Erstellen einer App für den Zugriff auf Microsoft Defender for Endpoint ohne Benutzer

Wenn Sie APIs verwenden, benötigen Sie möglicherweise Zugriff auf Microsoft Defender for Endpoint ohne Benutzer. Sie können beispielsweise einen Dienst erstellen, der im Hintergrund ausgeführt wird und im Auftrag Ihrer organization mit Defender für Endpunkt interagiert. In diesem Fall müssen Sie eine Anwendung erstellen, die ohne Benutzer auf Defender für Endpunkt zugreifen kann.

Für den API-Zugriff ist die OAuth2.0-Authentifizierung erforderlich.

Voraussetzungen

Die rolle "Microsoft Entra" zum Erstellen einer App in Azure. Beispiel: Anwendungsadministrator.

Schritt 1: Erstellen einer App in Azure

Melden Sie sich beim Azure-Portal an.
Suchen Sie nach App-Registrierungen, und navigieren Sie zu App-Registrierungen.
Wählen Sie Neue Registrierung aus.
Wählen Sie einen Namen für Ihre Anwendung und dann Registrieren aus.
Navigieren Sie auf der Anwendungsseite zu Verwalten von > API-Berechtigungen > Berechtigungs-APIs > hinzufügen, die von meinem organization verwendet werden.
Suchen Sie auf der Seite API-Berechtigungen anfordern nach WindowsDefenderATP , und wählen Sie es aus.
Wählen Sie den erforderlichen Berechtigungstyp und dann Berechtigungen hinzufügen aus.
- Delegierte Berechtigungen : Melden Sie sich mit Ihrer App an, als wären Sie ein Benutzer.
- Anwendungsberechtigungen : Greifen Sie auf die API als Dienst zu.
Wählen Sie die entsprechenden Berechtigungen für Ihre App aus. Um zu ermitteln, welche Berechtigung Sie benötigen, sehen Sie sich den Abschnitt Berechtigungen in der API an, die Sie aufrufen. Im Folgenden zwei Beispiele:
- Um erweiterte Abfragen auszuführen, wählen Sie Erweiterte Abfragen ausführen aus.
- Um ein Gerät zu isolieren, wählen Sie Computer isolieren aus.
Wählen Sie Berechtigung hinzufügen aus.

Schritt 2: Hinzufügen eines Geheimnisses zu Ihrer App

In diesem Abschnitt wird die Authentifizierung Ihrer App mithilfe eines App-Geheimnisses beschrieben. Informationen zum Authentifizieren Ihrer App mithilfe eines Zertifikats finden Sie unter Erstellen eines selbstsignierten öffentlichen Zertifikats zum Authentifizieren Ihrer Anwendung.

Wählen Sie auf der Anwendungsseite Zertifikate & Geheimnisse>Neuer geheimer Clientschlüssel aus.
Fügen Sie im Bereich Geheimen Clientschlüssel hinzufügen eine Beschreibung und ein Ablaufdatum hinzu.
Klicken Sie auf Hinzufügen.
Kopieren Sie den Wert des von Ihnen erstellten Geheimnisses. Sie können diesen Wert nicht mehr abrufen, nachdem Sie die Seite verlassen haben.
Kopieren Sie auf der Übersichtsseite Ihrer App die Anwendungs-ID (Client-ID) und die Verzeichnis-ID (Mandant). Sie benötigen diese ID, um Ihre App zu authentifizieren.
Notieren Sie sich Ihre Anwendungs-ID und Ihre Mandanten-ID. Navigieren Sie auf der Anwendungsseite zu Übersicht , und kopieren Sie Folgendes.

Mehrinstanzenfähige Apps

Microsoft Defender for Endpoint Partner müssen ihre Apps als mehrinstanzenfähig festlegen. Legen Sie Ihre App als mehrinstanzenfähige App fest, wenn Sie eine App erstellen möchten, die in Mandanten mehrerer Kunden ausgeführt wird.

Navigieren Sie auf der Seite Ihrer Azure-App zu Authentifizierung verwalten>.
Fügen Sie eine Plattform hinzu.
Wählen Sie im Bereich Plattformen konfigurieren die Option Web aus.
Fügen Sie zu Umleitungs-URIs hinzuhttps://portal.azure.com, und wählen Sie Konfigurieren aus.
Wählen Sie in den Optionen Unterstützte Kontotypendie Option Konten in einem beliebigen Organisationsverzeichnis und dann Speichern aus.

