Registrieren von Anwendungen

  • Artikel

Das App-Registrierungsportalvon Microsoft Identity Platform ist der primäre Einstiegspunkt für Anwendungen, bei denen die Plattform zur Authentifizierung sowie für entsprechende Anforderungen verwendet werden soll. Wenn Sie als Entwickler Ihre Apps registrieren und konfigurieren, werden die Entscheidungen, die Sie treffen, bestimmen und beeinflussen, wie gut Ihre Anwendung den Zero Trust-Grundsätzen entspricht. Die effektive App-Registrierung berücksichtigt insbesondere die Grundsätze der Verwendung des Zugriffs mit geringsten Berechtigungen und geht von Sicherheitsverletzungen aus. In diesem Artikel erfahren Sie mehr über den Anwendungsregistrierungsprozess und dessen Anforderungen, um sicherzustellen, dass Ihre Apps einem Zero Trust-Ansatz für Sicherheit folgen.

Die Anwendungsverwaltung in Microsoft Entra ID (Microsoft Entra ID) ist der Prozess, mit dem Anwendungen in der Cloud sicher erstellt, konfiguriert, verwaltet und überwacht werden. Wenn Sie Ihre Anwendung in einem Microsoft Entra-Mandanten registrieren, konfigurieren Sie den sicheren Benutzerzugriff.

Microsoft Entra ID stellt Anwendungen nach Anwendungsobjekten und Dienstgrundsätzen dar. Abgesehen von einigen Ausnahmen handelt es sich bei Anwendungen um Anwendungsobjekte. Stellen Sie sich einen Dienstprinzipal als Instanz einer Anwendung vor, die auf ein Anwendungsobjekt verweist. Auf ein einzelnes Anwendungsobjekt kann über mehrere Dienstprinzipale in mehreren Verzeichnissen verwiesen werden.

Sie können Ihre Anwendung für die Verwendung von Microsoft Entra ID über drei Methoden konfigurieren: in Visual Studio, mithilfe der Microsoft Graph-API oder mithilfe von PowerShell. Es gibt Entwicklererfahrungen in Azure und im API-Explorer über Developer Centers hinweg. Verweisen Sie auf die erforderlichen Entscheidungen und Aufgaben für Developer- und IT Pro-Rollen , um sichere Anwendungen in der Microsoft Identity Platform zu erstellen und bereitzustellen.

Wer kann Anwendungen hinzufügen und registrieren

Administratoren und, sofern dies vom Mandanten genehmigt ist, können Benutzer und Entwickler Anwendungsobjekte erstellen, indem Sie Anwendungen im Azure-Portal registrieren. Standardmäßig können alle Benutzer in einem Verzeichnis Anwendungsobjekte registrieren, die sie entwickeln. Anwendungsobjektentwickler entscheiden, welche Anwendungen über die Zustimmung freigeben und Zugriff auf Organisationsdaten gewähren.

Wenn sich der erste Benutzer in einem Verzeichnis bei einer Anwendung anmeldet und seine Zustimmung erteilt, erstellt das System einen Dienstprinzipal im Mandanten, der alle Benutzerzustimmungsinformationen speichert. Microsoft Entra ID erstellt automatisch einen Dienstprinzipal für eine neu registrierte App im Mandanten, bevor sich ein Benutzer authentifiziert.

Nur globale Microsoft Entra-Administratoren können bestimmte Anwendungsaufgaben ausführen (z. B. Hinzufügen von Anwendungen aus dem App-Katalog und Konfigurieren von Anwendungen zur Verwendung des Anwendungsproxys).

Registrieren von Anwendungsobjekten

Als Entwickler registrieren Sie Ihre Apps, die die Microsoft Identity Platform verwenden. Registrieren Sie Ihre Apps im Azure-Portal oder durch Aufrufen von Microsoft Graph-Anwendungs-APIs. Nach der Registrierung Ihrer App erfolgt die Kommunikation zwischen der App und Microsoft Identity Plattform durch Senden von Anforderungen an den Endpunkt.

Möglicherweise verfügen Sie nicht über die Berechtigung zum Erstellen oder Ändern einer Anwendungsregistrierung. Wenn Administratoren Ihnen keine Berechtigungen zum Registrieren Ihrer Anwendungen erteilen, fragen Sie sie, wie Sie die erforderlichen Informationen zur App-Registrierung an sie übermitteln können.

Anwendungsregistrierungseigenschaften können die folgenden Komponenten enthalten.

