مشاركة عبر

الوصول إلى واجهة برمجة تطبيقات Microsoft Defender for Cloud Apps مع سياق المستخدم

  • مقالة

توضح هذه الصفحة كيفية إنشاء تطبيق للحصول على وصول برمجي إلى Defender for Cloud Apps نيابة عن مستخدم.

إذا كنت بحاجة إلى الوصول البرمجي Microsoft Defender for Cloud Apps بدون مستخدم، فراجع Access Microsoft Defender for Cloud Apps مع سياق التطبيق.

إذا لم تكن متأكدا من الوصول الذي تحتاجه، فاقرأ صفحة المقدمة.

تعرض Microsoft Defender for Cloud Apps الكثير من بياناتها وإجراءاتها من خلال مجموعة من واجهات برمجة التطبيقات البرمجية. تمكنك واجهات برمجة التطبيقات هذه من أتمتة تدفقات العمل والابتكار استنادا إلى قدرات Microsoft Defender for Cloud Apps. يتطلب الوصول إلى واجهة برمجة التطبيقات مصادقة OAuth2.0. لمزيد من المعلومات، راجع تدفق رمز التخويل OAuth 2.0.

بشكل عام، تحتاج إلى اتخاذ الخطوات التالية لاستخدام واجهات برمجة التطبيقات:

  • إنشاء تطبيق Microsoft Entra
  • الحصول على رمز مميز للوصول باستخدام هذا التطبيق
  • استخدام الرمز المميز للوصول إلى Defender for Cloud Apps API

تشرح هذه الصفحة كيفية إنشاء تطبيق Microsoft Entra، والحصول على رمز مميز للوصول إلى Microsoft Defender for Cloud Apps والتحقق من صحة الرمز المميز.

ملاحظة

عند الوصول إلى Microsoft Defender for Cloud Apps API نيابة عن مستخدم، ستحتاج إلى إذن التطبيق الصحيح وإذن المستخدم. إذا لم تكن على دراية بأذونات المستخدم على Microsoft Defender for Cloud Apps، فشاهد إدارة وصول المسؤول.

تلميح

إذا كان لديك الإذن لتنفيذ إجراء في المدخل، فلديك الإذن لتنفيذ الإجراء في واجهة برمجة التطبيقات.

إنشاء تطبيق

  1. في مركز مسؤولي Microsoft Entra، سجل تطبيقا جديدا. لمزيد من المعلومات، راجع التشغيل السريع: تسجيل تطبيق مع مركز مسؤولي Microsoft Entra.

  2. عند ظهور صفحة تسجيل تطبيق ، أدخل معلومات تسجيل التطبيق الخاص بك:

    • الاسم - أدخل اسم تطبيق ذي معنى يتم عرضه لمستخدمي التطبيق.

    • أنواع الحسابات المدعومة - حدد الحسابات التي تريد أن يدعمها تطبيقك.

      أنواع الحسابات المدعومة الوصف
      الحسابات في هذا الدليل التنظيمي فقط حدد هذا الخيار إذا كنت تقوم بإنشاء تطبيق خط عمل (LOB). لا يتوفر هذا الخيار إذا كنت لا تسجل التطبيق في دليل.

      يعين هذا الخيار إلى مستأجر واحد Microsoft Entra فقط.

      هذا هو الخيار الافتراضي ما لم تكن تسجل التطبيق خارج الدليل. في الحالات التي يتم فيها تسجيل التطبيق خارج دليل، يكون الافتراضي هو Microsoft Entra حسابات Microsoft متعددة المستأجرين والشخصية.
      الحسابات في أي دليل تنظيمي حدد هذا الخيار إذا كنت ترغب في استهداف جميع عملاء الأعمال والتعليم.

      يتم تعيين هذا الخيار إلى Microsoft Entra متعدد المستأجرين فقط.

      إذا قمت بتسجيل التطبيق كمستأجر واحد Microsoft Entra فقط، يمكنك تحديثه ليكون Microsoft Entra متعدد المستأجرين والعودة إلى مستأجر واحد من خلال جزء المصادقة.
      الحسابات في أي دليل تنظيمي وحسابات Microsoft الشخصية حدد هذا الخيار لاستهداف أوسع مجموعة من العملاء.

      يعين هذا الخيار Microsoft Entra حسابات Microsoft متعددة المستأجرين والشخصية.

