Ansichten:
Advact Logo



Knowledgebase

Berechtigungen in GraphAPI für Phishing-Reporter 3.0

Der Phishing-Reporter 3.0 weist bei der Installation oder bei einem Update (jeweils Import der XML Datei) die benötigen Berechtigungen transparent aus. Der Phishing-Reporter greift wie von Microsoft vorgesehen auf die Graph API zu, um das verdächtige E-Mail zu laden und zu löschen. Damit alles funktioniert sind entsprechende Berechtigungen nötig.

advact setzt in der gesamten Infrastruktur auf least privilege und versucht die Berechtigungen bestmöglichst einzuschränken. So auch beim Phishing-Reporter 3.0. 

Die unten beschriebenen Berechtigungen sind bereits beim Phishing-Reporter 2.0 vorhanden. Dieser greift allerdings über die REST, respektive EWS Schnittstelle auf die E-Mails zu. Die nötigen Berechtigungen werden dort nicht so transparent ausgewiesen wie in der Graph API mit dem Reporter 3.0.

Delegated Permissions

advact setzt auf "delegated permissions" anstelle von "app permissions". Delegated Permissions können nur "im Namen eines angemeldeten Benutzers" agieren. Wenn ein Benutzer den Phishing-Reporter öffnet, wird der Benutzer bei Microsoft authentisiert und der Phishing-Reporter erhält ein Token, mit welchem er auf die Graph API im Namen des Benutzers und mit den definierten Berechtigungen zugreifen kann. Diese Tokens sind nur für kurze Zeit gültig und werden von advact nicht gespeichert.

Der Phishing-Reporter oder advact AG selbst, können die Berechtigungen nicht "im Hintergrund" (ohne Aktion eines Benutzers/einer Benutzerin) verwenden. Nur durch die Benutzerinteraktion mit dem Phishing-Reporter werden die Berechtigungen für kurze Zeit aktiv.

Mehr Informationen zu delegated permissions vs. app permissions finden Sie hier: https://learn.microsoft.com/en-us/entra/identity-platform/permissions-consent-overview 

Entra ID App bei advact

Die Berechtigungen werden - wie von Microsoft vorgegeben - über eine Entra ID App im advact Tenant gesteuert. Kunden müssen keine App registrieren und es müssen auch keine Secrets oder Zertifikate ausgetauscht werden. Mehr Informationen zur Funktionalität dieser Entra ID App finden Sie hier: https://learn.microsoft.com/en-us/graph/auth-register-app-v2.

Nötige Berechtigungen

Nachfolgend sind die nötigen Berechtigungen kurz beschrieben:

openid, user.read.all, profile

Dabei handelt es sich um Berechtigungen für das Anmelden eines Benutzers und das Auslesen von Informationen zum Benutzer (zum Beispiel die E-Mail Adresse des Benutzers).

mail.readwrite, mail.readwrite.shared

Diese Berechtigungen sind nötig, damit der Phishing-Reporter die verdächtige E-Mail über die Graph API abrufen kann. Dabei können sowohl die eigenen E-Mails, wie auch E-Mails in Shared Mailboxen, auf welche der Benutzer Zugriff hat, abgerufen werden. Die Schreibberechtigung (write) wird benötigt, damit die verdächtige E-Mail vollständig aus der Mailbox des Benutzers (oder der shared Mailbox) gelöscht werden kann.

mail.send, mail.send.shared 

Diese Berechtigung ist nur dann nötig, wenn der Kunde Extract einsetzt, oder wenn die verdächtige E-Mail zusätzlich an eine oder mehrere Mailboxen beim Kunden (oder dessen IT Partner/SOC) gesandt werden sollen. Dies erlaubt es dem Phishing-Reporter im Namen des Benutzers oder einer Shared Mailbox eine E-Mail zu versenden

Keywords: least privilege, permissions, reporter 3.0, graph api