  • Name, Logo und Herausgeber
  • Umleitungs-URIs
  • Geheimnisse (symmetrische und/oder asymmetrische Schlüssel für die Authentifizierung der Anwendung)
  • API-Abhängigkeiten (OAuth)
  • Veröffentlichte APIs/Ressourcen/Bereiche (OAuth)
  • App-Rollen für die rollenbasierte Zugriffssteuerung
  • Metadaten und Konfiguration für einmaliges Anmelden (Single Sign-On, SSO), Benutzerbereitstellung und Proxy

Ein erforderlicher Teil der App-Registrierung ist Ihre Auswahl von unterstützter Kontotypen, um zu definieren, wer Ihre App basierend auf dem Kontotyp des Benutzers verwenden kann. Microsoft Entra-Administratoren folgen dem Anwendungsmodell, um Anwendungsobjekte im Azure-Portal über die App-Registrierungen zu verwalten und Anwendungseinstellungen zu definieren, die dem Dienst mitteilen, wie Token für die Anwendung ausgegeben werden.

Während der Registrierung erhalten Sie die Identität Ihrer Anwendung: die Anwendungs-ID (Client)-ID. Ihre App verwendet ihre Client-ID jedes Mal, wenn sie eine Transaktion über die Microsoft Identity Platform durchführt.

Bewährte Methoden für die App-Registrierung

Befolgen Sie die bewährten Methoden für Anwendungseigenschaften, wenn Sie Ihre Anwendung in der Microsoft Entra-ID als kritischen Teil ihrer Geschäftsverwendung registrieren. Zielen Sie darauf ab, Ausfallzeiten oder Kompromittierungen zu verhindern, die sich auf die gesamte Organisation auswirken können. Die folgenden Empfehlungen helfen Ihnen, Ihre sichere Anwendung um Zero Trust-Grundsätze zu entwickeln.

  • Verwenden Sie die Checkliste für die Integration von Microsoft Identity Platform, um eine qualitativ hochwertige und sichere Integration sicherzustellen. Behalten Sie die Qualität und Sicherheit Ihrer App bei.
  • Definieren Sie Ihre Umleitungs-URLs ordnungsgemäß.. Verweisen Sie auf die Einschränkungen der Umleitungs-URI (Antwort-URL), um Kompatibilitäts- und Sicherheitsprobleme zu vermeiden.
  • Überprüfen Sie die Eigentümerschaft der in Ihrer App-Registrierung verwendeten Umleitungs-URIs und vermeiden Sie Domänenübernahmen.. Umleitungs-URLs sollten sich auf Domänen befinden, die Sie kennen und besitzen. Überprüfen und entfernen Sie regelmäßig unnötige und nicht verwendete URIs. Verwenden Sie keine URIs in Produktions-Apps, die nicht mit https beginnen.
  • Definieren und pflegen Sie immer App und Dienstprinzipalbesitzer für die in Ihrem Mandanten registrierten Apps.. Vermeiden Sie verwaiste Apps (Apps und Dienstprinzipale ohne zugewiesene Besitzer). Stellen Sie sicher, dass IT-Administratoren App-Besitzer während eines Notfalls problemlos und schnell identifizieren können. Halten Sie die Anzahl der App-Besitzer klein. Machen Sie es für ein kompromittiertes Benutzerkonto schwierig, mehrere Anwendungen zu beeinflussen.
  • Vermeiden Sie, die gleiche App-Registrierungfür mehrere Apps zu verwenden. Durch das Trennen von App-Registrierungen können Sie den Zugriff mit geringsten Berechtigungen aktivieren und die Auswirkungen während einer Verletzung verringern.
    • Verwenden Sie separate App-Registrierungen für Apps, die Benutzer und Apps anmelden, die Daten und Vorgänge über die API verfügbar machen (sofern nicht eng gekoppelt). Dieser Ansatz ermöglicht Berechtigungen für eine API mit höherer Berechtigung, wie z. B. Microsoft Graph und Anmeldeinformationen (z. B. geheime Schlüssel und Zertifikate), in einer Entfernung von Apps, die sich anmelden und mit Benutzern interagieren.
    • Verwenden Sie separate App-Registrierungen für Web-Apps und APIs. Mit diesem Ansatz wird sichergestellt, dass die Client-App diese nicht erbt, wenn die Web-API über einen höheren Satz von Berechtigungen verfügt.
  • Definieren Sie Ihre Anwendung nur bei Bedarf als mehrinstanzenfähige App. Mehrmandantenfähige Apps ermöglichen die Bereitstellung in anderen Mandanten, die nicht zu Ihnen gehören. Sie erfordern mehr Verwaltungsaufwand, um einen unerwünschten Zugriff zu filtern. Wenn Sie nicht beabsichtigen, Ihre App als mehrinstanzenfähige App zu entwickeln, beginnen Sie mit einem SignInAudience-Wert von AzureADMyOrg.

Nächste Schritte