      إذا قمت بتسجيل التطبيق كحسابات Microsoft متعددة المستأجرين وشخصية Microsoft Entra، فلا يمكنك تغيير ذلك في واجهة المستخدم. بدلا من ذلك، يجب استخدام محرر بيان التطبيق لتغيير أنواع الحسابات المدعومة.

    • إعادة توجيه URI (اختياري) - حدد نوع التطبيق الذي تقوم بإنشاءه أو **Web أو العميل العام (الجوال & سطح المكتب)، ثم أدخل عنوان URI لإعادة التوجيه (أو عنوان URL للرد) لتطبيقك.

      • بالنسبة لتطبيقات الويب، قم بتوفير عنوان URL الأساسي لتطبيقك. على سبيل المثال، http://localhost:31544 قد يكون عنوان URL لتطبيق ويب يعمل على جهازك المحلي. سيستخدم المستخدمون عنوان URL هذا لتسجيل الدخول إلى تطبيق عميل ويب.
      • بالنسبة لتطبيقات العميل العامة، قم بتوفير URI المستخدم من قبل Microsoft Entra ID لإرجاع استجابات الرمز المميز. أدخل قيمة خاصة بتطبيقك، مثل myapp://auth.

      للاطلاع على أمثلة محددة لتطبيقات الويب أو التطبيقات الأصلية، راجع عمليات التشغيل السريع الخاصة بنا.

      عند الانتهاء، حدد Register.

  3. السماح للتطبيق الخاص بك بالوصول إلى Microsoft Defender for Cloud Apps وتعيين إذن "قراءة التنبيهات":

    • في صفحة التطبيق، حدد أذونات واجهة برمجة التطبيقات إضافة واجهات> برمجة تطبيقاتالأذونات>التي تستخدمها> مؤسستي اكتب Microsoft أمان التطبيقات على السحابة ثم حدد Microsoft أمان التطبيقات على السحابة.

    • ملاحظة: لا يظهر Microsoft أمان التطبيقات على السحابة في القائمة الأصلية. ابدأ بكتابة اسمه في مربع النص لرؤيتها تظهر. تأكد من كتابة هذا الاسم، على الرغم من أن المنتج يسمى الآن Defender for Cloud Apps.

      لقطة شاشة لإضافة أذونات.

    • اختر التحقيق في الأذونات المفوضة.اقرأ>> حدد إضافة أذونات

      لقطة شاشة لإضافة أذونات التطبيق.

    • ملاحظة هامة: حدد الأذونات ذات الصلة. التحقيق.القراءة هي مثال فقط. للحصول على نطاقات الأذونات الأخرى، راجع نطاقات الأذونات المدعومة

      • لتحديد الإذن الذي تحتاجه، اعرض قسم الأذونات في واجهة برمجة التطبيقات التي ترغب في الاتصال بها.

    • حدد منح موافقة المسؤول

      ملاحظة: في كل مرة تضيف فيها إذنا، يجب تحديد منح موافقة المسؤول حتى يصبح الإذن الجديد ساري المفعول.

      لقطة شاشة لمنح أذونات المسؤول.

  4. اكتب معرف التطبيق ومعرف المستأجر الخاص بك:

    • في صفحة التطبيق، انتقل إلى نظرة عامة وانسخ المعلومات التالية:

      لقطة شاشة لمعرف التطبيق الذي تم إنشاؤه.

نطاقات الأذونات المدعومة

اسم الإذن الوصف الإجراءات المدعومة
التحقيق.القراءة تنفيذ جميع الإجراءات المدعومة على الأنشطة والتنبيهات باستثناء إغلاق التنبيهات.
عرض نطاقات IP ولكن لا يمكنك إضافتها أو تحديثها أو حذفها.

