Bir hizmette ayrıcalıklı veya şüpheli uygulamalar üzerinde Azure Active Directory

Uygulama izinlerini gözden geçirmeyi ve yönetmeyi öğrenin. Bu makale, senaryoya göre uygulama güvenliğini sağlamak için gerçekleştirebilirsiniz farklı eylemler sağlar. Bu eylemler, kullanıcı veya yönetici onayı yoluyla Azure Active Directory (Azure AD) kiracınıza eklenen tüm uygulamalar için geçerlidir.

Uygulamalara onay hakkında daha fazla bilgi için bkz. Azure Active Directory çerçevesi.

Önkoşullar

Aşağıdaki eylemleri yapmak için genel yönetici, uygulama yöneticisi veya bulut uygulaması yöneticisi olarak oturum açmanız gerekir.

Uygulamalara erişimi kısıtlamak için kullanıcı ataması gerektirmeniz ve ardından uygulamaya kullanıcı veya grup atamanız gerekir. Daha fazla bilgi için bkz. Kullanıcı ve grup atama yöntemleri.

Eylemleri gerçekleştirmek üzere bağlamsal PowerShell betikleri almak için Azure AD portalına erişebilirsiniz.

  1. Genel yönetici, Azure portal yöneticisi veya bulut uygulaması yöneticisi olarak oturum açın.
  2. Uygulamaları Azure Active Directory > Enterprise seçin.
  3. Erişimi kısıtlamak istediğiniz uygulamayı seçin.
  4. İzinler'i seçin. Komut çubuğunda İzinleri gözden geçir'i seçin.

İzinleri gözden geçirme penceresinin ekran görüntüsü.

Uygulamaya erişimi denetleme

Kullanıcı atama ayarını kullanarak uygulamaya erişimi kısıtlamayı öneririz.

  1. Genel yönetici, Azure portal yöneticisi veya bulut uygulaması yöneticisi olarak oturum açın.
  2. Uygulamaları Azure Active Directory > Enterprise seçin.
  3. Erişimi kısıtlamak istediğiniz uygulamayı seçin.
  4. Özellikler'i seçin ve ardından Kullanıcı gereksinimi gerekli'yi Evet olarak ayarlayın.
  5. Kullanıcı ve Gruplar'ı seçin ve ardından uygulamaya atanan istenmeyen kullanıcıları kaldırın.
  6. Uygulamaya kullanıcı veya grup atama.

İsteğe bağlı olarak, PowerShell kullanarak uygulamaya atanan tüm kullanıcıları kaldırabilirsiniz.

Bir uygulamanın tüm izinlerini iptal etme

PowerShell betiği kullanılarak bu uygulamaya verilen tüm izinler iptal edilir.

Not

Geçerli verilen iznin iptali, kullanıcıların uygulamaya yeniden onay uygulamasını durdurmaz. Kullanıcıların onayını engellemek için, Kullanıcıların uygulamalara nasıl onay verdiklerini yapılandırma makalelerini okuyun.

İsteğe bağlı olarak, kullanıcıların uygulamaya erişmesini engellemek ve uygulamanın verilerinize erişmesini engellemek için uygulamayı devre dışı abilirsiniz.

  1. Genel yönetici, Azure portal yöneticisi veya bulut uygulaması yöneticisi olarak oturum açın.
  2. Uygulamaları Azure Active Directory > Enterprise seçin.
  3. Erişimi kısıtlamak istediğiniz uygulamayı seçin.
  4. Özellikler'i seçin ve ardından Kullanıcıların oturum açması için etkinleştirildi? seçeneğini Hayır olarak ayarlayın.

Şüpheli bir uygulamayı araştırma

Kullanıcı atama ayarını kullanarak uygulamaya erişimi kısıtlamayı öneririz. Ardından kullanıcıların ve yöneticilerin uygulamaya verilen izinleri gözden geçirebilirsiniz.

  1. Genel yönetici, Azure portal yöneticisi veya bulut uygulaması yöneticisi olarak oturum açın.
  2. Uygulamaları Azure Active Directory > Enterprise seçin.
  3. Erişimi kısıtlamak istediğiniz uygulamayı seçin.
  4. Özellikler'i seçin ve ardından Kullanıcı gereksinimi gerekli'yi Evet olarak ayarlayın.
  5. İzinler'i seçin ve yönetici ve kullanıcı tarafından onay verilen izinleri gözden geçirebilirsiniz.

