Tomar medidas sobre aplicativos com privilégios elevados ou suspeitos no Azure Active Directory

Saiba como examinar e gerenciar permissões de aplicativo. Este artigo fornece diversas ações que você pode tomar para proteger seu aplicativo de acordo com o cenário. Essas ações se aplicam a todos os aplicativos que foram adicionados ao seu locatário do Azure Active Directory (Azure AD) por consentimento do usuário ou do administrador.

Para obter mais informações sobre o consentimento de aplicativos, consulte a estrutura de consentimento do Azure Active Directory.

Pré-requisitos

Para tomar as seguintes ações, você precisa entrar como administrador global, administrador do aplicativo ou administrador do aplicativo em nuvem.

Para restringir o acesso aos aplicativos, você precisará exigir a atribuição do usuário e, em seguida, atribuir usuários ou grupos ao aplicativo. Para obter mais informações, confira Métodos para atribuir usuários e grupos.

Você pode acessar o portal do Azure AD para obter scripts contextuais do PowerShell e executar as ações.

  1. Faça login no Portal do Azure como administrador global, administrador do aplicativo ou administrador do aplicativo em nuvem.
  2. Selecione Azure Active Directory > Aplicativos empresariais.
  3. Selecione o aplicativo ao qual você deseja restringir o acesso.
  4. Selecione Permissões. Na barra de comandos, selecione Revisar permissões.

Captura de tela da janela de permissões de revisão.

Controlar o acesso a um aplicativo

Recomendamos que você restrinja o acesso ao aplicativo ativando a configuração de Atribuição de usuário.

  1. Faça login no Portal do Azure como administrador global, administrador do aplicativo ou administrador do aplicativo em nuvem.
  2. Selecione Azure Active Directory > Aplicativos empresariais.
  3. Selecione o aplicativo ao qual você deseja restringir o acesso.
  4. Selecione Propriedades e defina Requisito de usuário necessário para Sim.
  5. Selecione Usuário e grupos e, em seguida, remova os usuários indesejados que estão atribuídos ao aplicativo.
  6. Atribuir usuários e grupos ao aplicativo.

Como opção, você pode remover todos os usuários atribuídos ao aplicativo usando o PowerShell.

Revogar todas as permissões para um aplicativo

Usar o script do PowerShell revoga todas as permissões concedidas a este aplicativo.

Observação

A revogação da permissão atualmente concedida não impede que os usuários efetuem um novo consentimento para o aplicativo. Se você quiser impedir que os usuários façam um novo consentimento, leia Configurar como os usuários consentem com os aplicativos.

Como opção, você pode desabilitar o aplicativo para impedir que os usuários acessem o aplicativo e que o aplicativo acesse os seus dados.

  1. Faça login no Portal do Azure como administrador global, administrador do aplicativo ou administrador do aplicativo em nuvem.
  2. Selecione Azure Active Directory > Aplicativos empresariais.
  3. Selecione o aplicativo ao qual você deseja restringir o acesso.
  4. Selecione Propriedades e, sem seguida, defina Habilitado para que os usuários se inscrevam? como Não.

Investigar um aplicativo suspeito

Recomendamos que você restrinja o acesso ao aplicativo ativando a configuração de Atribuição de usuário. Em seguida, revise as permissões que os usuários e administradores concederam ao aplicativo.

  1. Faça login no Portal do Azure como administrador global, administrador do aplicativo ou administrador do aplicativo em nuvem.
  2. Selecione Azure Active Directory > Aplicativos empresariais.
  3. Selecione o aplicativo ao qual você deseja restringir o acesso.
  4. Selecione Propriedades e defina Requisito de usuário necessário para Sim.
  5. Selecione Permissões e revise as permissões consentidas pelo administrador e pelo usuário.

Como opção, usando o PowerShell você pode:

  • Remover todos os usuários atribuídos para impedi-los de entrar no aplicativo.
  • Invalidar os tokens de atualização dos usuários que têm acesso ao aplicativo.
  • Revogar todas as permissões de um aplicativo.

