Verwalten von OAuth-Apps
Viele Produktivitäts-Apps von Drittanbietern, die möglicherweise von Geschäftsbenutzern in Ihrem organization installiert werden, fordern die Berechtigung für den Zugriff auf Benutzerinformationen und -daten an und melden sich im Namen des Benutzers in anderen Cloud-Apps an, z. B. Microsoft 365, Google Workspace und Salesforce. Wenn Benutzer diese Apps installieren, klicken Sie häufig auf Annehmen, ohne die Details in der Eingabeaufforderung genauer zu überprüfen, einschließlich der Erteilung von Berechtigungen an die App. Dieses Problem wird durch die Tatsache verschlimmert, dass die IT möglicherweise nicht über ausreichende Erkenntnisse zum Abwägen des Sicherheitsrisikos einer Anwendung verglichen mit dem durch diese bereitgestellten Produktivitätsvorteil verfügt. Da das Akzeptieren von App-Berechtigungen von Drittanbietern ein potenzielles Sicherheitsrisiko für Ihre organization darstellt, erhalten Sie durch die Überwachung der App-Berechtigungen, die Ihren Benutzern gewährt werden, die erforderliche Sichtbarkeit und Kontrolle, um Ihre Benutzer und Ihre Anwendungen zu schützen.
Mit den Microsoft Defender for Cloud Apps-App-Berechtigungen können Sie sehen, welche vom Benutzer installierten OAuth-Anwendungen Zugriff auf Microsoft 365-Daten, Google Workspace-Daten und Salesforce-Daten haben. Defender for Cloud Apps teilt Ihnen mit, welche Berechtigungen die Apps besitzen und welche Benutzer diesen Apps Zugriff auf ihre Microsoft 365-, Google Workspace- und Salesforce-Konten gewährt haben. Mithilfe von App-Berechtigungen können Sie entscheiden, auf welche Apps Sie Ihren Benutzern den Zugriff gewähren und welche Sie sperren möchten.
Weitere Informationen finden Sie unter Untersuchen riskanter OAuth-Apps.
Hinweis
In diesem Artikel werden Beispiele und Screenshots von der Seite "OAuth-Apps " verwendet, die verwendet wird, wenn App-Governance nicht aktiviert ist.
Wenn Sie Vorschaufeatures verwenden und App-Governance aktiviert haben, ist die gleiche Funktionalität stattdessen auf der Seite App-Governance verfügbar.
Weitere Informationen finden Sie unter App-Governance in Microsoft Defender for Cloud Apps.
Voraussetzungen
Sie müssen mindestens eine der unterstützten Plattformen mit Defender for Cloud Apps verbunden haben, einschließlich Microsoft 365, Google Workspace oder Salesforce.
Arbeiten mit der Seite "OAuth-Apps"
Auf der OAuth-Seite werden Informationen zu App-Berechtigungen in Ihren verbundenen Apps angezeigt.
So greifen Sie auf die Registerkarte OAuth zu:
Wählen Sie im Microsoft Defender-Portal unter Cloud-Apps die Option OAuth-Apps aus.
Die Seite OAuth-Apps enthält die folgenden Informationen zu jeder OAuth-App, der Berechtigungen erteilt wurden. Defender for Cloud Apps identifiziert nur Apps, die delegierte Berechtigungen anfordern.
