Configurare restrizioni sulla configurazione delle applicazioni

Questo articolo illustra come configurare i criteri di gestione delle app in Microsoft Entra ID per controllare come i proprietari e gli amministratori delle app possono configurare applicazioni e entità servizio nell'organizzazione. Queste indicazioni consentono agli amministratori di ridurre i rischi di sicurezza causati da configurazioni non sicure.

Il set di restrizioni disponibili per la configurazione include:

Nome restrizione	Description	Valore di sicurezza	Availability
asymmetricKeyLifetime	Applicare un intervallo di durata massimo per una chiave asimmetrica (certificato).	Riduce il rischio di sicurezza dalle credenziali di lunga durata	Può essere configurato tramite le API dei criteri di gestione delle app e l'interfaccia di amministrazione di Microsoft Entra. Indicato come Restrict max certificate lifetime nell'interfaccia di amministrazione di Microsoft Entra.
Pubblico	Limita la creazione o la promozione delle app in base ai valori signInAudience.	Impedisce applicazioni multi-tenant o consumer non approvate	Può essere configurato tramite le API dei criteri di gestione delle app
customPasswordAddition	Limitare un segreto password personalizzato nell'applicazione o nell'entità servizio.	Impedisce nuove password dell'app fornite dall'utente, che sono più facilmente compromesse rispetto a quelle generate dal sistema	Può essere configurato tramite le API dei criteri di gestione delle app e l'interfaccia di amministrazione di Microsoft Entra. Indicato come Block custom passwords nell'interfaccia di amministrazione di Microsoft Entra.
nonDefaultUriAddition	Bloccare i nuovi URI di identificatore per le app, a meno che non siano uno dei formati api://{appId} predefiniti o api://{tenantId}/{appId}.	Riduce il rischio di sicurezza dalla convalida non corretta del gruppo di destinatari	Può essere configurato tramite le API dei criteri di gestione delle app e l'interfaccia di amministrazione di Microsoft Entra. Indicato come Block custom identifier URIs nell'interfaccia di amministrazione di Microsoft Entra.
uriAdditionWithoutUniqueTenantIdentifier	Blocca i nuovi URI di identificatore per le app, a meno che non siano uno dei formati sicuri.	Riduce il rischio di sicurezza dalla sovrapposizione dei destinatari	Può essere configurato tramite le API dei criteri di gestione delle app e l'interfaccia di amministrazione di Microsoft Entra. Indicato come Block identifier URIs without unique tenant identifier nell'interfaccia di amministrazione di Microsoft Entra.
passwordAddition	Bloccare completamente l'aggiunta di nuove password (dette anche segreti) nelle applicazioni.	Impedisce nuove password, che sono la forma di credenziale più facilmente compromessa	Può essere configurato tramite le API dei criteri di gestione delle app e l'interfaccia di amministrazione di Microsoft Entra. Nell'interfaccia di amministrazione di Microsoft Entra, combinata con la symmetricKeyAddition restrizione in base all'impostazione Block password addition .
passwordLifetime	Applicare un intervallo di durata massimo per un segreto password.	Riduce il rischio di sicurezza dalle credenziali di lunga durata	Può essere configurato tramite le API dei criteri di gestione delle app e l'interfaccia di amministrazione di Microsoft Entra. Nell'interfaccia di amministrazione di Microsoft Entra, combinata con la symmetricKeyLifetime restrizione in base all'impostazione Restrict max password lifetime .
symmetricKeyAddition	Limitare le chiavi simmetriche nelle applicazioni.	Impedisce nuove chiavi simmetriche, che sono in effetti password, ovvero la forma di credenziale più facilmente compromessa	Può essere configurato tramite le API dei criteri di gestione delle app e l'interfaccia di amministrazione di Microsoft Entra. Nell'interfaccia di amministrazione di Microsoft Entra, combinata con la passwordAddition restrizione in base all'impostazione Block password addition .
symmetricKeyLifetime	Applicare un intervallo di durata massimo per una chiave simmetrica.	Riduce il rischio di sicurezza dalle credenziali di lunga durata	Può essere configurato tramite le API dei criteri di gestione delle app e l'interfaccia di amministrazione di Microsoft Entra. Nell'interfaccia di amministrazione di Microsoft Entra, combinata con la passwordLifetime restrizione in base all'impostazione Restrict max password lifetime .
trustedCertificateAuthority	Bloccare le nuove credenziali del certificato se l'autorità emittente non è elencata nell'elenco delle autorità di certificazione attendibili.	Assicura che solo le ca attendibili vengano usate dalle app nel tenant	Può essere configurato tramite le API dei criteri di gestione delle app.

