Como e por que os aplicativos são adicionados ao Microsoft Entra ID
Há duas representações de aplicativos no Microsoft Entra ID:
- Objetos de aplicativo - Embora haja exceções, os objetos de aplicativo podem ser considerados a definição de um aplicativo.
- Entidades de serviço - Pode ser considerada uma instância de um aplicativo. As entidades de serviço geralmente fazem referência a um objeto de aplicativo, e um objeto de aplicativo pode ser referenciado por várias entidades de serviço entre diretórios.
O que são objetos de aplicativo e de onde eles vêm?
Você pode gerenciar objetos de aplicativo no centro de administração do Microsoft Entra por meio da experiência de registros de aplicativos. Os objetos de aplicativo descrevem o aplicativo para o Microsoft Entra ID e podem ser considerados a definição do aplicativo, permitindo que o serviço saiba como emitir tokens para o aplicativo com base em suas configurações. O objeto de aplicativo só existirá em seu diretório base, mesmo que seja um aplicativo multilocatário que suporta entidades de serviço em outros diretórios. O objeto do aplicativo pode incluir (mas não limitado a) qualquer um dos seguintes:
- Nome, logótipo e editor
- URIs de Redirecionamento
- Segredos (chaves simétricas e/ou assimétricas usadas para autenticar o aplicativo)
- Dependências da API (OAuth)
- APIs/recursos/escopos publicados (OAuth)
- Funções do aplicativo
- Configuração e metadados de logon único (SSO)
- Configuração e metadados de provisionamento de usuários
- Metadados e configuração de proxy
Os objetos de aplicativo podem ser criados por meio de vários caminhos, incluindo:
- Registos de aplicações no centro de administração do Microsoft Entra
- Criando um novo aplicativo usando o Visual Studio e configurando-o para usar a autenticação do Microsoft Entra
- Quando um administrador adiciona um aplicativo da galeria de aplicativos (que também criará uma entidade de serviço)
- Usando a API do Microsoft Graph ou o PowerShell para criar um novo aplicativo
- Muitas outras, incluindo várias experiências de desenvolvedor no Azure e em experiências do explorador de API em centros de desenvolvedores
O que são entidades de serviço e de onde vêm?
Você pode gerenciar entidades de serviço no centro de administração do Microsoft Entra por meio da experiência de Aplicativos Corporativos. As entidades de serviço são o que rege um aplicativo que se conecta ao Microsoft Entra ID e podem ser consideradas a instância do aplicativo em seu diretório. Para qualquer aplicativo, ele pode ter no máximo um objeto de aplicativo (que é registrado em um diretório "home") e um ou mais objetos de entidade de serviço representando instâncias do aplicativo em cada diretório em que atua.
A entidade de serviço pode incluir:
- Uma referência a um objeto de aplicativo por meio da propriedade ID do aplicativo
- Registros de atribuições de função de aplicativo de usuário e grupo locais
- Registros de permissões de usuário e administrador locais concedidas ao aplicativo
- Por exemplo: permissão para o aplicativo acessar o e-mail de um usuário específico
- Registos de políticas locais, incluindo a política de Acesso Condicional
- Registros de configurações locais alternativas para um aplicativo
- Regras de transformação de sinistros
- Mapeamentos de atributos (provisionamento de usuário)
- Funções de aplicativo específicas do diretório (se o aplicativo oferecer suporte a funções personalizadas)
- Nome ou logotipo específico do diretório
Como os objetos de aplicativo, as entidades de serviço também podem ser criadas por meio de vários caminhos, incluindo:
- Quando os usuários entram em um aplicativo de terceiros integrado com o Microsoft Entra ID
- Durante o login, os usuários são solicitados a dar permissão ao aplicativo para acessar seu perfil e outras permissões. A primeira pessoa a dar consentimento faz com que uma entidade de serviço que representa o aplicativo seja adicionada ao diretório.
- Quando os usuários usam ou entram em serviços online da Microsoft, como Microsoft 365, Microsoft Entra ID ou Microsoft Azure.
- Quando você usa um serviço da Microsoft pela primeira vez, uma ou mais entidades de serviço podem ser criadas no diretório que representa as várias identidades de serviço da Microsoft que são usadas para fornecer o serviço. Esse provisionamento "just-in-time" pode acontecer a qualquer momento, geralmente como parte de um processo em segundo plano. Em raras ocasiões, a entidade de serviço da Microsoft que é criada também pode receber uma função de diretório, como "Leitores de diretório".
- Alguns serviços da Microsoft, como o SharePoint Online, criam entidades de serviço continuamente para permitir uma comunicação segura entre componentes, incluindo fluxos de trabalho.
- Quando um administrador adiciona um aplicativo da galeria de aplicativos (isso também criará um objeto de aplicativo subjacente)
- Adicionar um aplicativo para usar o proxy de aplicativo Microsoft Entra
- Conectar um aplicativo para SSO usando SAML ou SSO de senha
- Programaticamente por meio da API do Microsoft Graph ou do PowerShell
Como os objetos de aplicativo e as entidades de serviço estão relacionados entre si?
Um aplicativo tem um objeto de aplicativo em seu diretório base que é referenciado por uma ou mais entidades de serviço em cada um dos diretórios onde opera (incluindo o diretório base do aplicativo).
