Tworzenie aplikacji w celu uzyskania dostępu do Ochrona punktu końcowego w usłudze Microsoft Defender bez użytkownika

W przypadku korzystania z interfejsów API może być potrzebny dostęp do Ochrona punktu końcowego w usłudze Microsoft Defender bez użytkownika. Możesz na przykład utworzyć usługę, która działa w tle i wchodzi w interakcje z usługą Defender for Endpoint w imieniu organizacji. W takim przypadku musisz utworzyć aplikację, która będzie mogła uzyskiwać dostęp do usługi Defender for Endpoint bez użytkownika.

Dostęp do interfejsu API wymaga uwierzytelniania OAuth2.0.

Wymagania wstępne

Posiadanie roli Microsoft Entra do tworzenia aplikacji w Azure. Na przykład administrator aplikacji.

Krok 1. Tworzenie aplikacji w Azure

1. Zaloguj się do witryny Azure Portal.

2. Wyszukaj Rejestracje aplikacji i przejdź do Rejestracje aplikacji.

3. Wybierz pozycję Nowa rejestracja.

4. Wybierz nazwę aplikacji, a następnie wybierz pozycję Zarejestruj.

5. Na stronie aplikacji przejdź do obszaru Zarządzanie uprawnieniami > interfejsu API Dodawanie interfejsów > API uprawnień > używanych przez moją organizację.

6. Na stronie Żądania uprawnień interfejsu API wyszukaj pozycję WindowsDefenderATP i wybierz ją.

7. Wybierz wymagany typ uprawnień, a następnie wybierz pozycję Dodaj uprawnienia.

   • Uprawnienia delegowane — zaloguj się przy użyciu aplikacji tak, jakbyś był użytkownikiem.

   • Uprawnienia aplikacji — uzyskiwanie dostępu do interfejsu API jako usługi.

8. Wybierz odpowiednie uprawnienia dla aplikacji. Aby określić, którego uprawnienia potrzebujesz, zapoznaj się z sekcją Uprawnienia w wywoływanym interfejsie API. Oto dwa przykłady:

   • Aby uruchomić zaawansowane zapytania, wybierz pozycję Uruchom zapytania zaawansowane.

   • Aby wyizolować urządzenie, wybierz pozycję Izolowanie maszyny.

9. Wybierz pozycję Dodaj uprawnienie.

Krok 2. Dodawanie wpisu tajnego do aplikacji

W tej sekcji opisano uwierzytelnianie aplikacji przy użyciu wpisu tajnego aplikacji. Aby uwierzytelnić aplikację przy użyciu certyfikatu, zobacz Tworzenie certyfikatu publicznego z podpisem własnym w celu uwierzytelnienia aplikacji.

1. Na stronie aplikacji wybierz pozycję Certyfikaty & wpisy tajne>Nowy klucz tajny klienta.

2. W okienku Dodawanie wpisu tajnego klienta dodaj opis i datę wygaśnięcia.

3. Wybierz opcję Dodaj.

4. Skopiuj wartość utworzonego wpisu tajnego. Nie będzie można pobrać tej wartości po opuszczeniu strony.

5. Na stronie przeglądu aplikacji skopiuj identyfikator aplikacji (klienta) i identyfikator katalogu (dzierżawy). Ten identyfikator jest potrzebny do uwierzytelnienia aplikacji.

6. Zapisz identyfikator aplikacji i identyfikator dzierżawy. Na stronie aplikacji przejdź do pozycji Przegląd i skopiuj następujące elementy.

Aplikacje wielodostępne

Ochrona punktu końcowego w usłudze Microsoft Defender partnerzy muszą ustawić aplikacje na wielodostępne. Ustaw aplikację jako aplikację wielodostępną, jeśli planujesz utworzyć aplikację, która będzie uruchamiana w dzierżawach wielu klientów.

1. Na stronie aplikacji Azure przejdź do pozycji Zarządzanie uwierzytelnianiem>.

2. Dodaj platformę.

3. W okienku Konfigurowanie platform wybierz pozycję Sieć Web.

4. Dodaj https://portal.azure.com do identyfikatorów URI przekierowania i wybierz pozycję Konfiguruj.

5. Z opcji Obsługiwane typy kont wybierz pozycję Konta w dowolnym katalogu organizacyjnym i wybierz pozycję Zapisz.

Po uruchomieniu aplikacji należy ją zatwierdzić w każdej dzierżawie, w której zamierzasz z niej korzystać. Dzieje się tak, ponieważ aplikacja współdziała z usługą Defender for Endpoint w imieniu klienta. Ty lub Twój klient musisz wybrać link zgody i zatwierdzić aplikację. Wyrażaj zgodę z użytkownikiem, który ma uprawnienia administratora.

Poniżej przedstawiono sposób tworzenia linku zgody. Zastąp 00000000-0000-0000-0000-000000000000 ciąg identyfikatorem aplikacji.

https://login.microsoftonline.com/common/oauth2/authorize?prompt=consent&client_id=00000000-0000-0000-0000-000000000000&response_type=code&sso_reload=true

Uzyskiwanie tokenu dostępu

W tej sekcji przedstawiono kilka metod uzyskiwania tokenu dostępu aplikacji.

# This script acquires the App Context Token and stores it in the variable $token for later use.
# Paste your Tenant ID, App ID, and App Secret (App key) into the quotes below.

$tenantId = '' ### Paste your tenant ID here
$appId = '' ### Paste your Application ID here
$appSecret = '' ### Paste your Application key here

$sourceAppIdUri = 'https://api.securitycenter.microsoft.com/.default'
$oAuthUri = "https://login.microsoftonline.com/$TenantId/oauth2/v2.0/token"
$authBody = [Ordered] @{
    scope = "$sourceAppIdUri"
    client_id = "$appId"
    client_secret = "$appSecret"
    grant_type = 'client_credentials'
}
$authResponse = Invoke-RestMethod -Method Post -Uri $oAuthUri -Body $authBody -ErrorAction Stop
$token = $authResponse.access_token
$token

Weryfikowanie tokenu

Postępuj zgodnie z procedurą w tej sekcji, aby upewnić się, że masz prawidłowy token. Możesz wysłać więcej niż jedno żądanie z tym samym tokenem. Token wygasa za godzinę.

1. Skopiuj i wklej token do narzędzia JWT, aby go odkodować.

2. Sprawdź, czy otrzymasz oświadczenie dotyczące ról z żądanymi uprawnieniami.

Uzyskiwanie dostępu do interfejsu API Ochrona punktu końcowego w usłudze Microsoft Defender przy użyciu tokenu

1. Wybierz interfejs API , którego chcesz użyć.

2. Ustaw nagłówek autoryzacji w żądaniu wysyłam http do Bearer {token}usługi . Element nośny to schemat autoryzacji.

Przykład

Ten przykład wysyła żądanie uzyskania listy alertów przy użyciu języka C#.

var httpClient = new HttpClient();
var request = new HttpRequestMessage(HttpMethod.Get, "https://api.securitycenter.microsoft.com/api/alerts");
request.Headers.Authorization = new AuthenticationHeaderValue("Bearer", token);
var response = httpClient.SendAsync(request).GetAwaiter().GetResult();