Mengambil tindakan pada aplikasi yang terlalu istimewa atau mencurigakan di Azure Active Directory

Pelajari cara meninjau dan mengelola izin aplikasi. Artikel ini menyediakan berbagai tindakan yang dapat Anda lakukan untuk mengamankan aplikasi Anda sesuai dengan skenario. Tindakan ini berlaku untuk semua aplikasi yang ditambahkan ke tenant Azure Active Directory (Azure AD) Anda melalui persetujuan pengguna atau admin.

Untuk mengetahui informasi selengkapnya tentang menyetujui aplikasi, lihat Kerangka kerja persetujuan Azure Active Directory.

Prasyarat

Untuk melakukan tindakan berikut, Anda harus masuk sebagai administrator global, administrator aplikasi, atau administrator aplikasi cloud.

Untuk membatasi akses ke aplikasi, Anda harus mewajibkan penetapan pengguna lalu menetapkan pengguna atau grup ke aplikasi. Untuk mengetahui informasi selengkapnya, lihat Metode untuk menetapkan pengguna dan grup.

Anda dapat mengakses portal Azure AD untuk mendapatkan skrip PowerShell kontekstual untuk melakukan tindakan.

  1. Masuk ke portal Microsoft Azure sebagai administrator global, administrator aplikasi, atau administrator aplikasi cloud.
  2. Pilih Azure Active Directory > Aplikasi Perusahaan.
  3. Pilih aplikasi yang ingin Anda batasi aksesnya.
  4. Pilih Izin. Di bilah perintah, pilih Tinjau izin.

Cuplikan layar jendela izin tinjauan.

Mengontrol akses ke aplikasi

Kami menyarankan agar Anda membatasi akses ke aplikasi dengan mengaktifkan pengaturan Penetapan pengguna.

  1. Masuk ke portal Microsoft Azure sebagai administrator global, administrator aplikasi, atau administrator aplikasi cloud.
  2. Pilih Azure Active Directory > Aplikasi Perusahaan.
  3. Pilih aplikasi yang ingin Anda batasi aksesnya.
  4. Pilih Properti, lalu atur Persyaratan pengguna yang diperlukan ke Ya.
  5. Pilih Pengguna dan Grup, lalu hapus pengguna yang tidak diinginkan yang ditetapkan ke aplikasi.
  6. Menetapkan pengguna atau grup ke aplikasi.

Sebagai pilihan, Anda dapat menghapus semua pengguna yang ditetapkan ke aplikasi dengan menggunakan PowerShell.

Mencabut semua izin untuk aplikasi

Menggunakan skrip PowerShell mencabut semua izin yang diberikan ke aplikasi ini.

Catatan

Mencabut izin yang diberikan saat ini tidak akan menghentikan pengguna untuk menyetujui kembali aplikasi. Jika Anda ingin memblokir pengguna agar tidak menyetujuinya, baca Mengonfigurasi cara pengguna menyetujui aplikasi.

Sebagai pilihan, Anda dapat menonaktifkan aplikasi untuk mencegah pengguna mengakses aplikasi dan menjaga agar aplikasi tidak mengakses data Anda.

  1. Masuk ke portal Microsoft Azure sebagai administrator global, administrator aplikasi, atau administrator aplikasi cloud.
  2. Pilih Azure Active Directory > Aplikasi Perusahaan.
  3. Pilih aplikasi yang ingin Anda batasi aksesnya.
  4. Pilih Properti, lalu atur Diaktifkan agar pengguna dapat masuk? ke Tidak.

Menyelidiki aplikasi yang mencurigakan

Kami menyarankan agar Anda membatasi akses ke aplikasi dengan mengaktifkan pengaturan Penetapan pengguna. Kemudian tinjau izin yang diberikan pengguna dan admin ke aplikasi.

  1. Masuk ke portal Microsoft Azure sebagai administrator global, administrator aplikasi, atau administrator aplikasi cloud.
  2. Pilih Azure Active Directory > Aplikasi Perusahaan.
  3. Pilih aplikasi yang ingin Anda batasi aksesnya.
  4. Pilih Properti, lalu atur Persyaratan pengguna yang diperlukan ke Ya.
  5. Pilih Izin, dan tinjau izin yang disetujui admin dan pengguna.