No diagrama anterior, a Microsoft mantém dois diretórios internamente (mostrados à esquerda) que usa para publicar aplicativos:
- One for Microsoft Apps (diretório de serviços da Microsoft)
- Um para aplicações de terceiros pré-integradas (diretório da galeria de aplicações)
Os editores/fornecedores de aplicativos que se integram com o Microsoft Entra ID precisam ter um diretório de publicação (mostrado à direita como "Alguns diretórios de software como serviço (SaaS)").
Os aplicativos que você mesmo adiciona (representados como App (seu) no diagrama) incluem:
- Aplicações que desenvolveu (integradas com o Microsoft Entra ID)
- Aplicativos que você conectou para SSO
- Aplicativos que você publicou usando o proxy de aplicativo Microsoft Entra
Notas e exceções
- Nem todas as entidades de serviço apontam para um objeto de aplicativo. Quando o Microsoft Entra ID foi originalmente criado, os serviços fornecidos aos aplicativos eram mais limitados e a entidade de serviço era suficiente para estabelecer uma identidade de aplicativo. A entidade de serviço original estava mais próxima da conta de serviço do Ative Directory do Windows Server. Por esse motivo, ainda é possível criar entidades de serviço por meio de diferentes caminhos, como usar o Microsoft Graph PowerShell, sem primeiro criar um objeto de aplicativo. A API do Microsoft Graph requer um objeto de aplicativo antes de criar uma entidade de serviço.
- Nem todas as informações descritas acima estão atualmente expostas programaticamente. Os seguintes itens estão disponíveis apenas na interface do usuário:
- Regras de transformação de sinistros
- Mapeamentos de atributos (provisionamento de usuário)
- Para obter informações mais detalhadas sobre a entidade de serviço e os objetos do aplicativo, consulte a documentação de referência da API do Microsoft Graph:
Por que os aplicativos se integram ao Microsoft Entra ID?
Os aplicativos são adicionados ao Microsoft Entra ID para usar um ou mais dos serviços que ele fornece, incluindo:
- Autenticação e autorização de aplicativos
- Autenticação e autorização do utilizador
- SSO usando federação ou senha
- Provisionamento e sincronização de usuários
- RBAC (Controle de acesso baseado em função) - Use o diretório para definir funções de aplicativo para executar verificações de autorização baseadas em função em um aplicativo
- Serviços de autorização OAuth - Usados pelo Microsoft 365 e outros aplicativos da Microsoft para autorizar o acesso a APIs/recursos
- Publicação de aplicativos e proxy - Publicar um aplicativo de uma rede privada para a Internet
- Atributos de extensão de esquema de diretório - Estenda o esquema de entidade de serviço e objetos de usuário para armazenar dados adicionais no ID do Microsoft Entra
Quem tem permissão para adicionar aplicativos à minha instância do Microsoft Entra?
Por padrão, todos os usuários em seu diretório têm direitos para registrar objetos de aplicativos que estão desenvolvendo e discricionariedade sobre quais aplicativos eles compartilham/dão acesso aos seus dados organizacionais por meio de consentimento. Se uma pessoa for o primeiro usuário em seu diretório a entrar em um aplicativo e conceder consentimento, isso criará uma entidade de serviço em seu locatário. Caso contrário, as informações de concessão de consentimento serão armazenadas na entidade de serviço existente.
Permitir que os usuários se registrem e consintam com aplicativos pode inicialmente parecer preocupante, mas tenha em mente os seguintes motivos:
- Os aplicativos podem usar o Ative Directory do Windows Server para autenticação de usuário há muitos anos sem exigir que o aplicativo seja registrado ou registrado no diretório. Agora, a organização terá visibilidade melhorada para exatamente quantos aplicativos estão usando o diretório e para qual finalidade.
- Delegar essas responsabilidades aos usuários nega a necessidade de um processo de registro e publicação de aplicativos orientado pelo administrador. Com os Serviços de Federação do Ative Directory (ADFS), era provável que um administrador tivesse que adicionar um aplicativo como uma terceira parte confiável em nome de seus desenvolvedores. Agora, os desenvolvedores podem fazer o autoatendimento.
- Os usuários que entram em aplicativos usando suas contas de organização para fins comerciais é uma coisa boa. Se, posteriormente, deixarem a organização, perderão automaticamente o acesso à sua conta na aplicação que estavam a utilizar.
- Ter um registro de quais dados foram compartilhados com qual aplicativo é uma coisa boa. Os dados estão mais transportáveis do que nunca e é útil ter um registo claro de quem partilhou que dados com que aplicações.
- Os proprietários de API que usam o Microsoft Entra ID para OAuth decidem exatamente quais permissões os usuários podem conceder aos aplicativos e quais permissões exigem que um administrador concorde. Somente os administradores podem consentir com escopos maiores e permissões mais significativas, enquanto o consentimento do usuário tem como escopo os próprios dados e recursos dos usuários.
- Quando um usuário adiciona ou permite que um aplicativo acesse seus dados, o evento pode ser auditado para que você possa exibir os Relatórios de Auditoria no centro de administração do Microsoft Entra para determinar como um aplicativo foi adicionado ao diretório.
Se você ainda quiser impedir que os usuários em seu diretório registrem aplicativos e entrem em aplicativos sem a aprovação do administrador, há duas configurações que você pode alterar para desativar esses recursos:
Para alterar as configurações de consentimento do usuário em sua organização, consulte Configurar como os usuários consentem com aplicativos.
Para impedir que os utilizadores registem as suas próprias aplicações:
- No centro de administração do Microsoft Entra, navegue até Configurações de usuário de identidade>de usuários.>
- Alterar Os usuários podem registrar aplicativos para Não.