Verwalten der AnwendungsauthentifizierungBehaviors

Mit der authenticationBehaviors-Eigenschaft des Anwendungsobjekts können Sie Breaking Change-Verhaltensweisen im Zusammenhang mit der Tokenausstellung konfigurieren. Anwendungen können neue Breaking Changes übernehmen, indem sie ein Verhalten aktivieren oder vorhandenes Verhalten weiterhin verwenden, indem sie es deaktivieren.

Die folgenden Verhaltensweisen können konfiguriert werden:

Hinweis

Die authenticationBehaviors-Eigenschaft des Anwendungsobjekts ist derzeit nur in beta verfügbar.

Lesen der AuthenticationBehaviors-Einstellung für eine Anwendung

Die authenticationBehaviors-Eigenschaft wird nur bei $select Anforderungen zurückgegeben.

Führen Sie die folgende Beispielanforderung aus, um die Eigenschaft und andere angegebene Eigenschaften aller Apps im Mandanten zu lesen. Die Anforderung gibt einen 200 OK Antwortcode und eine JSON-Darstellung des Anwendungsobjekts zurück, die nur die ausgewählten Eigenschaften anzeigt.

GET https://graph.microsoft.com/beta/applications?$select=id,displayName,appId,authenticationBehaviors

Um nur die authenticationBehaviors-Eigenschaft für eine einzelne App zu lesen, führen Sie die folgende Beispielanforderung aus.

GET https://graph.microsoft.com/beta/applications/03ef14b0-ca33-4840-8f4f-d6e91916010e/authenticationBehaviors

Sie können die appId-Eigenschaft auch wie folgt verwenden:

GET https://graph.microsoft.com/beta/applications(appId='37bf1fd4-78b0-4fea-ac2d-6c82829e9365')/authenticationBehaviors

Verhindern der Ausstellung von E-Mail-Ansprüchen bei nicht überprüften Domänenbesitzern

Wie in der Microsoft-Sicherheitsempfehlung Potenzielles Risiko der Rechteausweitung in Microsoft Entra-Anwendungen beschrieben, sollten Apps den E-Mail-Anspruch niemals zu Autorisierungszwecken verwenden. Wenn Ihre Anwendung den E-Mail-Anspruch zu Autorisierungs- oder primären Benutzeridentifikationszwecken verwendet, unterliegt sie Angriffen auf Konto- und Rechteausweitung. Dieses Risiko eines nicht autorisierten Zugriffs wird insbesondere in den folgenden Szenarien identifiziert:

  • Wenn das E-Mail-Attribut des Benutzerobjekts eine E-Mail-Adresse mit einem nicht überprüften Domänenbesitzer enthält
  • Für mehrinstanzenfähige Apps, bei denen ein Benutzer aus einem Mandanten seine Berechtigungen für den Zugriff auf Ressourcen von einem anderen Mandanten durch Änderung seines E-Mail-Attributs eskalieren könnte

Weitere Informationen zum Identifizieren dieser Fälle in Ihrem Mandanten finden Sie unter Migrieren von der Verwendung von E-Mail-Ansprüchen für die Benutzeridentifikation oder Autorisierung.

Heute besteht das Standardverhalten darin, E-Mail-Adressen mit nicht überprüften Domänenbesitzern in Ansprüchen zu entfernen, mit Ausnahme von Einzelmandanten-Apps und für mehrinstanzenfähige Apps mit vorheriger Anmeldeaktivität mit nicht überprüften E-Mails. Wenn Ihre App in eine dieser Ausnahmen fällt und Sie nicht überprüfte E-Mail-Adressen entfernen möchten, legen Sie die removeUnverifiedEmailClaim-Eigenschaft von authenticationBehaviors auf fest true , wie in den folgenden Beispielen veranschaulicht. Die Anforderung gibt einen 204 No Content Antwortcode zurück.

