Introducción a la API de métodos de autenticación de aplicaciones de Azure AD (versión preliminar)

Espacio de nombres: microsoft.graph

Importante

Las API de la /beta versión de Microsoft Graph están sujetas a cambios. No se admite el uso de estas API en aplicaciones de producción. Para determinar si una API está disponible en v1.0, use el selector de versiones.

Los métodos de autenticación de aplicaciones, como certificados y secretos de contraseña, permiten a las aplicaciones adquirir tokens para obtener acceso a los datos Azure Active Directory (Azure AD). Las directivas permiten a los administradores de TI aplicar procedimientos recomendados sobre cómo las aplicaciones de sus organizaciones usan estos métodos de autenticación de aplicaciones. Por ejemplo, un administrador puede configurar una directiva para bloquear el uso o limitar la duración de los secretos de contraseña y usar la fecha de creación del objeto para aplicar la directiva.

Estas directivas permiten a las organizaciones aprovechar las nuevas características de protección de seguridad de aplicaciones. Al aplicar restricciones basadas en la fecha de creación de la aplicación o la entidad de servicio, una organización puede revisar su posición actual de seguridad de la aplicación, las aplicaciones de inventario y aplicar controles según sus programaciones y necesidades de recursos. Este enfoque mediante la fecha de creación permite a la organización aplicar la directiva para las nuevas aplicaciones y aplicarla también a las aplicaciones existentes.

Hay dos tipos de controles de directiva:

  • Directiva predeterminada de inquilino que se aplica a todas las aplicaciones o entidades de servicio.
  • Directivas de administración de aplicaciones (entidad de servicio o de aplicación) que permiten la inclusión o exclusión de aplicaciones individuales de la directiva predeterminada del inquilino.

Directiva de administración de aplicaciones predeterminada del inquilino

Una directiva predeterminada de inquilino es un único objeto que siempre existe y está deshabilitado de forma predeterminada. Se define mediante el recurso tenantAppManagementPolicy y aplica restricciones en objetos de entidad de seguridad de aplicación frente a servicio. Contiene las dos propiedades siguientes:

  • applicationRestrictions permite dirigir aplicaciones propiedad del inquilino (objetos de aplicación).
  • servicePrincipalRestrictions permite la segmentación aprovisionada desde otro inquilino (objetos de entidad de servicio.

Estas propiedades permiten a la organización bloquear las aplicaciones que se originan en un inquilino o aumentar la barra de calidad de las aplicaciones que se aprovisionan desde fuera del límite del espacio empresarial.

Directiva de administración de aplicaciones para aplicaciones y entidades de servicio

Las directivas de administración de aplicaciones se definen en el recurso appManagementPolicy, que contiene una colección de directivas con restricciones variables o fechas de aplicación diferentes de las definidas en la directiva predeterminada de inquilino. Una de estas directivas se puede asignar a una aplicación o entidad de servicio, excluyendolas de la directiva predeterminada del espacio empresarial.

Cuando existen tanto la directiva predeterminada de inquilino como una directiva de administración de aplicaciones, la directiva de administración de aplicaciones tiene prioridad y la aplicación o entidad de servicio asignada no hereda de la directiva predeterminada del inquilino. Solo se puede asignar una directiva a una aplicación o entidad de servicio.

Nota

Ni las directivas predeterminadas de inquilino ni las directivas de administración de aplicaciones bloquean la emisión de tokens para las aplicaciones existentes. Una aplicación que no cumpla los requisitos de directiva seguirá funcionando hasta que intente actualizar el recurso para agregar un nuevo secreto.

¿Qué restricciones se pueden administrar en Microsoft Graph?

La API de directiva de métodos de autenticación de aplicaciones ofrece las siguientes restricciones:

Nombre de restricción Descripción Ejemplos
passwordAddition Restringir los secretos de contraseña en las aplicaciones por completo. Bloquear nuevas contraseñas en aplicaciones creadas en o después del "01/01/2019".
passwordLifetime Exigir un intervalo máximo de duración para un secreto de contraseña. Restrinja todos los secretos de contraseña nuevos a un máximo de 30 días para las aplicaciones creadas después del "01/01/2019".

Aplicaciones individuales y multiinquilino

En función de si la aplicación es un único inquilino o una aplicación multianual, se aplica la directiva en una aplicación o en el objeto de entidad de seguridad de servicio de la siguiente manera:

  • Para aplicaciones de inquilino único, aplique la directiva al objeto de aplicación.
  • Para restringir las aplicaciones multiinquilino que se alojan en un inquilino de cliente, aplique la directiva al objeto de aplicación.
  • Para restringir las aplicaciones multiinquilino aprovisionadas desde otro inquilino, aplique la directiva al objeto de entidad de servicio.

Resumen de las diferencias clave entre la directiva predeterminada de inquilino y las directivas de administración de aplicaciones

Directiva predeterminada de inquilino Directiva de administración de aplicaciones
La directiva siempre existe. Los objetos de directiva se pueden crear o actualizar para invalidar la directiva predeterminada.
Las restricciones están deshabilitadas de forma predeterminada para app/SP. Permite la personalización para un único inquilino o multiinquilino (aplicación de respaldo en el inquilino principal o aplicaciones aprovisionadas).
Permite solo la definición de objeto de restricción única para todos los recursos. Permite definir varios objetos de directiva, pero solo se puede aplicar uno a un recurso.
Permite distinguir las restricciones de los objetos de aplicación frente a las entidades de servicio. La directiva se puede aplicar a una aplicación o a un objeto de entidad de servicio.
Aplica todas las restricciones configuradas a todas las aplicaciones o entidades de servicio. Aplica solo las restricciones configuradas en la directiva de recursos a la entidad de seguridad de servicio o aplicación especificada y no hereda de la directiva predeterminada.

Pasos siguientes