Per altre informazioni sul funzionamento dell'API dei criteri di gestione delle app, vedere la documentazione dell'API.

Prerequisiti

Per configurare i criteri di gestione delle app, è necessario:

• Un account utente. Se non si dispone già di un account, è possibile creare un account gratuitamente.
• Ruolo Amministratore della sicurezza e Amministratore app cloud o Amministratore applicazione . OPPURE, solo il ruolo Amministratore globale .

Configurare una restrizione

È possibile configurare i criteri di gestione delle app in Microsoft Entra ID usando l'interfaccia di amministrazione di Microsoft Entra o l'API Microsoft Graph.

Abilitare una restrizione per tutte le applicazioni

Questo esempio blocca l'aggiunta di nuove password in tutte le applicazioni e le entità servizio dell'organizzazione. Un processo simile può essere usato per abilitare altre restrizioni.

Interfaccia di amministrazione di Microsoft Entra

Per bloccare le nuove password tramite l'interfaccia di amministrazione di Microsoft Entra:

1. Accedere all'interfaccia di amministrazione di Microsoft Entra.

2. Passare a Entra ID>Applicazioni aziendali>Criteri applicazione.

3. Selezionare Blocca aggiunta password.

4. Impostare lo stato su Sì. Verificare che il campo "Si applica a" sia impostato su Tutte le applicazioni.

5. Seleziona Salva per salvare le impostazioni.

Microsoft Graph

Per bloccare le nuove aggiunte di password nelle applicazioni e nelle entità servizio tramite Microsoft Graph:

1. Recuperare i criteri di gestione delle app a livello di tenant esistenti.

   GET https://graph.microsoft.com/beta/policies/defaultAppManagementPolicy
   

2. Trovare la passwordCredentials raccolta nella applicationRestrictions proprietà e servicePrincipalsRestrictions . In entrambe le raccolte impostare lo stato della passwordAddition restrizione e la symmetricKeyAddition restrizione su enabled. Se nella raccolta sono già presenti altre restrizioni, includerle nella richiesta per evitare di disabilitarle accidentalmente.

   PATCH https://graph.microsoft.com/beta/policies/defaultAppManagementPolicy
   
   {
       "applicationRestrictions": {
           "passwordCredentials": [
               {
                   "restrictionType": "passwordAddition",
                   "state": "enabled"
               },
               {
                   "restrictionType": "symmetricKeyAddition",
                   "state": "enabled"
               }
           ]
       },
         "servicePrincipalRestrictions": {
           "passwordCredentials": [
               {
                   "restrictionType": "passwordAddition",
                   "state": "enabled"
               },
               {
                   "restrictionType": "symmetricKeyAddition",
                   "state": "enabled"
               }
           ]
       }      
   }
   

Concedere un'eccezione a un'applicazione

In alcuni casi, le eccezioni sono necessarie per le regole a livello di tenant. Questo esempio concede a un'app un'eccezione per la restrizione che blocca gli URI dell'identificatore personalizzato, in modo che possano comunque aggiungervi URI personalizzati. È possibile seguire un processo simile per altre restrizioni.

Interfaccia di amministrazione di Microsoft Entra

Per concedere a un'app un'eccezione alla restrizione che blocca gli URI dell'identificatore personalizzato tramite l'interfaccia di amministrazione di Microsoft Entra:

1. Accedere all'interfaccia di amministrazione di Microsoft Entra.

2. Passare a Entra ID>Applicazioni aziendali>Criteri applicazione.

3. Selezionare Blocca URI identificatori personalizzati.

4. Verificare che lo stato sia Attivato. Impostare il campo "Si applica a" su Tutte le applicazioni con esclusioni.

5. In App escluse selezionare Aggiungi applicazioni.

6. Scegliere l'applicazione da escludere dalla restrizione.

7. Seleziona Salva per salvare le impostazioni.

Microsoft Graph

Per concedere a un'app un'eccezione alla restrizione che blocca gli URI dell'identificatore personalizzato usando Microsoft Graph:

1. Creare un nuovo criterio di gestione delle app personalizzato. Durante la creazione, impostare la nonDefaultUriAddition restrizione in restrictions.applicationRestrictions su disabled.

