Microsoft Entra策略概述
命名空间:microsoft.graph
重要
Microsoft Graph /beta 版本下的 API 可能会发生更改。 不支持在生产应用程序中使用这些 API。 若要确定 API 是否在 v1.0 中可用,请使用 版本 选择器。
Microsoft Entra ID使用策略来控制组织中的Microsoft Entra功能行为。 策略是可以对其分配到的应用程序、服务主体、组或整个组织强制实施的自定义规则。
有哪些策略可用?
| 策略类型 | 说明 | 示例 |
|---|---|---|
| activityBasedTimeoutPolicies | 表示一个策略,该策略控制在一段时间处于非活动状态后 Web 会话的自动注销,适用于支持基于活动的超时功能的应用程序。 | 将Azure 门户配置为非活动超时 15 分钟。 |
| applicationAuthenticationMethodPolicies | 表示一组限制应用程序和服务主体的应用管理操作的策略。 | 将应用程序或服务主体配置为不使用密码机密或强制实施机密生存期。 |
| authenticationFlowsPolicies | 表示一个策略,该策略控制外部用户是否应该能够通过外部标识自助注册用户流注册和获取来宾帐户。 | 使应用程序能够通过自助注册用户流支持外部用户注册。 |
| authorizationPolicy | 表示可以控制Microsoft Entra ID的授权设置的策略。 | 配置Microsoft Entra ID以阻止租户中的 MSOL PowerShell。 |
| claimsMappingPolicies | 表示 WS-Fed、SAML、OAuth 2.0 和 OpenID Connect 协议的声明映射策略,用于颁发给特定应用程序的令牌。 | 创建并分配策略以省略颁发给服务主体的令牌的基本声明。 |
| deviceRegistrationPolicy | 表示控制配额限制、附加身份验证和授权策略的策略范围,以向组织注册设备标识。 | 限制可注册到组织中的用户的设备数,或者指定允许使用Microsoft Entra加入或注册Microsoft Entra注册设备的用户或组。 |
| federatedTokenValidationPolicy | 表示一个策略,用于控制启用或禁用联合身份验证令牌验证 - 匹配本地联合帐户和映射Microsoft Entra ID帐户的根域。 | 配置对租户的验证,以检查映射的 Entra Id 帐户中的域是否与联合 IdP 的令牌身份验证后令牌中的令牌颁发者域匹配。 |
| homeRealmDiscoveryPolicies | 表示一种策略,用于控制联合用户的Microsoft Entra身份验证行为,尤其是针对联合域中的自动加速和用户身份验证限制。 | 将所有用户配置为跳过主领域发现,并直接路由到 ADFS 进行身份验证。 |
| tokenLifetimePolicies | 表示用于访问受保护资源的访问令牌的生存期。 | 使用短于默认令牌生存期配置特别敏感的应用程序。 |
| tokenIssuancePolicy | 表示用于指定Microsoft Entra ID颁发的 SAML 令牌特征的策略。 | 配置用于颁发 SAML 令牌的签名算法或 SAML 令牌版本。 |
| identitySecurityDefaultsEnforcementPolicy | 表示Microsoft Entra安全默认值策略。 | 配置Microsoft Entra安全默认值策略,以防范常见攻击。 |
后续步骤
- 查看上面列出的不同策略资源类型及其各种方法。
- 尝试在 Graph 浏览器中调用 API。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