Microsoft Entra introducción a la API de métodos de autenticación de aplicaciones
Espacio de nombres: microsoft.graph
Los métodos de autenticación de aplicaciones, como certificados y secretos de contraseña, permiten a las aplicaciones adquirir tokens para acceder a los datos de Microsoft Entra ID. Las directivas permiten a los administradores de TI aplicar los procedimientos recomendados para la forma en que las aplicaciones de sus organizaciones usan estos métodos de autenticación de aplicaciones. Por ejemplo, un administrador podría configurar una directiva para bloquear el uso o limitar la duración de los secretos de contraseña y usar la fecha de creación del objeto para aplicar la directiva.
Estas directivas permiten a las organizaciones aprovechar las nuevas características de protección de seguridad de aplicaciones. Al aplicar restricciones basadas en la fecha de creación de la aplicación o entidad de servicio, una organización puede revisar su posición actual de seguridad de la aplicación, las aplicaciones de inventario y aplicar controles según sus programaciones y necesidades de recursos. Este enfoque mediante la fecha de creación permite a la organización aplicar la directiva para nuevas aplicaciones y también aplicarla a las aplicaciones existentes.
Hay dos tipos de controles de directiva:
- Directiva predeterminada del inquilino que se aplica a todas las aplicaciones o entidades de servicio.
- Directivas de administración de aplicaciones (aplicación o entidad de servicio) que permiten la inclusión o exclusión de aplicaciones individuales de la directiva predeterminada del inquilino.
Directiva de administración de aplicaciones predeterminada del inquilino
Una directiva predeterminada de inquilino es un único objeto que siempre existe y está deshabilitado de forma predeterminada. Se define mediante el recurso tenantAppManagementPolicy y aplica restricciones en los objetos de aplicación y entidad de servicio. Contiene las dos propiedades siguientes:
- applicationRestrictions permite dirigirse a aplicaciones propiedad del inquilino (objetos de aplicación).
- servicePrincipalRestrictions permite el aprovisionamiento de destino desde otro inquilino (objetos de entidad de servicio.
Estas propiedades permiten a una organización bloquear el uso de credenciales en las aplicaciones que se originan en su inquilino y proporcionar un mecanismo para controlar la adición de credenciales en aplicaciones aprovisionadas externamente para protegerlas del abuso de credenciales. El propietario de la aplicación de una aplicación multiinquilino podría seguir usando cualquier tipo de credenciales en su objeto de aplicación, pero la directiva solo protege a la entidad de servicio del abuso de credenciales.
Directiva de administración de aplicaciones para aplicaciones y entidades de servicio
Las directivas de administración de aplicaciones se definen en el recurso appManagementPolicy , que contiene una colección de directivas con restricciones variables o fechas de cumplimiento diferentes de las definidas en la directiva predeterminada del inquilino. Una de estas directivas se puede asignar a una aplicación o entidad de servicio, excluidas de la directiva predeterminada del inquilino.
Cuando existe la directiva predeterminada del inquilino y una directiva de administración de aplicaciones, la directiva de administración de aplicaciones tiene prioridad y la aplicación o entidad de servicio asignada no hereda de la directiva predeterminada del inquilino. Solo se puede asignar una directiva a una aplicación o entidad de servicio.
Nota:
Ni las directivas predeterminadas del inquilino ni las directivas de administración de aplicaciones bloquean la emisión de tokens para las aplicaciones existentes. Una aplicación que no cumpla los requisitos de directiva seguirá funcionando hasta que intente actualizar el recurso para agregar un nuevo secreto.
¿Qué restricciones se pueden administrar en Microsoft Graph?
La API de directiva de métodos de autenticación de aplicaciones ofrece las siguientes restricciones:
| Nombre de restricción | Descripción | Ejemplos |
|---|---|---|
| passwordAddition | Restrinja completamente los secretos de contraseña en las aplicaciones. | Bloquee las contraseñas nuevas en las aplicaciones creadas en o después de '01/01/2019'. |
| passwordLifetime | Aplicar un intervalo de duración máximo para un secreto de contraseña. | Restrinja todos los nuevos secretos de contraseña a un máximo de 30 días para las aplicaciones creadas después del 01/01/2015. |
| customPasswordAddition | Restringir un secreto de contraseña personalizado en la aplicación o la entidad de servicio. | Restrinja todos los nuevos secretos de contraseña personalizados en las aplicaciones creadas después del 01/01/2015. |
| symmetricKeyAddition | Restringir las claves simétricas en las aplicaciones. | Bloquee las nuevas claves simétricas en las aplicaciones creadas en o después del 01/01/2019. |
| symmetricKeyLifetime | Aplicar un intervalo de duración máximo para una clave simétrica. | Restrinja todas las claves simétricas nuevas a un máximo de 30 días para las aplicaciones creadas después del 01/01/2019. |
| asymmetricKeyLifetime | Aplicar un intervalo de duración máxima para una clave asimétrica (certificado). | Restrinja todas las credenciales de clave asimétrica nuevas a un máximo de 30 días para las aplicaciones creadas después del 01/01/2019. |
Nota:
Todas las restricciones de duración se expresan en formato de duración ISO-8601 (por ejemplo, P4DT12H30M5S). La restricción de la restricción customPasswordAddition bloqueará los módulos heredados de PowerShell que proporcionan un secreto de contraseña generado por el cliente para las aplicaciones. Esta restricción todavía permite al desarrollador de aplicaciones solicitar secretos de contraseña de aplicación generados por Microsoft Entra ID.
Aplicaciones individuales frente a multiinquilino
En función de si la aplicación es un único inquilino o una aplicación multiinquilino, la directiva se aplica en una aplicación o en el objeto de entidad de servicio de la siguiente manera:
- En el caso de las aplicaciones de inquilino único, aplique la directiva al objeto de aplicación.
- Para restringir las aplicaciones multiinquilino que se alojan en un inquilino de cliente, aplique la directiva al objeto de aplicación.
- Para restringir las aplicaciones multiinquilino aprovisionadas desde otro inquilino, aplique la directiva al objeto de entidad de servicio.
Resumen de las diferencias clave entre la directiva predeterminada del inquilino y las directivas de administración de aplicaciones
| Directiva predeterminada del inquilino | Directiva de administración de aplicaciones |
|---|---|
| La directiva siempre existe. | Los objetos de directiva se pueden crear o actualizar para invalidar la directiva predeterminada. |
| Las restricciones están deshabilitadas de forma predeterminada para app/SP. | Permite la personalización para un solo inquilino o multiinquilino (aplicación de respaldo en el inquilino principal o aplicaciones aprovisionadas). |
| Solo permite la definición de objeto de restricción única para todos los recursos. | Permite definir varios objetos de directiva, pero solo se puede aplicar uno a un recurso. |
| Permite distinguir las restricciones de los objetos de aplicación frente a las entidades de servicio. | La directiva se puede aplicar a una aplicación o a un objeto de entidad de servicio. |
| Aplica todas las restricciones configuradas a todas las aplicaciones o entidades de servicio. | Aplica solo las restricciones configuradas en la directiva de recursos a la aplicación o entidad de servicio especificada y no hereda de la directiva predeterminada. |
Requisitos
- Los roles de Microsoft Entra con privilegios mínimos para la administración de directivas de método de autenticación de aplicaciones son Administrador de aplicaciones y Administrador de aplicaciones en la nube.
- Todas las operaciones de administración de directivas de aplicaciones requieren una licencia Id. de carga de trabajo de Microsoft Entra Premium.
Pasos siguientes
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de