| Artikel | Bedeutung | Gilt für |
|---|---|---|
| Symbol "Basic" in der App-Abfrageleiste | Wechseln Sie in der Standardansicht zur Abfrage. | Microsoft 365, Google Workspace, Salesforce |
| Symbol "Erweitert" in der App-Abfrageleiste | Wechseln Sie in der Ansicht Erweitert zur Abfrage. | Microsoft 365, Google Workspace, Salesforce |
| Symbol "Alle Details öffnen oder schließen" in der App-Liste | Zeigen Sie mehr oder weniger Details zu jeder App an. | |
| Symbol "Exportieren" in der App-Liste | Exportieren Sie eine CSV-Datei, die eine Liste der Apps, die Anzahl der Benutzer für jede App, die der App zugeordneten Berechtigungen, die Berechtigungsstufe, den App-Status und die Communitynutzungsebene enthält. | Microsoft 365, Google Workspace, Salesforce |
| App | Name der App. Wählen Sie den Namen aus, um weitere Informationen anzuzeigen, einschließlich der Beschreibung, des Herausgebers (für Microsoft 365), der App-Website und der ID. | Microsoft 365, Google Workspace, Salesforce |
| Autorisiert von | Die Anzahl der Benutzer, die diese App für den Zugriff auf ihr App-Konto autorisiert und der App Berechtigungen erteilt haben. Wählen Sie die Nummer aus, um weitere Informationen anzuzeigen, einschließlich einer Liste von Benutzer-E-Mails und ob ein Administrator der App zuvor zugestimmt hat. | Microsoft 365, Google Workspace, Salesforce |
| Berechtigungsstufe | Das Symbol für die Berechtigungsebene und text, der entweder hoch, mittel oder niedrig angibt. Die Ebene gibt an, wie viel Zugriff diese App auf die Daten der App hat. Beispielsweise kann Low angeben, dass die App nur auf Das Benutzerprofil und den Namen zugreift. Wählen Sie die Ebene aus, um weitere Informationen anzuzeigen, einschließlich berechtigungen, die der App, der Communitynutzung oder verwandten Aktivitäten im Governanceprotokoll erteilt wurden. | Microsoft 365, Google Workspace |
| App-Status | Ein Administrator kann eine App als genehmigt, gesperrt oder als unbestimmt markieren. | Microsoft 365, Google Workspace, Salesforce |
| Community-Anwendung | Zeigt Ihnen, wie beliebt die App bei allen Ihren Benutzern ist (allgemein, ungewöhnlich, selten) | Microsoft 365, Google Workspace, Salesforce |
| Zuletzt autorisiert | Das letzte Datum, an dem ein Benutzer berechtigungen für diese App erteilt hat. | Microsoft 365, Salesforce |
| Publisher | Der Name des Anbieters, der die App bereitstellt. Herausgeberüberprüfung: Die Herausgeberüberprüfung hilft Administratoren und Endbenutzern, die Authentizität von Anwendungsentwicklern zu verstehen, die in die Microsoft Identity Platform integrieren. Weitere Informationen finden Sie unter Herausgeberüberprüfung. |
Microsoft 365 |
| Zuletzt verwendet | Das letzte Datum, an dem diese App von allen Benutzern in Ihrem organization verwendet wurde. | Salesforce |
Sperren oder Genehmigen einer App
Wählen Sie auf den Registerkarten Google oder Salesforce auf der Seite App-Governance die App aus, um die App-Schublade zu öffnen, um weitere Informationen zur App und den berechtigungen anzuzeigen, die ihr erteilt wurden.
- Wählen Sie Berechtigungen aus, um eine vollständige Liste der Berechtigungen anzuzeigen, die der App gewährt wurden.
- Unter Communitynutzung können Sie anzeigen, wie häufig die App in anderen Organisationen vor ort ist.
- Wählen Sie App-Aktivität aus, um die Aktivitäten anzuzeigen, die im Aktivitätsprotokoll für diese App aufgeführt sind.
Um die App zu sperren, wählen Sie das Sperrsymbol am Ende der App-Zeile in der Tabelle aus.
- Sie können auswählen, ob Sie benutzern mitteilen möchten, dass die App, die sie installiert und autorisiert haben, gesperrt wurde. Die Benachrichtigung informiert Benutzer darüber, dass die App deaktiviert wird und sie keinen Zugriff auf die verbundene App haben. Wenn Sie dies nicht wissen möchten, deaktivieren Sie im Dialogfeld Benutzer benachrichtigen, die Zugriff auf diese gesperrte App gewährt haben .