   POST https://graph.microsoft.com/beta/policies/appManagementPolicies
   
   {
       "displayName": "Identifier URI exemption policy",
       "description": "Policy granting an exemption to the nonDefaultUriAddition restriction",
       "isEnabled": true,
       "restrictions": {
           "applicationRestrictions": {
               "identifierUris": {
                   "nonDefaultUriAddition": {
                       "state": "disabled"
                   }
               }
           }
       }
   }
   

2. Registrare l'ID del nuovo criterio dalla risposta.

3. Assegnare i nuovi criteri personalizzati all'applicazione da escludere.

   POST https://graph.microsoft.com/beta/applications/{objectIdOfTheApplication}/appManagementPolicies/$ref
   
   {
       "@odata.id":"https://graph.microsoft.com/v1.0/policies/appManagementPolicies/{idOfTheCustomPolicy}"
   }
   

4. Se viene visualizzato un errore che indica che all'applicazione è già assegnato un criterio personalizzato, modificare tale criterio in modo da includere questa nuova esclusione. Assicurarsi che i criteri esistenti non siano assegnati ad altre applicazioni o che ricevano anche l'esclusione.

Concedere un'eccezione a un utente o a un servizio

In alcuni casi, le eccezioni devono essere concesse all'utente o al servizio che crea o modifica l'applicazione. Si supponga, ad esempio, che un processo automatizzato nell'organizzazione crei periodicamente applicazioni e imposti le password. Si vogliono bloccare le nuove password nell'organizzazione, ma non si vuole interrompere questo processo automatizzato durante l'aggiornamento. Le eccezioni dell'applicazione non funzionano in questo caso, perché le app create/aggiornate non esistono ancora. È invece possibile applicare un'eccezione al processo stesso.

Questo tipo di eccezione, a volte etichettato come eccezione 'actor' o 'caller', viene configurato usando attributi di sicurezza personalizzati. Per questo motivo, sono necessari due ruoli aggiuntivi per questo scenario, oltre ai ruoli dei prerequisiti.

• Amministratore delle definizioni di attributo
• Amministratore dell'assegnazione degli attributi

Questo esempio concede a un servizio un'eccezione alla restrizione che applica una durata massima ai nuovi certificati che aggiunge ad altre applicazioni e entità servizio. Il servizio verrà rappresentato dall'entità servizio. Trovare l'entità servizio per un servizio cercandola nelle applicazioni aziendali.

Interfaccia di amministrazione di Microsoft Entra

1. Accedere all'interfaccia di amministrazione di Microsoft Entra.

2. Passare a Entra ID>Applicazioni aziendali>Criteri applicazione.

3. Selezionare Limita la durata massima del certificato.

4. Verificare che lo stato sia Attivato. Impostare il campo "Si applica a" su Tutte le applicazioni con esclusioni.

5. In Chiamanti esclusi selezionare Aggiungi chiamanti esclusi.

6. Scegliere l'utente o l'entità servizio le cui chiamate per creare/aggiornare le app da escludere dalla restrizione.

7. Seleziona Salva per salvare le impostazioni.

Microsoft Graph

Creare una definizione di attributo di sicurezza personalizzata

Questa esenzione basata sul chiamante viene eseguita tramite attributi di sicurezza personalizzati. Gli attributi di sicurezza personalizzati sono coppie chiave-valore; richiedono una definizione per la coppia chiave-valore da creare nel tenant e quindi è possibile aggiungere istanze della coppia chiave-valore a utenti o entità servizio specifiche.

È possibile creare definizioni di attributi di sicurezza personalizzate tramite l'interfaccia di amministrazione di Microsoft Entra, ma è anche possibile usare Microsoft Graph. Prima di tutto, creare un set di attributi (se non ne è già disponibile uno). I set di attributi sono contenitori per definizioni di attributi di sicurezza personalizzate.

POST https://graph.microsoft.com/v1.0/directory/attributeSets 
{
    "id":"PolicyExemptions",
    "description":"Attributes for granting exemptions to policy",
    "maxAttributesPerSet":25
}

Creare quindi la definizione.

POST https://graph.microsoft.com/v1.0/directory/customSecurityAttributeDefinitions
{
    "attributeSet": "PolicyExemptions",
    "description": "App mgmt policy exemption attributes",
    "isCollection": false,
    "isSearchable": true,
    "name": "AppManagementExemption",
    "status": "Available",
    "type": "String",
    "usePreDefinedValuesOnly": true,
    "allowedValues": [
        {
            "id": "ExemptFromCertificateLifetimeRestriction",
            "isActive": true
        }
    ]
}

Questi sono solo valori di esempio; è possibile assegnare un nome all'attributo di sicurezza personalizzato. Tuttavia, assicurarsi che la definizione dell'attributo di sicurezza personalizzata creata sia di String tipo e isCollection sia impostata su false. Attualmente, i tipi di stringa a valore singolo sono gli unici attributi di sicurezza personalizzati supportati come indicatori di esenzione nei criteri di gestione delle app.