Sebagai pilihan, dengan menggunakan PowerShell, Anda dapat:

  • Hapus semua pengguna yang ditetapkan untuk menghentikan mereka masuk ke aplikasi.
  • Membatalkan token refresh untuk pengguna yang memiliki akses ke aplikasi.
  • Mencabut semua izin untuk aplikasi.

Atau, Anda dapat menonaktifkan aplikasi untuk memblokir akses pengguna dan menghentikan akses aplikasi ini ke data Anda.

Menonaktifkan aplikasi berbahaya

Kami menyarankan agar Anda menonaktifkan aplikasi untuk memblokir akses pengguna dan menjaga agar aplikasi tidak mengakses data Anda. Jika Anda menghapus aplikasi sebagai gantinya, pengguna dapat menyetujui kembali aplikasi dan memberikan akses ke data Anda.

  1. Masuk ke portal Microsoft Azure sebagai administrator global, administrator aplikasi, atau administrator aplikasi cloud.
  2. Pilih Azure Active Directory > Aplikasi Perusahaan.
  3. Pilih aplikasi yang ingin Anda batasi aksesnya.
  4. Pilih Properti, lalu salin ID objek.

Perintah PowerShell

Ambil ID objek prinsipal layanan.

  1. Masuk ke portal Microsoft Azure sebagai administrator global, administrator aplikasi, atau administrator aplikasi cloud.

  2. Pilih Azure Active Directory > Aplikasi Perusahaan.

  3. Pilih aplikasi yang ingin Anda batasi aksesnya.

  4. Pilih Properti, lalu salin ID objek.

    $sp = Get-AzureADServicePrincipal -Filter "displayName eq '$app_name'"
    $sp.ObjectId
    

Hapus semua pengguna yang ditetapkan ke aplikasi.

Connect-AzureAD

# Get Service Principal using objectId
$sp = Get-AzureADServicePrincipal -ObjectId "<ServicePrincipal objectID>"

# Get Azure AD App role assignments using objectId of the Service Principal
$assignments = Get-AzureADServiceAppRoleAssignment -ObjectId $sp.ObjectId -All $true

# Remove all users and groups assigned to the application
$assignments | ForEach-Object {
    if ($_.PrincipalType -eq "User") {
        Remove-AzureADUserAppRoleAssignment -ObjectId $_.PrincipalId -AppRoleAssignmentId $_.ObjectId
    } elseif ($_.PrincipalType -eq "Group") {
        Remove-AzureADGroupAppRoleAssignment -ObjectId $_.PrincipalId -AppRoleAssignmentId $_.ObjectId
    }
}

Cabut semua izin yang diberikan ke aplikasi.

Connect-AzureAD

# Get Service Principal using objectId
$sp = Get-AzureADServicePrincipal -ObjectId "<ServicePrincipal objectID>"

# Get all delegated permissions for the service principal
$spOAuth2PermissionsGrants = Get-AzureADOAuth2PermissionGrant -All $true| Where-Object { $_.clientId -eq $sp.ObjectId }

# Remove all delegated permissions
$spOAuth2PermissionsGrants | ForEach-Object {
    Remove-AzureADOAuth2PermissionGrant -ObjectId $_.ObjectId
}

# Get all application permissions for the service principal
$spApplicationPermissions = Get-AzureADServiceAppRoleAssignedTo -ObjectId $sp.ObjectId -All $true | Where-Object { $_.PrincipalType -eq "ServicePrincipal" }

# Remove all delegated permissions
$spApplicationPermissions | ForEach-Object {
    Remove-AzureADServiceAppRoleAssignment -ObjectId $_.PrincipalId -AppRoleAssignmentId $_.objectId
}

Membatalkan validasi token refresh.

Connect-AzureAD

# Get Service Principal using objectId
$sp = Get-AzureADServicePrincipal -ObjectId "<ServicePrincipal objectID>"

# Get Azure AD App role assignments using objectID of the Service Principal
$assignments = Get-AzureADServiceAppRoleAssignment -ObjectId $sp.ObjectId -All $true | Where-Object {$_.PrincipalType -eq "User"}

# Revoke refresh token for all users assigned to the application
$assignments | ForEach-Object {
    Revoke-AzureADUserAllRefreshToken -ObjectId $_.PrincipalId
}

Langkah berikutnya