Nachdem Sie Ihre App ausgeführt haben, muss sie in jedem Mandanten genehmigt werden, in dem Sie sie verwenden möchten. Dies liegt daran, dass Ihre Anwendung im Namen Ihres Kunden mit Defender für Endpunkt interagiert. Sie oder Ihr Kunde müssen den Zustimmungslink auswählen und Ihre App genehmigen. Erteilen Sie die Zustimmung zu einem Benutzer, der über Administratorrechte verfügt.

Hier erfahren Sie, wie Sie den Zustimmungslink erstellen. Ersetzen Sie durch 00000000-0000-0000-0000-000000000000 Ihre App-ID.

https://login.microsoftonline.com/common/oauth2/authorize?prompt=consent&client_id=00000000-0000-0000-0000-000000000000&response_type=code&sso_reload=true

Abrufen eines Zugriffstokens

In diesem Abschnitt werden einige Methoden zum Abrufen des Zugriffstokens Ihrer App aufgeführt.

# This script acquires the App Context Token and stores it in the variable $token for later use.
# Paste your Tenant ID, App ID, and App Secret (App key) into the quotes below.

$tenantId = '' ### Paste your tenant ID here
$appId = '' ### Paste your Application ID here
$appSecret = '' ### Paste your Application key here

$sourceAppIdUri = 'https://api.securitycenter.microsoft.com/.default'
$oAuthUri = "https://login.microsoftonline.com/$TenantId/oauth2/v2.0/token"
$authBody = [Ordered] @{
    scope = "$sourceAppIdUri"
    client_id = "$appId"
    client_secret = "$appSecret"
    grant_type = 'client_credentials'
}
$authResponse = Invoke-RestMethod -Method Post -Uri $oAuthUri -Body $authBody -ErrorAction Stop
$token = $authResponse.access_token
$token

Im folgenden Verfahren wird davon ausgegangen, dass Curl für Windows bereits auf Ihrem Computer installiert ist.

Öffnen Sie eine Eingabeaufforderung, und legen Sie auf Ihre Azure Anwendungs-ID festCLIENT_ID.
Legen Sie CLIENT_SECRET auf ihren Azure Anwendungsgeheimnis fest.
Legen Sie TENANT_ID auf die Azure Mandanten-ID des Kunden fest, der Ihre App für den Zugriff auf Defender für Endpunkt verwenden möchte.

Führen Sie den folgenden Befehl aus:

curl -i -X POST -H "Content-Type:application/x-www-form-urlencoded" -d "grant_type=client_credentials" -d "client_id=%CLIENT_ID%" -d "scope=https://securitycenter.onmicrosoft.com/windowsatpservice/.default" -d "client_secret=%CLIENT_SECRET%" "https://login.microsoftonline.com/%TENANT_ID%/oauth2/v2.0/token" -k

Die Antwort ähnelt dem folgenden Codeausschnitt:

 {"token_type":"Bearer","expires_in":3599,"ext_expires_in":0,"access_token":"eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIn <truncated> aWReH7P0s0tjTBX8wGWqJUdDA"}

Überprüfen des Tokens

Führen Sie die Schritte in diesem Abschnitt aus, um sicherzustellen, dass Sie das richtige Token erhalten haben. Sie können mehrere Anforderungen mit demselben Token senden. Das Token läuft in einer Stunde ab.

Kopieren Sie Ihr Token , und fügen Sie es in JWT ein, um es zu decodieren.
Überprüfen Sie, ob Sie einen Rollenanspruch mit den gewünschten Berechtigungen erhalten.

Verwenden des Tokens für den Zugriff auf Microsoft Defender for Endpoint-API

Wählen Sie die API aus, die Sie verwenden möchten.
Legen Sie den Autorisierungsheader in der Anforderung fest, die http Sie an Bearer {token}senden. Bearer ist das Autorisierungsschema.

Beispiel

In diesem Beispiel wird eine Anforderung zum Abrufen einer Liste von Warnungen mithilfe von C# gesendet.

var httpClient = new HttpClient();
var request = new HttpRequestMessage(HttpMethod.Get, "https://api.securitycenter.microsoft.com/api/alerts");
request.Headers.Authorization = new AuthenticationHeaderValue("Bearer", token);
var response = httpClient.SendAsync(request).GetAwaiter().GetResult();

Feedback

War diese Seite hilfreich?

Last updated on 2025-11-07