Aggiungere l'attributo di sicurezza personalizzato come indicatore di esenzione

Aggiornare la excludeActors proprietà in base alla asymmetricKeyLifetime restrizione in applicationRestrictions e servicePrincipalRestrictions.

PATCH https://graph.microsoft.com/beta/policies/defaultAppManagementPolicy

 {  
    "applicationRestrictions": {
        "keyCredentials": [
            {
                "restrictionType": "asymmetricKeyLifetime",
                "state": "enabled",
                "maxLifetime": "P180D",
                "excludeActors": {
                    "customSecurityAttributes": [
                        {
                            "@odata.type": "#microsoft.graph.customSecurityAttributeStringValueExemption",
                            "id": "PolicyExemptions_AppManagementExemption",  //This `id` value is the concatenation of "AttributeSet_AttributeName"
                            "operator": "equals",
                            "value": "ExemptFromCertificateLifetimeRestriction"
                        }
                    ]
                }
            }
        ]
    },
    "servicePrincipalRestrictions": {
        "keyCredentials": [
            {
                "restrictionType": "asymmetricKeyLifetime",
                "state": "enabled",
                "maxLifetime": "P180D",
                "excludeActors": {
                    "customSecurityAttributes": [
                        {
                            "@odata.type": "#microsoft.graph.customSecurityAttributeStringValueExemption",
                            "id": "PolicyExemptions_AppManagementExemption",  //This `id` value is the concatenation of "AttributeSet_AttributeName"
                            "operator": "equals",
                            "value": "ExemptFromCertificateLifetimeRestriction"
                        }
                    ]
                }
            }
        ]
    }
 }

Ciò indica a Microsoft Entra che si desidera che gli utenti o le entità servizio con tale valore specifico dell'attributo di sicurezza personalizzato assegnato a tali utenti siano esentati dai criteri.

Assegnare l'attributo di sicurezza personalizzato all'entità servizio

Gli attributi di sicurezza personalizzati possono essere assegnati sia agli utenti che alle entità servizio tramite l'interfaccia di amministrazione di Microsoft Entra, ma è anche possibile farlo usando Microsoft Graph.

Per assegnare a un'entità servizio:

PATCH https://graph.microsoft.com/v1.0/servicePrincipals/{id}
{
    "customSecurityAttributes":
    {
        "Engineering":
        {
            "@odata.type":"#Microsoft.DirectoryServices.CustomSecurityAttributeValue",
            "AppManagementExemption":"ExemptFromCertificateLifetimeRestriction"
        }
    }
}

Sostituire {id} con l'ID oggetto dell'entità servizio.

Al termine, l'entità servizio con l'attributo di sicurezza personalizzato assegnato sarà in grado di aggiungere un certificato di lunga durata a qualsiasi app che può modificare.

Applicare una restrizione a un'applicazione specifica

In alcuni casi non è possibile applicare una restrizione all'intero tenant, ma si vuole comunque applicare la regola a un set selezionato di applicazioni sensibili alla sicurezza. Questo esempio applica la restrizione che blocca le password personalizzate a una singola applicazione. È possibile seguire un processo simile per altre restrizioni.

Interfaccia di amministrazione di Microsoft Entra

1. Accedere all'interfaccia di amministrazione di Microsoft Entra.

2. Passare a Entra ID>Applicazioni aziendali>Criteri applicazione.

3. Selezionare Blocca password personalizzate.

4. Verificare che lo stato sia Attivato. Impostare il campo "Si applica a" su Seleziona applicazioni.

5. Selezionare Aggiungi applicazioni.

6. Scegliere l'applicazione a cui si vuole applicare la restrizione.

7. Seleziona Salva per salvare le impostazioni.

Microsoft Graph

1. Creare un nuovo criterio di gestione delle app personalizzato. Durante la creazione, impostare la customPasswordAddition restrizione in restrictions.passwordCredentials su enabled.

   POST https://graph.microsoft.com/beta/policies/appManagementPolicies
   
   {
       "displayName": "Custom password policy",
       "description": "Policy that enforces the custom password restriction",
       "isEnabled": true,
       "restrictions": {
           "passwordCredentials": [
               {
                   "restrictionType": "customPasswordAddition",
                   "state": "enabled"
               }
           ]
       }
   }
   

2. Registrare l'ID del nuovo criterio dalla risposta.

3. Assegnare i nuovi criteri personalizzati all'applicazione a cui si vuole applicare la restrizione.

   POST https://graph.microsoft.com/beta/applications/{objectIdOfTheApplication}/appManagementPolicies/$ref
   
   {
       "@odata.id":"https://graph.microsoft.com/v1.0/policies/appManagementPolicies/{idOfTheCustomPolicy}"
   }
   

4. Se viene visualizzato un errore che indica che all'applicazione è già assegnato un criterio personalizzato, modificare tale criterio in modo da includere questa nuova restrizione. Assicurarsi che i criteri esistenti non siano assegnati ad altre applicazioni o che ricevano anche l'imposizione.

