visão geral Microsoft Entra métodos de autenticação de aplicativo
Namespace: microsoft.graph
Importante
As APIs na versão /beta no Microsoft Graph estão sujeitas a alterações. Não há suporte para o uso dessas APIs em aplicativos de produção. Para determinar se uma API está disponível na v1.0, use o seletor Versão.
Métodos de autenticação de aplicativo, como certificados e segredos de senha, permitem que os aplicativos adquiram tokens para acessar dados em Microsoft Entra ID. As políticas permitem que os administradores de TI imponham as melhores práticas de como os aplicativos em suas organizações usam esses métodos de autenticação de aplicativo. Por exemplo, um administrador pode configurar uma política para bloquear o uso ou limitar o tempo de vida dos segredos de senha e usar a data de criação do objeto para impor a política.
Essas políticas permitem que as organizações aproveitem os novos recursos de endurecimento de segurança do aplicativo. Ao impor restrições baseadas na data criada pelo aplicativo ou entidade de serviço, uma organização pode examinar sua postura de segurança de aplicativo atual, aplicativos de inventário e impor controles de acordo com seus agendamentos e necessidades de resourcing. Essa abordagem usando a data criada permite que a organização imponha a política para novos aplicativos e também a aplique a aplicativos existentes.
Há dois tipos de controles de política:
- Política padrão do locatário que se aplica a todos os aplicativos ou entidades de serviço.
- Políticas de gerenciamento de aplicativo (aplicativo ou entidade de serviço) que permitem a inclusão ou exclusão de aplicativos individuais da política padrão do locatário.
Política de gerenciamento de aplicativo padrão do locatário
Uma política padrão de locatário é um único objeto que sempre existe e é desabilitado por padrão. Ele é definido pelo recurso tenantAppManagementPolicy e impõe restrições em objetos de entidade de aplicativo versus serviço. Ele contém as duas propriedades a seguir:
- applicationRestrictions permite direcionar aplicativos de propriedade do locatário (objetos de aplicativo).
- servicePrincipalRestrictions permite o direcionamento provisionado de outro locatário (objetos da entidade de serviço.
Essas propriedades permitem que uma organização bloqueie o uso de credencial em aplicativos originados de seu locatário e forneça um mecanismo para controlar a adição de credencial em aplicativos provisionados externamente para protegê-los contra abusos de credenciais. O proprietário do aplicativo de um aplicativo multilocatário ainda poderia usar qualquer tipo de credenciais em seu objeto de aplicativo, mas a política protege apenas a entidade de serviço contra abusos de credencial.
Política de gerenciamento de aplicativos para aplicativos e entidades de serviço
As políticas de gerenciamento de aplicativos são definidas no recurso appManagementPolicy , que contém uma coleção de políticas com restrições variadas ou diferentes datas de execução do que é definido na política padrão do locatário. Uma dessas políticas pode ser atribuída a um aplicativo ou entidade de serviço, excluindo-as da política padrão do locatário.
Quando a política padrão do locatário e uma política de gerenciamento de aplicativos existem, a política de gerenciamento de aplicativos tem precedência e o aplicativo ou entidade de serviço atribuído não herda da política padrão do locatário. Somente uma política pode ser atribuída a um aplicativo ou entidade de serviço.
Observação
Nem as políticas padrão do locatário nem as políticas de gerenciamento de aplicativos bloqueiam a emissão de token para aplicativos existentes. Um aplicativo que não atende aos requisitos de política continuará funcionando até tentar atualizar o recurso para adicionar um novo segredo.
Quais restrições podem ser gerenciadas no Microsoft Graph?
A API de política de métodos de autenticação de aplicativo oferece as seguintes restrições:
| Nome da restrição | Descrição | Exemplos |
|---|---|---|
| passwordAddition | Restrinja segredos de senha em aplicativos completamente. | Bloquear novas senhas em aplicativos criados em ou após '01/01/2019'. |
| passwordLifetime | Imponha um intervalo máximo de tempo de vida para um segredo de senha. | Restrinja todos os novos segredos de senha a um máximo de 30 dias para aplicativos criados após 01/01/2015. |
| customPasswordAddition | Restrinja um segredo de senha personalizado no aplicativo ou na entidade de serviço. | Restrinja todos os novos segredos de senha personalizados (não Azure AD gerados) em aplicativos criados após 01/01/2015. |
| symmetricKeyAddition | Restrinja chaves simétricas em aplicativos. | Bloquear novas chaves simétricas em aplicativos criados em ou após 01/01/2019. |
| symmetricKeyLifetime | Imponha um intervalo máximo de tempo de vida para uma chave simétrica. | Restrinja todas as novas chaves simétricas a um máximo de 30 dias para aplicativos criados após 01/01/2019. |
| asymmetricKeyLifetime | Imponha um intervalo máximo de tempo de vida para uma chave assimétrica (certificado). | Restrinja todas as novas credenciais de chave assimétricas a um máximo de 30 dias para aplicativos criados após 01/01/2019. |
| trustedCertificateAuthority | Imponha a lista de autoridades de certificado confiáveis. | Bloqueie todas as novas credenciais de chave assimétricas se o emissor não estiver listado na lista de autoridades de certificado confiáveis. |
Observação
Todas as restrições de tempo de vida são expressas no formato de duração ISO-8601 (por exemplo: P4DT12H30M5S).
A aplicação da restrição customPasswordAddition bloqueará todos os módulos herdados do PowerShell que adicionam um segredo de senha gerado pelo cliente a aplicativos ou entidades de serviço. Essa restrição não bloqueia segredos de senha de aplicativo ou entidade de serviço gerados por Microsoft Entra ID.
Aplicativos únicos versus multilocatários
Dependendo se seu aplicativo é um único locatário ou aplicativo multilocatário, você aplicará a política em um aplicativo ou no objeto da entidade de serviço da seguinte maneira:
- Para aplicativos de locatário único, aplique a política ao objeto do aplicativo.
- Para restringir aplicativos multilocatários hospedados em um locatário do cliente, aplique a política ao objeto do aplicativo.
- Para restringir aplicativos multilocatário provisionados de outro locatário, aplique a política ao objeto da entidade de serviço.
Resumo das principais diferenças entre a política padrão do locatário e as políticas de gerenciamento de aplicativos
| Política padrão do locatário | Política de gerenciamento de aplicativos |
|---|---|
| A política sempre existe. | Objetos de política podem ser criados ou atualizados para substituir a política padrão. |
| As restrições são desabilitadas por padrão para aplicativo/SP. | Permite a personalização para locatário único ou vários locatários (aplicativo de backup em locatário doméstico ou aplicativos provisionados). |
| Permite apenas a definição de objeto de restrição única para todos os recursos. | Permite que vários objetos de política sejam definidos, mas apenas um pode ser aplicado a um recurso. |
| Permite a distinção de restrições para objetos de aplicativo versus entidades de serviço. | A política pode ser aplicada a um objeto de entidade de serviço ou aplicativo. |
| Aplica todas as restrições configuradas a todos os aplicativos ou entidades de serviço. | Aplica apenas as restrições configuradas na política de recursos ao aplicativo ou à entidade de serviço especificada e não herda da política padrão. |
Requisitos
- As funções de Microsoft Entra menos privilegiadas para gerenciamento de políticas de método de autenticação de aplicativo são Administrador de Aplicativos e Administrador de Aplicativos na Nuvem.
- Todas as operações de gerenciamento de política de aplicativo exigem uma licença premium ID de carga de trabalho do Microsoft Entra.
Próximas etapas
- tipo de recurso tenantAppManagementPolicy.
- tipo de recurso appManagementPolicy.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de