如何為應用程式設定應用程式執行個體屬性鎖定
應用程式執行個體鎖定是 Microsoft Entra ID 中的一項功能,允許在另一個租用戶中佈建應用程式之後,鎖定多租用戶應用程式物件的敏感性屬性以進行修改。 如果應用程式不支援需要設定特定屬性的案例,則此功能可為應用程式開發人員提供鎖定那些屬性的能力。
什麼是敏感性屬性?
下列屬性使用案例會被視為敏感性:
- 認證,其中的使用類型為
Sign。 這是您的應用程式支援 SAML 流程的案例。 - 認證,其中的使用類型為
Verify。 在此案例中,您的應用程式支援 OIDC 用戶端認證流程。 TokenEncryptionKeyId,其會指定 keyCredentials 集合中公開金鑰的 keyId。 若已設定,Microsoft Entra ID 就會使用此屬性指向的金鑰來加密其發出的所有權杖。 接收加密權杖的應用程式程式碼必須先使用對應的私密金鑰來將權杖解密,才能將該權杖用於登入的使用者。
注意
預設情況下,會對使用 Microsoft Entra 系統管理中心建立的所有新應用程式啟用應用程式執行個體鎖定。
設定應用程式執行個體鎖定
提示
根據您開始使用的入口網站,本文中的步驟可能略有不同。
若要設定應用程式執行個體鎖定,請執行下列步驟:
以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心。
如果您可存取多個租用戶,請使用頂端功能表中的 [設定] 圖示
,以從 [目錄 + 訂用帳戶] 功能表,切換至包含應用程式註冊之租用戶。瀏覽至 [身分識別] > [應用程式] > [應用程式註冊]。
選取您要設定的應用程式。
選取 [驗證],然後選取 [應用程式執行個體屬性鎖定] 區段底下的 [設定]。
在 [應用程式執行個體屬性鎖定] 窗格中,輸入鎖定的設定。 影像後面的資料表會描述每個設定及其參數。
欄位 描述 啟用屬性鎖定 指定是否要啟用屬性鎖定。 所有屬性 鎖定所有敏感性屬性,而不需選取每個屬性案例。 用於驗證的認證 鎖定新增或更新用於驗證的認證屬性的能力。 用於簽署權杖的認證 鎖定新增或更新用於簽署權杖的認證屬性的能力。 權杖加密 KeyId 鎖定變更 tokenEncryptionKeyId屬性的能力。選取儲存以儲存變更。
使用 Microsoft Graph 設定應用程式執行個體鎖定
您可以透過多租用戶應用程式的 application 物件的 servicePrincipalLockConfiguration 屬性來管理應用程式執行個體鎖定功能。 如需詳細資訊,請參閱鎖定服務主體的敏感性屬性。