Отключение корпоративного приложения

Отключение корпоративного приложения предоставляет обратимый способ предотвратить доступ этого приложения к защищенным ресурсам без его окончательного удаления из вашего арендатора. При деактивации приложения он немедленно останавливает получение новых маркеров доступа, но существующие маркеры остаются действительными до истечения срока их действия. Этот подход полезен для расследований безопасности, временной приостановки подозрительных приложений или при необходимости поддерживать данные конфигурации приложений.

В отличие от окончательного удаления приложения, деактивация сохраняет все метаданные приложения, разрешения и параметры конфигурации, что упрощает повторную активацию приложения при необходимости. Приложение остается видимым в списке корпоративных приложений вашего клиента, но пользователи не могут войти и новые маркеры не выдаются.

В этой статье показано, как отключить корпоративное приложение, просмотреть деактивированные приложения и повторно активировать их при необходимости.

Предпосылки

Прежде чем деактивировать приложение, убедитесь, что выполнены следующие требования:

• Одна из следующих ролей Microsoft Entra:
  • Администратор облачных приложений
  • Администратор приложений
• Следующие разрешения API при использовании Microsoft Graph:
  • Application.ReadWrite.All (делегирование или приложение)
  • Application.ReadWrite.OwnedBy (только для собственных приложений)

Общие сведения о деактивации приложения

При деактивации приложения происходит следующее поведение:

• Немедленные эффекты:

  • Новые запросы маркера доступа отклонены
  • Пользователи не могут войти в приложение
  • Приложение не может получить доступ к защищенным ресурсам с новыми маркерами

• Сохраненные элементы:

  • Существующие маркеры доступа остаются действительными до истечения срока их существования
  • Конфигурация приложения, разрешения и метаданные сохраняются
  • Приложение остается видимым в списке корпоративных приложений
  • Объект субъекта-службы поддерживается в клиенте

Когда пользователи пытаются войти в деактивированное приложение, они получают сообщение об ошибке, указывающее, что приложение отключено его владельцем. Это отличается от других сообщений об ошибках, таких как недопустимые учетные данные или отказ в доступе.

Сравнение с другими параметрами

Приложения и учетные записи служб Microsoft Entra можно ограничить использование четырьмя способами:

• Свойство isDisabled (деактивация) устанавливается для приложений, которые были отключены глобально владельцем приложения или администратором.
• Свойство disabledByMicrosoftStatus (отключено корпорацией Майкрософт) установлено для приложений, которые были отключены глобально корпорацией Майкрософт.
• Свойство accountEnabled (отключение входа) устанавливается для субъектов-служб, отключенных в клиенте владельцем приложения или администратором.
• Операция DELETE (удаление) выполняется в отношении приложений или субъектов-служб владельцем приложения или администратором.

В следующей таблице подробно описаны различные подходы.

Отключение приложения

Чтобы отключить приложение с помощью API Microsoft Graph, необходимо по крайней мере роль администратора облачных приложений .

1. Отключение приложения

   PATCH https://graph.microsoft.com/beta/applications/{applicationObjectId}
   Content-Type: application/json
   
   {
       "isDisabled": true
   }
   

2. Проверка деактивации

   GET https://graph.microsoft.com/beta/applications/{applicationObjectId}
   

   Ответ включает в себя "isDisabled": true.

Просмотр деактивированных приложений

1. Вывод списка всех деактивированных приложений

   GET https://graph.microsoft.com/beta/applications?$filter=isDisabled eq true
   

2. Получить определенный статус приложения

   GET https://graph.microsoft.com/beta/applications/{applicationObjectId}?$select=displayName,isDisabled,appId
   

Изучение деактивированных приложений

При обработке деактивированных приложений выполните тщательное исследование, проверив конфигурацию приложения, включая разрешения API, параметры проверки подлинности, сертификаты и журналы входа. Задокументируйте свои выводы тщательно, отметив причину деактивации, любые подозрительные действия или проблемы безопасности, затронутые пользователи и зависимости, которые могут повлиять на вашу организацию.

На основе расследования выполните соответствующие действия, такие как эскалация в группах безопасности, если компрометация подозревается, удаление ненужных разрешений перед повторной активацией или обновление конфигурации приложения для устранения выявленных проблем безопасности. Если приложение больше не требуется или представляет текущие риски безопасности, рассмотрите возможность постоянного удаления вместо повторной активации.

Повторная активация приложения

Чтобы повторно активировать приложение с помощью API Microsoft Graph, необходимо по крайней мере роль администратора приложений .

1. Повторная активация приложения

   PATCH https://graph.microsoft.com/v1.0/applications/{application-id}
   Content-Type: application/json
   
   {
       "isDisabled": false
   }
   

2. Проверка повторной активации

   GET https://graph.microsoft.com/v1.0/applications/{application-id}?$select=displayName,isDisabled
   

   В ответе показано "isDisabled": false.

Предотвращение повторной активации неадминистраторами

Прежде чем деактивировать приложение, удалите всех владельцев из приложения. Это гарантирует, что только пользователи с областью действия microsoft.directory/applications/enable клиента могут повторно активировать приложение. Эта область ограничена административными ролями. Эта область ограничена административными ролями.

Связанный контент

• Удалите корпоративное приложение для его окончательного удаления
• Отключение входа пользователя для блокировки конкретного арендатора
• Восстановление корпоративного приложения из корзины
• Мониторинг использования приложений с помощью журналов аудита