Granska behörigheter som har beviljats för program

I den här artikeln får du lära dig hur du granskar behörigheter som beviljas för program i din Azure Active Directory-klientorganisation (Azure AD). Du kan behöva granska behörigheter när du har identifierat ett skadligt program eller om programmet har beviljats fler behörigheter än vad som är nödvändigt.

Stegen i den här artikeln gäller för alla program som har lagts till i din Azure Active Directory-klientorganisation (Azure AD) via användar- eller administratörsmedgivande. Mer information om medgivande till program finns i Azure Active Directory-ramverket för medgivande.

Förutsättningar

Om du vill granska behörigheter som beviljats till program behöver du:

  • Ett Azure-konto med en aktiv prenumeration. Skapa ett konto utan kostnad.
  • En av följande roller: Global administratör, molnprogramadministratör, programadministratör eller ägare av tjänstens huvudnamn.

Du kan komma åt Azure AD-portalen för att hämta kontextuella PowerShell-skript för att utföra åtgärderna.

Granska programbehörigheter

Så här granskar du programbehörigheter:

  1. Logga in på Azure-portalen med någon av rollerna som anges i avsnittet förutsättningar.
  2. Välj Azure Active Directory och välj sedan Företagsprogram.
  3. Välj det program som du vill begränsa åtkomsten till.
  4. Välj Behörigheter. I kommandofältet väljer du Granska behörigheter. Screenshot of the review permissions window.
  5. Ge en anledning till varför du vill granska behörigheter för programmet genom att välja något av alternativen som visas efter frågan , Varför vill du granska behörigheter för det här programmet?

Varje alternativ genererar PowerShell-skript som gör att du kan styra användaråtkomsten till programmet och granska behörigheter som beviljats till programmet. Information om hur du styr användaråtkomst till ett program finns i Ta bort en användares åtkomst till ett program

Återkalla behörigheter med PowerShell-kommandon

Med följande PowerShell-skript återkallas alla behörigheter som beviljats till det här programmet.

Connect-AzureAD

# Get Service Principal using objectId
$sp = Get-AzureADServicePrincipal -ObjectId "<ServicePrincipal objectID>"

# Get all delegated permissions for the service principal
$spOAuth2PermissionsGrants = Get-AzureADOAuth2PermissionGrant -All $true| Where-Object { $_.clientId -eq $sp.ObjectId }

# Remove all delegated permissions
$spOAuth2PermissionsGrants | ForEach-Object {
    Remove-AzureADOAuth2PermissionGrant -ObjectId $_.ObjectId
}

# Get all application permissions for the service principal
$spApplicationPermissions = Get-AzureADServiceAppRoleAssignedTo -ObjectId $sp.ObjectId -All $true | Where-Object { $_.PrincipalType -eq "ServicePrincipal" }

# Remove all delegated permissions
$spApplicationPermissions | ForEach-Object {
    Remove-AzureADServiceAppRoleAssignment -ObjectId $_.PrincipalId -AppRoleAssignmentId $_.objectId
}

Anteckning

Att återkalla den aktuella beviljade behörigheten hindrar inte användare från att godkänna programmet igen. Om du vill blockera användare från att samtycka läser du Konfigurera hur användarna godkänner program.

Ogiltigförklara uppdateringstoken

Connect-AzureAD

# Get Service Principal using objectId
$sp = Get-AzureADServicePrincipal -ObjectId "<ServicePrincipal objectID>"

# Get Azure AD App role assignments using objectID of the Service Principal
$assignments = Get-AzureADServiceAppRoleAssignment -ObjectId $sp.ObjectId -All $true | Where-Object {$_.PrincipalType -eq "User"}

# Revoke refresh token for all users assigned to the application
$assignments | ForEach-Object {
    Revoke-AzureADUserAllRefreshToken -ObjectId $_.PrincipalId
}

Nästa steg