İsteğe bağlı olarak, PowerShell kullanarak şunları da sabilirsiniz:

  • Uygulamada oturum açmalarını durdurmak için atanan tüm kullanıcıları kaldırın.
  • Uygulamaya erişimi olan kullanıcılar için yenileme belirteçlerini geçersiz kılın.
  • Uygulamanın tüm izinlerini iptal etme.

Veya kullanıcıların erişimini engellemek ve uygulamanın verilerinize erişimini durdurmak için uygulamayı devre dışı abilirsiniz.

Kötü amaçlı bir uygulamayı devre dışı bırakma

Kullanıcıların erişimini engellemek ve uygulamanın verilerinize erişmesini engellemek için uygulamayı devre dışı bırakmanızı öneririz. Bunun yerine uygulamayı silersiniz, kullanıcılar uygulamaya yeniden onay ve verilerinize erişim izni veebilir.

  1. Genel yönetici, Azure portal yöneticisi veya bulut uygulaması yöneticisi olarak oturum açın.
  2. Uygulamaları Azure Active Directory > Enterprise seçin.
  3. Erişimi kısıtlamak istediğiniz uygulamayı seçin.
  4. Özellikler'i seçin ve ardından nesne kimliğini kopyalayın.

PowerShell komutları

Hizmet sorumlusu nesne kimliğini alın.

$app_name = "<Your App's display name>"
$sp = Get-AzureADServicePrincipal -Filter "displayName eq '$app_name'"
$sp.ObjectId

Uygulamaya atanan tüm kullanıcıları kaldırın.

Connect-AzureAD

# Get Service Principal using objectId
$sp = Get-AzureADServicePrincipal -ObjectId "<ServicePrincipal objectID>"

# Get Azure AD App role assignments using objectId of the Service Principal
$assignments = Get-AzureADServiceAppRoleAssignment -ObjectId $sp.ObjectId -All $true

# Remove all users and groups assigned to the application
$assignments | ForEach-Object {
    if ($_.PrincipalType -eq "User") {
        Remove-AzureADUserAppRoleAssignment -ObjectId $_.PrincipalId -AppRoleAssignmentId $_.ObjectId
    } elseif ($_.PrincipalType -eq "Group") {
        Remove-AzureADGroupAppRoleAssignment -ObjectId $_.PrincipalId -AppRoleAssignmentId $_.ObjectId
    }
}

Uygulamaya verilen izinleri iptal etme.

Connect-AzureAD

# Get Service Principal using objectId
$sp = Get-AzureADServicePrincipal -ObjectId "<ServicePrincipal objectID>"

# Get all delegated permissions for the service principal
$spOAuth2PermissionsGrants = Get-AzureADOAuth2PermissionGrant -All $true| Where-Object { $_.clientId -eq $sp.ObjectId }

# Remove all delegated permissions
$spOAuth2PermissionsGrants | ForEach-Object {
    Remove-AzureADOAuth2PermissionGrant -ObjectId $_.ObjectId
}

# Get all application permissions for the service principal
$spApplicationPermissions = Get-AzureADServiceAppRoleAssignedTo -ObjectId $sp.ObjectId -All $true | Where-Object { $_.PrincipalType -eq "ServicePrincipal" }

# Remove all delegated permissions
$spApplicationPermissions | ForEach-Object {
    Remove-AzureADServiceAppRoleAssignment -ObjectId $_.PrincipalId -AppRoleAssignmentId $_.objectId
}

Yenileme belirteçlerini geçersiz kılın.

Connect-AzureAD

# Get Service Principal using objectId
$sp = Get-AzureADServicePrincipal -ObjectId "<ServicePrincipal objectID>"

# Get Azure AD App role assignments using objectID of the Service Principal
$assignments = Get-AzureADServiceAppRoleAssignment -ObjectId $sp.ObjectId -All $true | Where-Object {$_.PrincipalType -eq "User"}

# Revoke refresh token for all users assigned to the application
$assignments | ForEach-Object {
    Revoke-AzureADUserAllRefreshToken -ObjectId $_.PrincipalId
}

Sonraki adımlar