管理 OAuth 应用
组织中业务用户可能安装的许多第三方生产力应用请求访问用户信息和数据,并代表用户登录其他云应用(如 Microsoft 365、Google Workspace 和 Salesforce)。 当用户安装这些应用时,他们通常单击“接受”而不仔细查看提示中的详细信息,包括向应用授予权限。 IT 部门可能没有足够的见解来权衡应用程序的安全风险与它提供的工作效率优势,从而加剧了此问题。 由于接受第三方应用权限对组织是潜在的安全风险,因此监视用户授予的应用权限可提供必要的可见性和控制来保护用户和应用程序。
借助Microsoft Defender for Cloud Apps应用权限,可以查看哪些用户安装的 OAuth 应用程序有权访问Microsoft 365 数据、Google 工作区数据和 Salesforce 数据。 Defender for Cloud Apps告知应用具有哪些权限,以及哪些用户授予这些应用访问其 Microsoft 365、Google Workspace 和 Salesforce 帐户的权限。 应用权限可帮助你决定允许用户访问哪些应用以及要禁止哪些应用。
有关详细信息,请参阅 调查有风险的 OAuth 应用。
注意
本文使用 OAuth 应用 页面中的示例和屏幕截图,在未打开应用治理时使用。
如果使用 预览功能 并打开了应用治理,则相同的功能可从 “应用治理 ”页获得。
有关详细信息,请参阅 Microsoft Defender for Cloud Apps 中的应用治理。
先决条件
必须已将一个或多个受支持的平台连接到Defender for Cloud Apps,包括 Microsoft 365、Google Workspace 或 Salesforce。
使用 OAuth 应用页面
OAuth 页面显示有关已连接应用中的应用权限的信息。
访问“OAuth”选项卡:
在Microsoft Defender门户中,在“云应用”下,选择“OAuth 应用”。
“OAuth 应用”页提供有关已授予权限的每个 OAuth 应用的以下信息。 Defender for Cloud Apps仅标识请求委托权限的应用。
| 项目 | 含义 | 适用对象 |
|---|---|---|
| 应用查询栏中的基本图标 | 切换到基本视图中的查询。 | Microsoft 365、Google Workspace、Salesforce |
| 应用查询栏中的高级图标 | 切换到“高级”视图中的查询。 | Microsoft 365、Google Workspace、Salesforce |
| 打开或关闭应用列表中的所有详细信息图标 | 查看有关每个应用的更多或更少详细信息。 | |
| 应用列表中的“导出”图标 | 导出 CSV 文件,其中包含应用列表、每个应用的用户数、与应用关联的权限、权限级别、应用状态和社区使用级别。 | Microsoft 365、Google Workspace、Salesforce |
| 应用 | 应用的名称。 选择名称以查看详细信息,包括 Microsoft 365) 的说明、发布者 (、应用网站和 ID。 | Microsoft 365、Google Workspace、Salesforce |
| 授权者 | 授权此应用访问其应用帐户并授予应用权限的用户数。 选择数字可查看详细信息,包括用户电子邮件列表以及管理员之前是否同意该应用。 | Microsoft 365、Google Workspace、Salesforce |
| 权限级别 | 指示“高”、“中”或“低”的权限级别图标和文本。 级别指示此应用对应用数据的访问权限。 例如,Low 可能指示应用仅访问用户配置文件和名称。 选择级别以查看详细信息,包括向应用授予的权限、社区使用或 治理日志中的相关活动。 | Microsoft 365,Google Workspace |
| 应用状态 | 管理员可以将应用标记为“已批准”、“已禁止”或“未确定”。 | Microsoft 365、Google Workspace、Salesforce |
| 社区使用 | 显示应用在所有用户中 (常见、罕见、罕见的) | Microsoft 365、Google Workspace、Salesforce |
| 上次授权 | 用户授予此应用权限的最近日期。 | Microsoft 365,Salesforce |
| Publisher | 提供应用的供应商的名称。 发布者验证 - 发布者验证可帮助管理员和最终用户了解应用程序开发人员与Microsoft 标识平台集成的真实性。 有关详细信息,请参阅 发布服务器验证。 |
Microsoft 365 |
| 上次使用 | 组织中任何人使用此应用的最近日期。 | Salesforce |
禁止或批准应用
在“应用治理”页上的“Google”或“Salesforce”选项卡上,选择应用以打开应用抽屉,查看有关应用及其授予的权限的详细信息。
- 选择“ 权限” 可查看已授予应用的权限的完整列表。
- 在 “社区使用”下,可以查看该应用在其他组织中的常见程度。
- 选择“ 应用活动 ”,查看与此应用相关的活动日志中列出的活动。
若要禁止应用,请选择表中应用行末尾的禁止图标。
- 你可以选择是否要告诉用户他们安装和授权的应用已被禁止。 通知会让用户知道应用将被禁用,并且他们无权访问连接的应用。 如果不希望他们知道,请在对话框中取消选择 “通知已授予此被禁止应用访问权限的用户 ”。
- 建议让应用用户知道其应用即将被禁止使用。
在“输入自定义通知消息”框中键入要发送给应用用户的消息。 选择“ 禁止应用 ”发送邮件,并禁止已连接的应用用户访问该应用。
若要批准应用,请选择表中行末尾的审批图标。
- 图标变为绿色,并且该应用已批准用于所有已连接的应用用户。
- 将应用标记为已批准时,对最终用户没有任何影响。 此颜色更改旨在帮助你查看已批准将其与尚未查看的应用分开的应用。
查询 OAuth 应用
可以在 “基本 ”视图或 “高级 ”视图中查询 OAuth 应用。 从一个或多个下拉列表中选择值,以在“基本”视图中显示特定应用。 在高级视图中,使用 “选择筛选器” 下拉列表缩小搜索范围。 向所选值添加运算符、等于或不等于运算符以完成查询。
选择 “添加筛选器” 图标以添加其他筛选器以进一步优化查询。 将自动应用筛选器并更新应用列表。
选择 筛选器旁边的“删除筛选器 ”图标以删除筛选器。
OAuth 应用审核
Defender for Cloud Apps审核所有 OAuth 授权活动,以提供对所执行活动的全面监视和调查。 还可以导出授权特定 OAuth 应用的用户的详细信息,为你提供有关用户的其他信息,然后可用于进一步分析。
若要导出日志,请执行以下步骤:
在“应用治理”页上的“Google”或“Salesforce”选项卡上,在相关应用的显示行的“授权者”下,选择显示授权应用的用户数的链接。
在弹出窗口中,选择“ 导出”。
发送反馈
如果组织中发现了看似恶意的 OAuth 应用,可以发送Defender for Cloud Apps团队反馈来告知我们。 借助此功能,你可以成为安全社区的一员,并增强 OAuth 应用风险评分和分析。
在“应用治理”页上的“Google”或“Salesforce”选项卡上,选择应用行末尾的三个点,然后选择“报表应用”。
在“报告此应用”屏幕中,可以选择是将应用报告为恶意应用,还是以Defender for Cloud Apps感知应用的方式报告其他问题。 例如,可以使用错误的发布者、不正确的权限或其他。 提交的数据将用于更新应用的风险评分和有关应用的其他分析。
后续步骤
如果你遇到任何问题,我们随时为你提供帮助。 若要获取有关产品问题的帮助或支持,请 开具支持票证。