Übersicht über Microsoft Entra anwendungsauthentifizierungsmethoden
Namespace: microsoft.graph
Anwendungsauthentifizierungsmethoden wie Zertifikate und Kennwortgeheimnisse ermöglichen Apps das Abrufen von Token für den Zugriff auf Daten in Microsoft Entra ID. Mit den Richtlinien können IT-Administratoren bewährte Methoden für die Verwendung dieser Authentifizierungsmethoden für Anwendungen in ihren Organisationen erzwingen. Beispielsweise kann ein Administrator eine Richtlinie konfigurieren, um die Verwendung von Kennwortgeheimnissen zu blockieren oder die Lebensdauer zu begrenzen, und das Erstellungsdatum des Objekts verwenden, um die Richtlinie zu erzwingen.
Diese Richtlinien ermöglichen Es Organisationen, die neuen Features zur App-Sicherheitshärtung zu nutzen. Durch das Erzwingen von Einschränkungen, die auf dem Erstellungsdatum der Anwendung oder des Dienstprinzipals basieren, kann ein organization seinen aktuellen App-Sicherheitsstatus überprüfen, Apps inventarisieren und Kontrollen gemäß seinen Ressourcenzeitplänen und -anforderungen erzwingen. Dieser Ansatz mit dem Erstellungsdatum ermöglicht es dem organization, die Richtlinie für neue Anwendungen zu erzwingen und sie auch auf vorhandene Anwendungen anzuwenden.
Es gibt zwei Arten von Richtliniensteuerelementen:
- Mandantenstandardrichtlinie, die für alle Anwendungen oder Dienstprinzipale gilt.
- App-Verwaltungsrichtlinien (Anwendung oder Dienstprinzipal), die das Einschließen oder Ausschließen einzelner Anwendungen aus der Mandantenstandardrichtlinie zulassen.
Mandanten-Standard-App-Verwaltungsrichtlinie
Eine Mandantenstandardrichtlinie ist ein einzelnes Objekt, das immer vorhanden ist und standardmäßig deaktiviert ist. Sie wird von der ressource tenantAppManagementPolicy definiert und erzwingt Einschränkungen für Anwendungs- und Dienstprinzipalobjekte. Sie enthält die folgenden beiden Eigenschaften:
- applicationRestrictions ermöglicht die Ausrichtung auf Anwendungen im Besitz des Mandanten (Anwendungsobjekte).
- servicePrincipalRestrictions ermöglicht die Zielbereitstellung von einem anderen Mandanten (Dienstprinzipalobjekte.
Diese Eigenschaften ermöglichen eine organization die Verwendung von Anmeldeinformationen in Apps zu sperren, die von ihrem Mandanten stammen, und bieten einen Mechanismus zum Steuern des Hinzufügens von Anmeldeinformationen in extern bereitgestellten Anwendungen, um sie vor Missbrauch von Anmeldeinformationen zu schützen. Der Anwendungsbesitzer einer mehrinstanzenfähigen App kann weiterhin jede Art von Anmeldeinformationen in ihrem Anwendungsobjekt verwenden, aber die Richtlinie schützt den Dienstprinzipal nur vor Missbrauch von Anmeldeinformationen.
App-Verwaltungsrichtlinie für Anwendungen und Dienstprinzipale
App-Verwaltungsrichtlinien werden in der appManagementPolicy-Ressource definiert, die eine Sammlung von Richtlinien mit unterschiedlichen Einschränkungen oder anderen Erzwingungsterminen als in der Mandantenstandardrichtlinie definiert enthält. Eine dieser Richtlinien kann einer Anwendung oder einem Dienstprinzipal zugewiesen werden, wobei sie von der Standardrichtlinie des Mandanten ausgeschlossen wird.
Wenn sowohl die Mandantenstandardrichtlinie als auch eine App-Verwaltungsrichtlinie vorhanden sind, hat die App-Verwaltungsrichtlinie Vorrang, und die zugewiesene Anwendung oder der Dienstprinzipal erbt nicht von der Mandantenstandardrichtlinie. Einer Anwendung oder einem Dienstprinzipal kann nur eine Richtlinie zugewiesen werden.
Hinweis
Weder die Mandantenstandardrichtlinien noch die App-Verwaltungsrichtlinien blockieren die Tokenausstellung für vorhandene Anwendungen. Eine Anwendung, die die Richtlinienanforderungen nicht erfüllt, funktioniert weiterhin, bis sie versucht, die Ressource zu aktualisieren, um ein neues Geheimnis hinzuzufügen.
Welche Einschränkungen können in Microsoft Graph verwaltet werden?