Entfernen von E-Mail-Adressen mit nicht überprüften Domänenbesitzern aus Ansprüchen

Option 1

Dieses Muster zum Angeben der Eigenschaft in der Anforderungs-URL ermöglicht es Ihnen , nur die angegebene Eigenschaft in der Anforderung zu aktualisieren.

PATCH https://graph.microsoft.com/beta/applications/03ef14b0-ca33-4840-8f4f-d6e91916010e/authenticationBehaviors
Content-Type: application/json

{
    "removeUnverifiedEmailClaim": true
}

Option 2

Dieses Muster zum Angeben der Eigenschaft im Anforderungstext ermöglicht es Ihnen, andere Peereigenschaften in derselben Anforderung zu aktualisieren.

PATCH https://graph.microsoft.com/beta/applications/03ef14b0-ca33-4840-8f4f-d6e91916010e
Content-Type: application/json

{
    "authenticationBehaviors": {
        "removeUnverifiedEmailClaim": true
    }
}

Akzeptieren von E-Mail-Adressen mit nicht überprüften Domänenbesitzern in Ansprüchen

Option 1

PATCH https://graph.microsoft.com/beta/applications/03ef14b0-ca33-4840-8f4f-d6e91916010e/authenticationBehaviors
Content-Type: application/json

{
    "removeUnverifiedEmailClaim": false
}

Option 2

PATCH https://graph.microsoft.com/beta/applications/03ef14b0-ca33-4840-8f4f-d6e91916010e
Content-Type: application/json

{
    "authenticationBehaviors": {
        "removeUnverifiedEmailClaim": false
    }
}

Wiederherstellen des Standardverhaltens

Option 1

PATCH https://graph.microsoft.com/beta/applications/03ef14b0-ca33-4840-8f4f-d6e91916010e/authenticationBehaviors
Content-Type: application/json

{
    "removeUnverifiedEmailClaim": null
}

Option 2

PATCH https://graph.microsoft.com/beta/applications/03ef14b0-ca33-4840-8f4f-d6e91916010e/
Content-Type: application/json

{
    "authenticationBehaviors": {
        "removeUnverifiedEmailClaim": null
    }
}

Zulassen des erweiterten Azure AD Graph-Zugriffs bis zum 30. Juni 2025

Standardmäßig erhalten Anwendungen, die nach dem 31. August 2024 erstellt wurden, beim Senden von Anforderungen an Azure AD Graph-APIs einen 403 Unauthorized Fehler, es sei denn, sie sind so konfiguriert, dass sie erweiterten Azure AD Graph-Zugriff zulassen. Darüber hinaus müssen vorhandene Apps, die vor dem 31. August 2024 erstellt wurden und Anforderungen an Azure AD Graph-APIs stellen, so konfiguriert werden, dass sie bis zum 1. Februar 2025 erweiterten Azure AD Graph-Zugriff zulassen. Dieser erweiterte Zugriff ist nur bis zum 30. Juni 2025 verfügbar, wenn Azure AD Graph vollständig eingestellt wird. Nach diesem Datum erhalten alle Apps einen 403 Unauthorized Fehler, wenn Anforderungen an Azure AD Graph-APIs gesendet werden, unabhängig von ihrer Konfiguration für den erweiterten Zugriff. Weitere Informationen finden Sie unter Update vom Juni 2024 zu Azure AD Graph-API Einstellung.

Die folgende Anforderung zeigt, wie Sie eine App aktualisieren, um den erweiterten Azure AD Graph-Zugriff zu ermöglichen. Die Anforderung gibt einen 204 No Content Antwortcode zurück.

Option 1

PATCH https://graph.microsoft.com/beta/applications/5c142e6f-0bd3-4e58-b510-8a106704f44f/authenticationBehaviors
Content-Type: application/json

{
    "blockAzureADGraphAccess": false
}

Option 2

PATCH https://graph.microsoft.com/beta/applications/5c142e6f-0bd3-4e58-b510-8a106704f44f
Content-Type: application/json

{
    "authenticationBehaviors": {
        "blockAzureADGraphAccess": false
    }
}