- Es wird empfohlen, die App-Benutzer darüber zu informieren, dass ihre App in Nächster Zeit für die Verwendung gesperrt wird.
Geben Sie die Nachricht, die Sie an die App-Benutzer senden möchten, in das Feld Benutzerdefinierte Benachrichtigung eingeben ein. Wählen Sie App sperren aus, um die E-Mail zu senden, und sperren Sie die App für ihre verbundenen App-Benutzer.
Um die App zu genehmigen, wählen Sie das Symbol genehmigen am Ende der Zeile in der Tabelle aus.
- Das Symbol wird grün, und die App wird für alle Verbundenen App-Benutzer genehmigt.
- Wenn Sie eine App als genehmigt markieren, hat dies keine Auswirkungen auf den Endbenutzer. Diese Farbänderung soll Ihnen helfen, die Apps anzuzeigen, die Sie genehmigt haben, um sie von den Apps zu trennen, die Sie noch nicht überprüft haben.
Abfragen von OAuth-Apps
Sie können OAuth-Apps entweder in der Ansicht "Basic " oder in der Ansicht "Erweitert" abfragen. Wählen Sie Werte aus einer oder mehreren Dropdownlisten aus, um die spezifischen Apps in der Ansicht "Basic" anzuzeigen. Verwenden Sie in der erweiterten Ansicht die Dropdownliste Filter auswählen , um Ihre Suche einzugrenzen. Fügen Sie einem ausgewählten Wert Operatoren hinzu, die gleich sind oder ungleich sind, um die Abfrage abzuschließen.
Wählen Sie das Symbol Filter hinzufügen aus, um zusätzliche Filter hinzuzufügen, um Ihre Abfrage weiter zu verfeinern. Die Filter werden automatisch angewendet, und die Liste der Apps wird aktualisiert.
Wählen Sie das Symbol Filter entfernen neben dem Filter aus, um die Filter zu entfernen.
OAuth-App-Überwachung
Defender for Cloud Apps überwacht alle OAuth-Autorisierungsaktivitäten, um Ihnen eine umfassende Überwachung und Untersuchung der ausgeführten Aktivitäten zu ermöglichen. Sie können auch die Details von Benutzern exportieren, die eine bestimmte OAuth-App autorisiert haben, indem Sie zusätzliche Informationen zu den Benutzern erhalten, die Sie dann für die weitere Analyse verwenden können.
Führen Sie die folgenden Schritte aus, um das Protokoll zu exportieren:
Wählen Sie auf den Registerkarten Google oder Salesforce auf der Seite App-Governance in der Zeile, in der die relevante App angezeigt wird, unter Autorisiert von den Link aus, der die Anzahl der Benutzer anzeigt, die die App autorisiert haben.
Wählen Sie im Popupfenster Exportieren aus.
Feedback senden
Wenn in Ihrem organization eine OAuth-App entdeckt wurde, die schädlich erscheint, können Sie dem Defender for Cloud Apps Team Feedback senden, um uns dies mitzuteilen. Dieses Feature ermöglicht es Ihnen, Teil unserer Sicherheitscommunity zu sein und die Risikobewertung und Analyse von OAuth-Apps zu verbessern.
Wählen Sie auf den Registerkarten Google oder Salesforce auf der Seite App-Governance die drei Punkte am Ende der App-Zeile aus, und wählen Sie App melden aus.
Auf dem Bildschirm Diese App melden können Sie auswählen, ob die App als böswillig gemeldet oder ein anderes Problem gemeldet werden soll, wie Defender for Cloud Apps die App wahrnimmt. Sie können beispielsweise "Falscher Herausgeber", "Falsche Berechtigungen" oder "Sonstige" verwenden. Die von Ihnen übermittelten Daten werden verwendet, um die Risikobewertung der App und andere Analysen zur App zu aktualisieren.
Nächste Schritte
Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.