Die Richtlinien-API für Anwendungsauthentifizierungsmethoden bietet die folgenden Einschränkungen:
Einschränkungsname | Beschreibung | Beispiele |
---|---|---|
passwordAddition | Schränken Sie Kennwortgeheimnisse für Anwendungen vollständig ein. | Neue Kennwörter für Anwendungen blockieren, die am oder nach dem '01.01.2019' erstellt wurden. |
passwordLifetime | Erzwingen Sie einen maximalen Lebensdauerbereich für ein Kennwortgeheimnis. | Beschränken Sie alle neuen Kennwortgeheimnisse für Anwendungen, die nach dem 01.01.2015 erstellt wurden, auf maximal 30 Tage. |
customPasswordAddition | Einschränken eines benutzerdefinierten Kennwortgeheimnisses für die Anwendung oder den Dienstprinzipal. | Schränken Sie alle neuen benutzerdefinierten Kennwortgeheimnisse auf Anwendungen ein, die nach dem 01.01.2015 erstellt wurden. |
symmetricKeyAddition | Einschränken symmetrischer Schlüssel für Anwendungen. | Blockieren sie neue symmetrische Schlüssel für Anwendungen, die am oder nach dem 01.01.2019 erstellt wurden. |
symmetricKeyLifetime | Erzwingen Sie einen maximalen Lebensdauerbereich für einen symmetrischen Schlüssel. | Beschränken Sie alle neuen symmetrischen Schlüssel für Anwendungen, die nach dem 01.01.2019 erstellt wurden, auf maximal 30 Tage. |
asymmetricKeyLifetime | Erzwingen Sie einen maximalen Lebensdauerbereich für einen asymmetrischen Schlüssel (Zertifikat). | Beschränken Sie alle anmeldeinformationen für neue asymmetrische Schlüssel für Anwendungen, die nach dem 01.01.2019 erstellt wurden, auf maximal 30 Tage. |
Hinweis
Alle Einschränkungen für die Lebensdauer werden im ISO-8601-Dauerformat ausgedrückt (z. B. P4DT12H30M5S). Durch die Einschränkung von customPasswordAddition werden alle älteren PowerShell-Module blockiert, die ein vom Client generiertes Kennwort für Anwendungen bereitstellen. Diese Einschränkung ermöglicht es dem Anwendungsentwickler weiterhin, Microsoft Entra ID generierten Anwendungskennwortgeheimnisse anzufordern.
Einzel- und mehrinstanzenfähige Apps
Je nachdem, ob es sich bei Ihrer App um eine app mit einem Mandanten oder um eine mehrinstanzenfähige App handelt, wenden Sie die Richtlinie auf eine Anwendung oder das Dienstprinzipalobjekt wie folgt an:
- Wenden Sie für Einzelmandanten-Apps die Richtlinie auf das Anwendungsobjekt an.
- Um mehrinstanzenfähige Apps einzuschränken, die in einem Kundenmandanten verwaltet werden, wenden Sie die Richtlinie auf das Anwendungsobjekt an.
- Um mehrinstanzenfähige Apps einzuschränken, die von einem anderen Mandanten bereitgestellt werden, wenden Sie die Richtlinie auf das Dienstprinzipalobjekt an.
Zusammenfassung der wichtigsten Unterschiede zwischen der Mandantenstandardrichtlinie und den App-Verwaltungsrichtlinien
Mandantenstandardrichtlinie | App-Verwaltungsrichtlinie |
---|---|
Die Richtlinie ist immer vorhanden. | Richtlinienobjekte können erstellt oder aktualisiert werden, um die Standardrichtlinie zu überschreiben. |
Einschränkungen sind für App/SP standardmäßig deaktiviert. | Ermöglicht die Anpassung für einen einzelnen mandanten oder mehrinstanzenfähigen (unterstützende App im Basismandanten oder bereitgestellten Apps). |
Lässt nur eine einzelne Einschränkungsobjektdefinition für alle Ressourcen zu. | Ermöglicht die Definition mehrerer Richtlinienobjekte, aber nur eines kann auf eine Ressource angewendet werden. |
Ermöglicht die Unterscheidung von Einschränkungen für Anwendungsobjekte und Dienstprinzipale. | Die Richtlinie kann auf ein Anwendungs- oder Dienstprinzipalobjekt angewendet werden. |
Wendet alle konfigurierten Einschränkungen auf alle Apps oder Dienstprinzipale an. | Wendet nur die in der Ressourcenrichtlinie konfigurierten Einschränkungen auf die angegebene App oder den angegebenen Dienstprinzipal an und erbt nicht von der Standardrichtlinie. |
Anforderungen
- Die am wenigsten privilegierten Microsoft Entra Rollen für die Verwaltung von Richtlinien für die Anwendungsauthentifizierungsmethode sind Anwendungsadministrator und Cloudanwendungsadministrator.
- Alle Verwaltungsvorgänge für App-Richtlinien erfordern eine Microsoft Entra Workload ID Premium-Lizenz.