Ou você pode desabilitar o aplicativo para bloquear o acesso de usuários e impedir que esses aplicativos acessem os seus dados.

Desabilitar um aplicativo mal-intencionado

Recomendamos que você desabilite o aplicativo para bloquear o acesso dos usuários e impedir que o aplicativo acesse seus dados. Se você apenas excluir o aplicativo, os usuários poderão consentir novamente com o aplicativo e conceder acesso aos seus dados.

  1. Faça login no Portal do Azure como administrador global, administrador do aplicativo ou administrador do aplicativo em nuvem.
  2. Selecione Azure Active Directory > Aplicativos empresariais.
  3. Selecione o aplicativo ao qual você deseja restringir o acesso.
  4. Selecione Propriedades e, em seguida, copie a ID de objeto.

Comandos do PowerShell

Obter a ID de objeto da entidade de serviço.

  1. Faça login no Portal do Azure como administrador global, administrador do aplicativo ou administrador do aplicativo em nuvem.

  2. Selecione Azure Active Directory > Aplicativos empresariais.

  3. Selecione o aplicativo ao qual você deseja restringir o acesso.

  4. Selecione Propriedades e, em seguida, copie a ID de objeto.

    $sp = Get-AzureADServicePrincipal -Filter "displayName eq '$app_name'"
    $sp.ObjectId
    

Remover todos os usuários atribuídos ao aplicativo.

Connect-AzureAD

# Get Service Principal using objectId
$sp = Get-AzureADServicePrincipal -ObjectId "<ServicePrincipal objectID>"

# Get Azure AD App role assignments using objectId of the Service Principal
$assignments = Get-AzureADServiceAppRoleAssignment -ObjectId $sp.ObjectId -All $true

# Remove all users and groups assigned to the application
$assignments | ForEach-Object {
    if ($_.PrincipalType -eq "User") {
        Remove-AzureADUserAppRoleAssignment -ObjectId $_.PrincipalId -AppRoleAssignmentId $_.ObjectId
    } elseif ($_.PrincipalType -eq "Group") {
        Remove-AzureADGroupAppRoleAssignment -ObjectId $_.PrincipalId -AppRoleAssignmentId $_.ObjectId
    }
}

Revogar permissões concedidas ao aplicativo.

Connect-AzureAD

# Get Service Principal using objectId
$sp = Get-AzureADServicePrincipal -ObjectId "<ServicePrincipal objectID>"

# Get all delegated permissions for the service principal
$spOAuth2PermissionsGrants = Get-AzureADOAuth2PermissionGrant -All $true| Where-Object { $_.clientId -eq $sp.ObjectId }

# Remove all delegated permissions
$spOAuth2PermissionsGrants | ForEach-Object {
    Remove-AzureADOAuth2PermissionGrant -ObjectId $_.ObjectId
}

# Get all application permissions for the service principal
$spApplicationPermissions = Get-AzureADServiceAppRoleAssignedTo -ObjectId $sp.ObjectId -All $true | Where-Object { $_.PrincipalType -eq "ServicePrincipal" }

# Remove all delegated permissions
$spApplicationPermissions | ForEach-Object {
    Remove-AzureADServiceAppRoleAssignment -ObjectId $_.PrincipalId -AppRoleAssignmentId $_.objectId
}

Invalidar os tokens de atualização.

Connect-AzureAD

# Get Service Principal using objectId
$sp = Get-AzureADServicePrincipal -ObjectId "<ServicePrincipal objectID>"

# Get Azure AD App role assignments using objectID of the Service Principal
$assignments = Get-AzureADServiceAppRoleAssignment -ObjectId $sp.ObjectId -All $true | Where-Object {$_.PrincipalType -eq "User"}

# Revoke refresh token for all users assigned to the application
$assignments | ForEach-Object {
    Revoke-AzureADUserAllRefreshToken -ObjectId $_.PrincipalId
}

Próximas etapas