建立原則以控制 OAuth 應用程式
除了對連線到您環境 的 OAuth 應用程式進行現有調查 之外,請設定許可權原則,讓您在 OAuth 應用程式符合特定準則時收到自動化通知。 例如,當有應用程式需要高許可權等級且獲得超過50位使用者的授權時,您可以自動收到警示。
OAuth 應用程式原則可讓您調查每個應用程式要求的許可權,以及哪些使用者授權他們Microsoft 365、Google Workspace 和 Salesforce。 您也可以將這些許可權標示為已核准或禁止。 將它們標示為禁用會停用相互關聯的企業應用程式。
除了一組內建的功能來偵測異常的應用程式行為,並根據機器學習演算法產生警示,應用程式控管中的應用程式原則可供您:
- 指定應用程式控管可警示您應用程式行為的條件,以進行自動或手動補救。
- 為貴組織實作應用程式合規性原則。
注意事項
如果您已為組織啟用應用程式控管,您也可以指定應用程式控管警示的條件,併為您的組織實作應用程式合規性政策。 如需詳細資訊,請 參閱在應用程式控管中建立應用程式原則。
建立新的 OAuth 應用程式原則
有兩種方式可以建立新的 OAuth 應用程式原則。 第一種方式是在 [ 調查 ] 底下,第二種方式是在 [控制] 之下。
若要建立新的 OAuth 應用程式原則:
在 Microsoft Defender 入口網站的 [雲端應用程式] 底下,選取 [OAuth 應用程式]。
根據您的需求篩選應用程式。 例如,您可以檢視所有要求信箱中 [修改行事曆的權限] 的應用程式。
您可以使用 社群使用 篩選器來取得允許此應用程式許可權的常見、不常見或罕見資訊。 如果您的應用程式很少見,而且要求具有高嚴重性層級的許可權,或向許多使用者要求許可權,此篩選可能會很有説明。
從搜尋按鈕中選 取 [新增原則 ]。
您可以根據授權應用程式之使用者的群組成員資格來設定原則。 例如,只有在授權許可權的使用者是 Administrators 群組的成員時,系統管理員才能決定設定原則,以撤銷不常用的應用程式。
或者,您也可以移至 Cloud Apps-Policies<>->Policy management,在 Microsoft Defender 入口網站中建立原則。 然後選 取 [建立原則 ],然後選取 [OAuth 應用程式原則]。
注意事項
OAuth 應用程式原則只會針對租使用者中的使用者所授權的原則觸發警示。
OAuth 應用程式異常偵測原則
除了您可以建立的 OAuth 應用程式原則之外,還有下列現成的異常偵測原則,可分析 OAuth 應用程式的元數據,以識別可能為惡意的應用程式:
| 原則名稱 | 原則描述 |
|---|---|
| 誤導 OAuth 應用程式名稱 | 掃描連線到您環境的 OAuth 應用程式,並在偵測到具有誤導名稱的應用程式時觸發警示。 誤導的名稱,例如類似拉丁字母的外字母,可能表示嘗試將惡意應用程式偽裝成已知且受信任的應用程式。 |
| OAuth 應用程式的誤導發行者名稱 | 掃描連線到您環境的 OAuth 應用程式,並在偵測到具有誤導發行者名稱的應用程式時觸發警示。 誤導的發行者名稱,例如類似拉丁字母的外字母,可能表示嘗試將惡意應用程式偽裝成來自已知且受信任發行者的應用程式。 |
| 惡意 OAuth 應用程式同意 | 掃描連線到您環境的 OAuth 應用程式,並在潛在惡意應用程式獲得授權時觸發警示。 惡意 OAuth 應用程式可能會作為網路釣魚活動的一部分,以嘗試危害使用者。 此偵測會使用Microsoft安全性研究和威脅情報專業知識來識別惡意應用程式。 |
| 可疑的 OAuth 應用程式檔案下載活動 | 請參閱 異常偵測原則 |
注意事項
- 異常偵測原則僅適用於在您 Microsoft Entra ID 中獲得授權的 OAuth 應用程式。
- 無法修改 OAuth 應用程式異常偵測原則的嚴重性。
後續步驟
如果您遇到任何問題,我們在這裡提供協助。 若要取得產品問題的協助或支援,請 開啟支援票證。