Visualizzare i criteri personalizzati

I criteri personalizzati vengono applicati a applicazioni e entità servizio specifiche. Vengono usati per eseguire l'override della configurazione a livello di tenant per un'app specifica. Per altre informazioni, vedere qui.

L'interfaccia di amministrazione di Microsoft Entra configura automaticamente i criteri personalizzati in base alla finalità. Ad esempio, se si vuole concedere un'esenzione a una restrizione per un'app specifica, l'interfaccia di amministrazione di Microsoft Entra crea i criteri personalizzati con tale comportamento in background e lo assegna all'applicazione.

Per questo motivo, l'elenco dei criteri personalizzati non può essere visualizzato direttamente nell'interfaccia di amministrazione di Microsoft Entra. Ma possono essere visualizzati tramite Microsoft Graph.

Interfaccia di amministrazione di Microsoft Entra

L'elenco dei criteri personalizzati non può essere visualizzato direttamente nell'interfaccia di amministrazione di Microsoft Entra. Passare alla scheda Microsoft Graph.

Microsoft Graph

GET https://graph.microsoft.com/beta/policies/appManagementPolicies

Correggere lo stato dei criteri per l'uso nell'interfaccia di amministrazione di Microsoft Entra

Se i criteri di gestione delle app sono stati configurati all'esterno dell'interfaccia di amministrazione di Microsoft Entra, è possibile che siano stati configurati in modo non previsto dal portale. In tal caso, quando si carica una restrizione, verrà visualizzato un messaggio di errore simile al seguente:

The restriction have been modified outside of this interface. To prevent data loss, editing is disabled until restrictions are synchronized.

Per ripristinare lo stato previsto dall'interfaccia di amministrazione di Microsoft Entra, è necessario aggiornarli usando Microsoft Graph.

Interfaccia di amministrazione di Microsoft Entra

Questa operazione non può essere eseguita tramite l'interfaccia di amministrazione di Microsoft Entra. Passare alla scheda Microsoft Graph.

Microsoft Graph

Prima di tutto, recuperare i criteri di gestione delle app a livello di tenant.

GET https://graph.microsoft.com/beta/policies/defaultAppManagementPolicy

Passare alla restrizione a qualsiasi restrizione bloccata per l'utente nell'interfaccia di amministrazione di Microsoft Entra.

Aggiunta della password

La restrizione blocca l'aggiunta delle password prevede che tutte e quattro le restrizioni seguenti siano nello stesso stato:

• Restrizione passwordAddition nella applicationRestrictions.passwordCredentials raccolta
• Restrizione passwordAddition nella servicePrincipalRestrictions.passwordCredentials raccolta
• Restrizione symmetricKeyAddition nella applicationRestrictions.passwordCredentials raccolta
• Restrizione symmetricKeyAddition nella servicePrincipalRestrictions.passwordCredentials raccolta

Ciò significa che le proprietà di tutte e quattro le restrizioni devono corrispondere. In alternativa, tutte e quattro le restrizioni non dovrebbero essere presenti nei criteri.

Durata password

La restrizione limita la durata massima delle password prevede che tutte e quattro le restrizioni seguenti siano nello stesso stato:

• Restrizione passwordLifetime nella applicationRestrictions.passwordCredentials raccolta
• Restrizione passwordLifetime nella servicePrincipalRestrictions.passwordCredentials raccolta
• Restrizione symmetricKeyLifetime nella applicationRestrictions.passwordCredentials raccolta
• Restrizione symmetricKeyLifetime nella servicePrincipalRestrictions.passwordCredentials raccolta

Ciò significa che le proprietà di tutte e quattro le restrizioni devono corrispondere. In alternativa, tutte e quattro le restrizioni non dovrebbero essere presenti nei criteri.

Durata del certificato

La restrizione limita la durata massima dei certificati prevede che tutte le restrizioni seguenti siano nello stesso stato:

• Restrizione asymmetricKeyLifetime nella applicationRestrictions.keyCredentials raccolta
• Restrizione asymmetricKeyLifetime nella servicePrincipalRestrictions.keyCredentials raccolta

Ciò significa che le proprietà di entrambe le restrizioni devono corrispondere. In alternativa, entrambe le restrizioni non devono essere presenti nei criteri.

Passaggi successivi

• Panoramica dell'API dei criteri di gestione delle app