تنفيذ جميع إجراءات الكيانات.		 قائمة الأنشطة والإحضار والملاحظات
قائمة التنبيهات، الإحضار، وضع علامة كمقروءة/غير مقروءة
قائمة الكيانات، والإحضار، وجلب الشجرة
قائمة الشبكة الفرعية
التحقيق.الإدارة تنفيذ جميع إجراءات investigation.read بالإضافة إلى إدارة التنبيهات ونطاقات IP. قائمة الأنشطة والإحضار والملاحظات
قائمة التنبيهات، الإحضار، وضع علامة كمقروء/غير مقروء، إغلاق
قائمة الكيانات، والإحضار، وجلب الشجرة
قائمة الشبكة الفرعية، إنشاء/تحديث/حذف
Discovery.read تنفيذ جميع الإجراءات المدعومة على الأنشطة والتنبيهات باستثناء إغلاق التنبيهات.
سرد تقارير الاكتشاف والفئات.		 قائمة التنبيهات، الإحضار، وضع علامة كمقروءة/غير مقروءة
تقارير قائمة الاكتشافات وفئات تقارير القوائم
Discovery.manage أذونات Discovery.read
إغلاق التنبيهات وتحميل ملفات الاكتشاف وإنشاء برامج نصية للكتلة		 قائمة التنبيهات، الإحضار، وضع علامة كمقروء/غير مقروء، إغلاق
تقارير قائمة الاكتشافات وفئات تقارير القوائم
اكتشاف تحميل الملفات وإنشاء برنامج نصي للكتلة
الإعدادات.القراءة سرد نطاقات IP. قائمة الشبكة الفرعية
Settings.manage سرد نطاقات IP وإدارتها. قائمة الشبكة الفرعية، إنشاء/تحديث/حذف

الحصول على رمز مميز للوصول

لمزيد من المعلومات حول الرموز المميزة Microsoft Entra، راجع البرنامج التعليمي Microsoft Entra

استخدام C#‎

  • انسخ/الصق الفئة التالية في التطبيق الخاص بك.
  • استخدم أسلوب AcquireUserTokenAsync مع معرف التطبيق ومعرف المستأجر والمصادقة للحصول على رمز مميز.

ملاحظة

بينما يوضح نموذج التعليمات البرمجية التالي كيفية الحصول على رمز مميز باستخدام تدفق اسم المستخدم وكلمة المرور، توصي Microsoft باستخدام تدفقات مصادقة أكثر أمانا في بيئة إنتاج.

namespace MDA
{
    using System.Net.Http;
    using System.Text;
    using System.Threading.Tasks;
    using Newtonsoft.Json.Linq;

    public static class MDAUtils
    {
        private const string Authority = "https://login.microsoftonline.com";

        private const string MDAId = "05a65629-4c1b-48c1-a78b-804c4abdd4af";
        private const string Scope = "Investigation.read";

        public static async Task<string> AcquireUserTokenAsync(string username, string password, string appId, string tenantId)
        {
            using (var httpClient = new HttpClient())
            {
                var urlEncodedBody = $"scope={MDAId}/{Scope}&client_id={appId}&grant_type=password&username={username}&password={password}";

                var stringContent = new StringContent(urlEncodedBody, Encoding.UTF8, "application/x-www-form-urlencoded");

                using (var response = await httpClient.PostAsync($"{Authority}/{tenantId}/oauth2/token", stringContent).ConfigureAwait(false))
                {
                    response.EnsureSuccessStatusCode();

                    var json = await response.Content.ReadAsStringAsync().ConfigureAwait(false);

                    var jObject = JObject.Parse(json);

                    return jObject["access_token"].Value<string>();
                }
            }
        }
    }
}

التحقق من صحة الرمز المميز

تحقق للتأكد من حصولك على رمز مميز صحيح:

  • انسخ/الصق في JWT الرمز المميز الذي حصلت عليه في الخطوة السابقة من أجل فك ترميزه

  • تحقق من حصولك على مطالبة "scp" مع أذونات التطبيق المطلوبة

  • في لقطة الشاشة أدناه، يمكنك مشاهدة رمز مميز تم فك ترميزه تم الحصول عليه من التطبيق في البرنامج التعليمي:

    لقطة شاشة للتحقق من صحة الرمز المميز.

استخدم الرمز المميز للوصول إلى واجهة برمجة تطبيقات Microsoft Defender for Cloud Apps

  • اختر واجهة برمجة التطبيقات التي تريد استخدامها. لمزيد من المعلومات، راجع Defender for Cloud Apps API.

  • تعيين عنوان التخويل في طلب HTTP الذي ترسله إلى "Bearer {token}" (Bearer هو نظام التخويل)

  • وقت انتهاء صلاحية الرمز المميز هو ساعة واحدة (يمكنك إرسال أكثر من طلب واحد بنفس الرمز المميز)

  • مثال على إرسال طلب للحصول على قائمة بالتنبيهات باستخدام C#‎

    var httpClient = new HttpClient();

var request = new HttpRequestMessage(HttpMethod.Get, "https://portal.cloudappsecurity.com/cas/api/v1/alerts/");

request.Headers.Authorization = new AuthenticationHeaderValue("Bearer", token);

var response = httpClient.SendAsync(request).GetAwaiter().GetResult();

// Do something useful with the response

راجع أيضًا