek áttekintéséhez a következőkre van szüksége:

  • Aktív előfizetéssel rendelkező Azure-fiók. Hozzon létre egy ingyenes fiókot.
  • A következő szerepkörök egyike: globális rendszergazda, felhőalkalmazás-rendszergazda, alkalmazásadminisztrátor vagy a szolgáltatásnév tulajdonosa.

Az Azure AD-portálon környezetfüggő PowerShell-szkripteket kérhet le a műveletek végrehajtásához.

Alkalmazásengedélyek áttekintése

Az alkalmazásengedélyek áttekintése:

  1. Jelentkezzen be az Azure Portalra az előfeltételek szakaszban felsorolt szerepkörök egyikével.
  2. Válassza az Azure Active Directory, majd a Vállalati alkalmazások lehetőséget.
  3. Válassza ki azt az alkalmazást, amelyhez korlátozni szeretné a hozzáférést.
  4. Válassza az Engedélyek lehetőséget. A parancssávon válassza az Engedélyek áttekintése lehetőséget. Screenshot of the review permissions window.
  5. Adja meg annak okát, hogy miért szeretné áttekinteni az alkalmazás engedélyeit a kérdés után felsorolt lehetőségek bármelyikének kiválasztásával . Miért szeretné áttekinteni az alkalmazás engedélyeit?

Minden beállítás olyan PowerShell-szkripteket hoz létre, amelyek lehetővé teszik az alkalmazáshoz való felhasználói hozzáférés szabályozását és az alkalmazásnak biztosított engedélyek áttekintését. Az alkalmazásokhoz való felhasználói hozzáférés szabályozásával kapcsolatos információkért lásd: Felhasználó alkalmazáshoz való hozzáférésének eltávolítása

Engedélyek visszavonása PowerShell-parancsokkal

A következő PowerShell-szkript használatával visszavonja az alkalmazáshoz megadott összes engedélyt.

Connect-AzureAD

# Get Service Principal using objectId
$sp = Get-AzureADServicePrincipal -ObjectId "<ServicePrincipal objectID>"

# Get all delegated permissions for the service principal
$spOAuth2PermissionsGrants = Get-AzureADOAuth2PermissionGrant -All $true| Where-Object { $_.clientId -eq $sp.ObjectId }

# Remove all delegated permissions
$spOAuth2PermissionsGrants | ForEach-Object {
    Remove-AzureADOAuth2PermissionGrant -ObjectId $_.ObjectId
}

# Get all application permissions for the service principal
$spApplicationPermissions = Get-AzureADServiceAppRoleAssignedTo -ObjectId $sp.ObjectId -All $true | Where-Object { $_.PrincipalType -eq "ServicePrincipal" }

# Remove all delegated permissions
$spApplicationPermissions | ForEach-Object {
    Remove-AzureADServiceAppRoleAssignment -ObjectId $_.PrincipalId -AppRoleAssignmentId $_.objectId
}

Megjegyzés

Az aktuálisan megadott engedély visszavonása nem akadályozza meg a felhasználókat abban, hogy újra jóváhagyják az alkalmazást. Ha le szeretné tiltani a felhasználók jóváhagyását, olvassa el a felhasználók alkalmazásokhoz való hozzájárulásának konfigurálását ismertető cikket.

A frissítési jogkivonatok érvénytelenítése

Connect-AzureAD

# Get Service Principal using objectId
$sp = Get-AzureADServicePrincipal -ObjectId "<ServicePrincipal objectID>"

# Get Azure AD App role assignments using objectID of the Service Principal
$assignments = Get-AzureADServiceAppRoleAssignment -ObjectId $sp.ObjectId -All $true | Where-Object {$_.PrincipalType -eq "User"}

# Revoke refresh token for all users assigned to the application
$assignments | ForEach-Object {
    Revoke-AzureADUserAllRefreshToken -ObjectId $_.PrincipalId
}

Következő lépések