Microsoft 身分識別平台 應用程式註冊入口網站是使用平臺進行驗證和相關聯需求之應用程式的主要進入點。 作為開發者,當你註冊並設定應用程式時,你的選擇會驅動並影響你的應用程式是否符合 零信任原則。 有效的應用程式註冊考慮原則,包括 最低權限存取 和 假設違規。 本文可協助您瞭解應用程式註冊程式及其需求,以確保您的應用程式遵循安全性 零信任 方法。
Microsoft Entra ID (Microsoft Entra ID)中的應用程式管理,幫助您安全地建立、設定、管理及監控雲端應用程式。 當您在 Microsoft Entra 租使用者中註冊應用程式時,您可以設定安全的使用者存取。
Microsoft Entra ID 透過 應用程式物件 和 服務主體 來代表應用程式。 除了一些例外,應用程式是應用程式物件。 將服務主體視為參考應用程式物件的應用程式實例。 跨目錄的多個服務主體可以參考單一應用程式物件。
你可以透過三種方式設定應用程式使用 Microsoft Entra ID: 在 Visual Studio、使用 Microsoft Graph API 或使用 PowerShell。 在 Azure 和 API Explorer 的開發人員中心中,都提供開發人員體驗。 參考開發人員和IT專業人員角色的必要決策和工作,以在Microsoft 身分識別平台中建置及部署安全的應用程式。
誰可以新增和註冊應用程式
管理員,以及當租戶允許使用者和開發者時,可能會在 Azure 入口網站註冊應用程式時建立應用程式物件。 根據預設,目錄中的所有使用者都可以 註冊其開發的應用程式物件 。 應用程式物件開發人員會決定哪些應用程式會透過 同意來共用及授與組織數據的存取權。
當目錄中的第一個使用者登入應用程式並授與同意時,系統會在租使用者中建立服務主體,以儲存所有使用者同意資訊。 Microsoft Entra ID 會在用戶驗證之前,自動為租使用者中新註冊的應用程式建立服務主體。
具備至少應用程式 管理員 或 雲端應用程式管理員 角色的使用者,可以執行特定的應用程式任務(例如從應用程式圖庫新增應用程式,以及設定應用程式使用應用程式代理)。
註冊應用程式物件
身為開發人員,您會註冊使用 Microsoft 身分識別平台 的應用程式。 在 Azure 入口網站 中註冊您的應用程式,或呼叫 Microsoft Graph 應用程式 API。 註冊應用程式之後,它會透過將要求傳送至端點來與 Microsoft 身分識別平台 通訊。
您可能沒有建立或修改應用程式註冊的許可權。 當系統管理員未授與您註冊應用程式的許可權時,請詢問他們如何將必要的應用程式註冊資訊傳達給他們。
應用程式註冊屬性 可能包含下列元件。
- 名稱、標誌與發行者
- 重新導向統一資源識別碼 (URI)
- 祕密 (用於驗證應用程式的對稱和/或非對稱金鑰)
- API 相依性 (OAuth)
- 已發佈的 API/資源/範圍 (OAuth)
- 角色型訪問控制的應用程式角色
- 單一登錄(SSO)、使用者布建和 Proxy 的元數據和組態
應用程式註冊的必要部分是您選擇 支援的帳戶類型,以根據使用者帳戶類型 定義誰可以使用您的應用程式。 Microsoft Entra 系統管理員遵循應用程式模型,透過 應用程式註冊 體驗來管理 Azure 入口網站 中的應用程式物件,並定義應用程式設定,告知服務如何將令牌發行給應用程式。
在註冊期間,您會收到應用程式的身分識別: 應用程式(用戶端)標識碼。 您的應用程式每次透過 Microsoft 身分識別平台 執行交易時,都會使用其用戶端識別符。
應用程式註冊最佳做法
當您在 Microsoft Entra ID 註冊應用程式作為業務使用的關鍵部分時,請遵循 應用程式屬性的安全最佳實務 。 旨在防止可能影響整個組織的停機或安全漏洞。 下列建議可協助您圍繞 零信任 原則開發安全應用程式。
- 使用 Microsoft 身分識別平台整合檢查清單來確保高品質且安全整合。 維護應用程式的品質和安全性。
- 正確定義您的重新導向URL。 參考重定向 URI(回復 URL)限制和限制條件,以避免相容性和安全性問題。
- 檢查應用程式註冊中的重新導向 URI 以取得擁有權,以避免網域接管。 重新導向URL應該位於您知道且擁有的網域上。 定期檢閱和移除不必要的和未使用的 URI。 請勿在生產應用程式中使用非 HTTPs URI。
- 務必在您的租戶中為已註冊的應用程式定義和維護應用程式及服務主體的擁有者。 避免孤立的應用程式(沒有指派擁有者的應用程式和服務 主體 )。 請確定IT系統管理員可以在緊急情況下輕鬆快速地識別應用程式擁有者。 讓應用程式擁有者的數目保持較小。 讓遭入侵的用戶帳戶難以影響多個應用程式。
-
避免對多個應用程式使用相同的應用程式註冊。 分隔應用程式註冊可協助您啟用最低權限存取,並減少資料洩漏期間的影響。
- 對於需要使用者登入的應用程式以及透過 API 公開資料和作業的應用程式,應使用個別的應用程式註冊(除非這些應用程式緊密結合)。 這種方法允許將更高特權的 API 權限,例如 Microsoft Graph 以及認證(例如機密和憑證),與登入並與用戶互動的應用程式分離。
- 針對 Web 應用程式和 API 使用不同的應用程式註冊。 此方法可協助確保 Web API 具有較高的許可權集合,則用戶端應用程式不會繼承它們。
- 僅在必要時,將您的應用程式定義為多租用戶應用程式。 多租使用者應用程式 可讓您在非租使用者中布建。 它們需要更多管理額外負荷來篩選不必要的存取。 除非您打算將應用程式開發為多租使用者應用程式,請從 AzureADMyOrg 的 SignInAudience 值開始。
下一步
- 請參閱 Microsoft 身分識別平台 檔,以瞭解如何註冊應用程式類型。 範例應用程式類型包括單頁應用程式 (SPA)、Web 應用程式、Web API、傳統型應用程式、行動應用程式和背景服務、精靈和腳本。
- 將應用程式與 Microsoft Entra ID 整合,Microsoft 身分識別平台 可協助開發人員建置及整合 IT 專業人員在企業中可保護的應用程式。
- 取得存取資源的授權可協助您瞭解如何在取得應用程式的資源訪問許可權時,最好確保 零信任。
- 授權最佳做法 可協助您為應用程式實作最佳的授權、許可權和同意模型。