创建策略以控制 OAuth 应用
除了对连接到环境的 OAuth 应用的现有调查 之外,还设置权限策略,以便在 OAuth 应用满足特定条件时自动收到通知。 例如,当某些应用需要高权限级别并且由 50 多个用户授权时,可以自动发出警报。
OAuth 应用策略使你能够调查每个应用请求的权限,以及哪些用户授权他们使用 Microsoft 365、Google Workspace 和 Salesforce。 还可以将这些权限标记为已批准或禁止。 将它们标记为禁止会禁用关联的企业应用程序。
除了一组内置功能(用于检测异常应用行为并根据机器学习算法生成警报)之外,应用治理中的应用策略也是一种实现以下操作的方法:
- 指定应用治理可以提醒应用行为以进行自动或手动修正的条件。
- 为组织实施应用合规性策略。
注意
如果已为组织启用应用治理,还可以指定应用治理警报的条件,并为组织实施应用合规性策略。 有关详细信息,请参阅 在应用治理中创建应用策略。
创建新的 OAuth 应用策略
可通过两种方法创建新的 OAuth 应用策略。 第一种方法在 “调查 ”下,第二种方法在 “控制”下。
若要创建新的 OAuth 应用策略,请执行以下操作:
在Microsoft Defender门户中的“云应用”下,选择“OAuth 应用”。
根据需要筛选应用。 例如, 可以查看请求权限 以 修改邮箱中的日历的所有应用。
可以使用 “社区使用 ”筛选器获取有关允许此应用的权限是常见、不常见还是罕见的信息。 如果你有一个罕见的应用,并且请求具有高严重性级别的权限或请求来自许多用户的权限,则此筛选器非常有用。
选择“ 从搜索中新建策略 ”按钮。
可以根据授权应用的用户的组成员身份设置策略。 例如,仅当授权权限的用户是 Administrators 组的成员时,管理员才能决定设置一个策略,以便在不常见的应用请求高权限时撤销这些应用。
或者,还可以转到“云应用-<>策略 ->策略管理”,在 Microsoft Defender 门户中创建策略。 然后选择“ 创建策略 ”,然后选择“ OAuth 应用策略”。
注意
OAuth 应用策略将仅针对租户中用户授权的策略触发警报。
OAuth 应用异常情况检测策略
除了可以创建的 OAuth 应用策略外,还有以下现成的异常情况检测策略,用于分析 OAuth 应用的元数据,以识别潜在的恶意应用:
| 策略名称 | 策略说明 |
|---|---|
| 误导性 OAuth 应用名称 | 扫描连接到环境的 OAuth 应用,并在检测到具有误导性名称的应用时触发警报。 误导性名称(例如类似于拉丁字母的外国字母)可能表示有人试图将恶意应用伪装成已知且受信任的应用。 |
| OAuth 应用的误导性发布者名称 | 扫描连接到环境的 OAuth 应用,并在检测到具有误导性发布者名称的应用时触发警报。 误导性发布者名称(例如类似于拉丁字母的外国字母)可能表示有人试图将恶意应用伪装成来自已知且受信任的发布者的应用。 |
| 恶意 OAuth 应用同意 | 扫描连接到环境的 OAuth 应用,并在授权潜在恶意应用时触发警报。 恶意 OAuth 应用可能用作网络钓鱼活动的一部分,以试图危害用户。 此检测使用Microsoft安全研究和威胁情报专业知识来识别恶意应用。 |
| 可疑的 OAuth 应用文件下载活动 | 请参阅 异常情况检测策略 |
注意
- 异常情况检测策略仅适用于在Microsoft Entra ID中授权的 OAuth 应用。
- 无法修改 OAuth 应用异常情况检测策略的严重性。
后续步骤
如果你遇到任何问题,我们随时为你提供帮助。 若要获取有关产品问题的帮助或支持,请 开具支持票证。