管理 OAuth 应用
许多由组织中的商务用户安装的第三方高效办公应用会请求访问用户信息和数据,并代表用户登录其他云应用,例如 Microsoft 365、Google Workspace 和 Salesforce。 当用户安装这些应用时,往往会直接单击“接受”,而没有仔细查看提示中的详细信息(包括向应用授予权限)。 另一方面,IT 可能无法在应用程序的安全风险和其对提高工作效率的好处之间进行足够明智的权衡,这进一步使问题复杂化。 由于接受第三方应用权限会给组织带来潜在的安全风险,因此监视用户授予的应用权限可提供必要的可见性和控制,以保护用户和应用。
通过 Microsoft Defender for Cloud Apps 应用权限,可以查看哪些用户安装的 OAuth 应用程序有权访问 Microsoft 365 数据、Google Workspace 数据和 Salesforce 数据。 Defender for Cloud Apps 会告知应用拥有哪些权限,以及哪些用户授予这些应用访问其 Microsoft 365、Google Workspace 和 Salesforce 帐户的权限。 应用权限有助于确定允许用户访问的应用以及禁止用户访问的应用。
有关详细信息,请参阅调查有风险的 OAuth 应用。
注意
本文使用 OAuth 应用页中的示例和屏幕截图,当你没有打开应用治理时会使用该页面。
如果使用的是预览功能并启用了应用治理,则可以从应用治理页面使用相同的功能。
有关详细信息,请参阅 Microsoft Defender for Cloud Apps 中的应用治理。
先决条件
必须已将一个或多个受支持的平台连接到 Defender for Cloud Apps,包括 Microsoft 365、Google Workspace 或 Salesforce。
使用 OAuth 应用页
“OAuth”页显示有关连接的应用中的应用权限的信息。
访问 OAuth 选项卡:
在 Microsoft Defender 门户的“Cloud Apps”下,选择“OAuth 应用”。
OAuth 应用页提供有关已授予权限的每个 OAuth 应用的以下信息。 Defender for Cloud Apps 仅识别请求委托权限的应用。
| 项 | 含义 | 适用于 |
|---|---|---|
| 应用查询栏中的“基本”图标 | 切换到基本视图中的查询。 | Microsoft 365、Google Workspace、Salesforce |
| 应用查询栏中的“高级”图标 | 切换到高级视图中的查询。 | Microsoft 365、Google Workspace、Salesforce |
| 应用列表中的“打开或关闭所有详细信息”图标 | 查看有关每个应用的大概详细信息。 | |
| 应用列表中的“导出”图标 | 导出包含应用列表、每个应用的用户数量、应用关联的权限、权限级别、应用状态和社区使用级别的 CSV 文件。 | Microsoft 365、Google Workspace、Salesforce |
| 应用 | 应用的名称。 选择名称以查看更多信息,包括说明、发布者(适用于 Microsoft 365)、应用网站和 ID。 | Microsoft 365、Google Workspace、Salesforce |
| 授权者 | 授权此应用访问其应用帐户并授予应用权限的用户数量。 选择数字以查看详细信息,包括用户电子邮件列表以及管理员此前是否已同意该应用。 | Microsoft 365、Google Workspace、Salesforce |
| 权限级别 | 表示“高”、“中”或“低”的权限级别图标和文本。 级别指示此应用对于应用数据具有何种程度的访问权限。 例如,“低”可能表示应用仅可访问用户个人资料和姓名。 选择级别可查看详细信息,包括授予应用的权限、社区使用或治理日志中的相关活动。 | Microsoft 365、Google Workspace |
| 应用状态 | 管理员可将应用标记为“已批准”、“已禁止”或不进行标记即“未确定”。 | Microsoft 365、Google Workspace、Salesforce |
| 社区使用 | 显示该应用在你的所有用户中的受欢迎程度(“常用”、“不常用”、“很少用”) | Microsoft 365、Google Workspace、Salesforce |
| 最近一次授权 | 用户最近一次向此应用授权的日期。 | Microsoft 365、Salesforce |
| 发布者 | 应用供应商的名称。 发布者验证 - 发布者验证可帮助管理员和最终用户了解与 Microsoft 标识平台集成的应用程序开发人员的真实身份。 有关更多信息,请参阅发布者验证。 |
Microsoft 365 |
| 上次使用时间 | 组织中的任何人最近一次使用此应用的日期。 | Salesforce |
禁止或批准应用
在“应用治理”页的“Google”或“Salesforce”选项卡上,选择应用以打开“应用抽屉”,查看有关应用及其授予的权限的更多信息。
- 选择“权限”,查看向应用授予的权限的完整列表。
- 在“社区使用”下,可查看应用在其他组织中的普及程度。
- 选择“应用活动”,查看与此应用相关的活动日志中列出的活动。
要禁止应用,请选择表中应用行末尾的“禁止”图标。
- 可以选择是否要告知用户已禁止其安装和授权的应用。 该通知可让用户知道将禁用该应用且他们将无法访问连接的应用。 如果不希望用户知道,请取消选中“通知已向此禁止的应用授予访问权限的用户”对话框。
- 建议通知应用用户,使其知晓应用即将禁用。
在“输入自定义通知消息”框中,键入要发送给应用用户的消息。 选择“禁止应用”以发送邮件,并禁止连接的应用用户使用此应用。
要批准应用,请选择表中行末尾的“批准”图标。
- 图标将变为绿色,已针对所有已连接应用的用户批准应用。
- 如果将应用标记为“已批准”,这不会影响最终用户。 此颜色更改旨在帮助查看已批准将其与尚未审核的应用分开的应用。
查询 OAuth 应用
可在“基本”视图或“高级”视图中查询 OAuth 应用。 从一个或多个下拉菜单中选择值,以在“基本”视图中显示特定应用。 在高级视图中,使用“选择筛选器”下拉菜单缩小搜索范围。 将运算符、等于或不等于添加到所选值,以完成查询。
选择“添加筛选器”图标以添加其他筛选器,进一步微调查询。 将自动应用筛选器并更新应用列表。
选择筛选器旁的“删除筛选器”图标,以删除筛选器。
OAuth 应用审核
Defender for Cloud Apps 会审核所有的 OAuth 授权活动,以便你可以全面监视和调查所执行的活动。 你还可以导出授权特定 OAuth 应用的用户的详细信息,从而获得有关用户的其他信息,然后使用这些信息进行进一步分析。
要导出日志,请执行下列步骤:
在“应用治理”页的“Google”或“Salesforce”选项卡上,在显示相关应用的行中,在“授权者”下,选择显示授权应用的用户数量的链接。
在弹出窗口中,选择“导出”。
发送反馈
如果在组织中发现疑似恶意的 OAuth 应用,可以向 Defender for Cloud Apps 团队发送反馈,以通知我们。 此新功能让你成为我们安全社区的一员,并提升了 OAuth 应用风险评分和分析。
在“应用治理”页上的“Google”或“Salesforce”选项卡上,选择应用行末尾的三个点,然后选择“报告应用”。
在“报告此应用”屏幕上,可以选择是将应用报告为恶意应用,还是报告 Defender for Cloud Apps 感知应用的方式的其他问题。 例如,可以使用“发布服务器不正确”、“权限不正确”或“其他”。 提交的数据将用于更新应用的风险评分以及有关该应用的其他分析。
后续步骤
如果遇到任何问题,我们可以提供帮助。 要获取产品问题的帮助或支持,请开立支持票证。