Compartilhar via


visão geral Microsoft Entra métodos de autenticação de aplicativo

Namespace: microsoft.graph

Métodos de autenticação de aplicativo, como certificados e segredos de senha, permitem que os aplicativos adquiram tokens para acessar dados em Microsoft Entra ID. As políticas permitem que os administradores de TI imponham as melhores práticas de como os aplicativos em suas organizações usam esses métodos de autenticação de aplicativo. Por exemplo, um administrador pode configurar uma política para bloquear o uso ou limitar o tempo de vida dos segredos de senha e usar a data de criação do objeto para impor a política.

Essas políticas permitem que as organizações aproveitem os novos recursos de endurecimento de segurança do aplicativo. Ao impor restrições baseadas na data criada pelo aplicativo ou entidade de serviço, uma organização pode examinar sua postura de segurança de aplicativo atual, aplicativos de inventário e impor controles de acordo com seus agendamentos e necessidades de resourcing. Essa abordagem usando a data criada permite que a organização imponha a política para novos aplicativos e também a aplique a aplicativos existentes.

Há dois tipos de controles de política:

  • Política padrão do locatário que se aplica a todos os aplicativos ou entidades de serviço.
  • Políticas de gerenciamento de aplicativo (aplicativo ou entidade de serviço) que permitem a inclusão ou exclusão de aplicativos individuais da política padrão do locatário.

Política de gerenciamento de aplicativo padrão do locatário

Uma política padrão de locatário é um único objeto que sempre existe e é desabilitado por padrão. Ele é definido pelo recurso tenantAppManagementPolicy e impõe restrições em objetos de entidade de aplicativo versus serviço. Ele contém as duas propriedades a seguir:

  • applicationRestrictions permite direcionar aplicativos de propriedade do locatário (objetos de aplicativo).
  • servicePrincipalRestrictions permite o direcionamento provisionado de outro locatário (objetos da entidade de serviço.

Essas propriedades permitem que uma organização bloqueie o uso de credencial em aplicativos originados de seu locatário e forneça um mecanismo para controlar a adição de credencial em aplicativos provisionados externamente para protegê-los contra abusos de credenciais. O proprietário do aplicativo de um aplicativo multilocatário ainda poderia usar qualquer tipo de credenciais em seu objeto de aplicativo, mas a política protege apenas a entidade de serviço contra abusos de credencial.

Política de gerenciamento de aplicativos para aplicativos e entidades de serviço

As políticas de gerenciamento de aplicativos são definidas no recurso appManagementPolicy , que contém uma coleção de políticas com restrições variadas ou diferentes datas de execução do que é definido na política padrão do locatário. Uma dessas políticas pode ser atribuída a um aplicativo ou entidade de serviço, excluindo-as da política padrão do locatário.

Quando a política padrão do locatário e uma política de gerenciamento de aplicativos existem, a política de gerenciamento de aplicativos tem precedência e o aplicativo ou entidade de serviço atribuído não herda da política padrão do locatário. Somente uma política pode ser atribuída a um aplicativo ou entidade de serviço.

Observação

Nem as políticas padrão do locatário nem as políticas de gerenciamento de aplicativos bloqueiam a emissão de token para aplicativos existentes. Um aplicativo que não atende aos requisitos de política continuará funcionando até tentar atualizar o recurso para adicionar um novo segredo.

Quais restrições podem ser gerenciadas no Microsoft Graph?

A API de política de métodos de autenticação de aplicativo oferece as seguintes restrições:

Nome da restrição Descrição Exemplos
passwordAddition Restrinja segredos de senha em aplicativos completamente. Bloquear novas senhas em aplicativos criados em ou após '01/01/2019'.
passwordLifetime Imponha um intervalo máximo de tempo de vida para um segredo de senha. Restrinja todos os novos segredos de senha a um máximo de 30 dias para aplicativos criados após 01/01/2015.
customPasswordAddition Restrinja um segredo de senha personalizado no aplicativo ou na entidade de serviço. Restrinja todos os novos segredos de senha personalizados em aplicativos criados após 01/01/2015.
symmetricKeyAddition Restrinja chaves simétricas em aplicativos. Bloquear novas chaves simétricas em aplicativos criados em ou após 01/01/2019.
symmetricKeyLifetime Imponha um intervalo máximo de tempo de vida para uma chave simétrica. Restrinja todas as novas chaves simétricas a um máximo de 30 dias para aplicativos criados após 01/01/2019.
asymmetricKeyLifetime Imponha um intervalo máximo de tempo de vida para uma chave assimétrica (certificado). Restrinja todas as novas credenciais de chave assimétricas a um máximo de 30 dias para aplicativos criados após 01/01/2019.

Observação

Todas as restrições de tempo de vida são expressas no formato de duração ISO-8601 (por exemplo: P4DT12H30M5S). Restringir a restrição customPasswordAddition bloqueará todos os módulos herdados do PowerShell que fornecem um segredo de senha gerado pelo cliente para aplicativos. Essa restrição ainda permite que o desenvolvedor de aplicativos solicite segredos de senha de aplicativo gerados por Microsoft Entra ID.

Aplicativos únicos versus multilocatários

Dependendo se seu aplicativo é um único locatário ou aplicativo multilocatário, você aplicará a política em um aplicativo ou no objeto da entidade de serviço da seguinte maneira:

  • Para aplicativos de locatário único, aplique a política ao objeto do aplicativo.
  • Para restringir aplicativos multilocatários hospedados em um locatário do cliente, aplique a política ao objeto do aplicativo.
  • Para restringir aplicativos multilocatário provisionados de outro locatário, aplique a política ao objeto da entidade de serviço.

Resumo das principais diferenças entre a política padrão do locatário e as políticas de gerenciamento de aplicativos

Política padrão do locatário Política de gerenciamento de aplicativos
A política sempre existe. Objetos de política podem ser criados ou atualizados para substituir a política padrão.
As restrições são desabilitadas por padrão para aplicativo/SP. Permite a personalização para locatário único ou vários locatários (aplicativo de backup em locatário doméstico ou aplicativos provisionados).
Permite apenas a definição de objeto de restrição única para todos os recursos. Permite que vários objetos de política sejam definidos, mas apenas um pode ser aplicado a um recurso.
Permite a distinção de restrições para objetos de aplicativo versus entidades de serviço. A política pode ser aplicada a um objeto de entidade de serviço ou aplicativo.
Aplica todas as restrições configuradas a todos os aplicativos ou entidades de serviço. Aplica apenas as restrições configuradas na política de recursos ao aplicativo ou à entidade de serviço especificada e não herda da política padrão.

Requisitos

  • As funções de Microsoft Entra menos privilegiadas para o gerenciamento de políticas de método de autenticação de aplicativo são Administrador de Aplicativos e Administrador de Aplicativos na Nuvem.
  • Todas as operações de gerenciamento de política de aplicativo exigem uma licença premium ID de carga de trabalho do Microsoft Entra.

Próximas etapas