Como e por quê os aplicativos são adicionados ao Microsoft Entra ID

Há duas representações de aplicativos no Microsoft Entra ID:

  • Objetos de aplicativo – embora haja exceções, objetos de aplicativos podem ser considerados a definição de um aplicativo.
  • Entidades de serviço – podem ser considerados uma instância de um aplicativo. Geralmente, as entidades de serviço fazem referência a um objeto de aplicativo e um objeto de aplicativo pode ser referenciado por várias entidades de serviço nos diretórios.

O que são objetos de aplicativo e de onde originam-se?

Você pode gerenciar os objetos de aplicativo no centro de administração do Microsoft Entra por meio da experiência de Registros de aplicativo. Objetos de aplicativo descrevem o aplicativo para o Microsoft Entra ID e podem ser considerados a definição do aplicativo, permitindo que o serviço saiba como emitir tokens para o aplicativo baseado nas configurações. O objeto de aplicativo somente existirá no diretório base, mesmo se for um aplicativo multilocatário que dá suporte a entidades de serviço em outros diretórios. O objeto de aplicativo pode incluir (mas não se limita a) qualquer um dos seguintes:

  • Nome, logotipo e editor
  • URIs de redirecionamento
  • Segredos (chaves simétricas e/ou assimétricas usadas para autenticar o aplicativo)
  • Dependências de API (OAuth)
  • APIs/recursos/escopos publicados (OAuth)
  • Funções de aplicativo
  • Metadados e configuração de SSO (logon único)
  • Configuração e metadados de provisionamento de usuário
  • Configuração e metadados de proxy

Objetos de aplicativo podem ser criados através de vários caminhos, incluindo:

  • Registros de aplicativo no centro de administração do Microsoft Entra
  • Criar um novo aplicativo usando o Visual Studio e configurá-lo para usar a autenticação do Microsoft Entra ID
  • Quando um administrador adiciona um aplicativo da galeria de aplicativos (isso também cria uma entidade de serviço)
  • Usar a API do Microsoft Graph ou o PowerShell para criar um aplicativo
  • Muitos outras, incluindo várias experiências de desenvolvedor no Azure e em experiências de explorador de APIs em centros de desenvolvedores

Quais são as entidades de serviço e de onde originam-se?

Você pode gerenciar as entidades de serviço no centro de administração do Microsoft Entra por meio da experiência de Aplicativos Empresariais. Entidades de serviço controlam um aplicativo que se conecta ao Microsoft Entra e podem ser consideradas a instância do aplicativo em seu diretório. Para qualquer aplicativo, é possível ter no máximo um objeto de aplicativo (que é registrado em um diretório "base") e um ou mais objetos de entidade de serviço que representam instâncias do aplicativo em todos os diretórios nos quais atuam.

A entidade de serviço pode incluir:

  • Uma referência de volta a um objeto de aplicativo por meio da propriedade da ID do aplicativo
  • Registros de atribuições de função de aplicativo de usuário e grupo locais
  • Registros de permissões de usuários e administradores locais concedidas ao aplicativo
    • Por exemplo: permissão para o aplicativo acessar o email de um usuário específico
  • Registros de políticas locais, incluindo política de acesso condicional
  • Registros de configurações locais alternativas para um aplicativo
    • Declara regras de transformação
    • Mapeamentos de atributos (provisionamento do usuário)
    • Funções de aplicativo específicas do diretório (se o aplicativo der suporte a funções personalizadas)
    • Nome ou logotipo específico do diretório

Como os objetos de aplicativo, as entidades de serviço também podem ser criadas por meio de vários caminhos, incluindo:

  • Quando os usuários entram em um aplicativo de terceiros integrado ao Microsoft Entra ID
    • Durante a entrada, os usuários são solicitados a conceder permissão ao aplicativo para acessar o perfil e outras permissões. A primeira pessoa a dar o consentimento faz com que a entidade de serviço que representa o aplicativo seja adicionada ao diretório.
  • Quando os usuários entram nos serviços online da Microsoft, como o Microsoft 365.
    • Quando você assina o Microsoft 365 ou inicia uma avaliação, uma ou mais entidades de serviço são criadas no diretório e representam vários serviços usados para fornecer toda a funcionalidade associada ao Microsoft 365.
    • Alguns serviços do Microsoft 365, como o SharePoint, criam entidades de serviço de forma contínua para permitir a comunicação segura entre os componentes, inclusive em fluxos de trabalho.
  • Quando um administrador adiciona um aplicativo da galeria de aplicativos (isso também cria um objeto de aplicativo subjacente)
  • Adicionar um aplicativo para usar o proxy de aplicativo Microsoft Entra
  • Conectar um aplicativo para SSO com o SAML ou senha de SSO
  • Programaticamente por meio da API do Microsoft Graph ou do PowerShell

Um aplicativo tem um objeto de aplicativo no diretório base que é referenciado por uma ou mais entidades de serviço em cada um dos diretórios onde opera (incluindo o diretório base do aplicativo).

Mostra a relação entre os objetos de aplicativo e as entidades de serviço

No diagrama anterior, a Microsoft mantém dois diretórios internamente (mostrados à esquerda) que usa para publicar aplicativos:

  • Um para Microsoft Apps (diretório de serviços da Microsoft)
  • Um para aplicativos de terceiros pré-integrados (diretório da galeria de aplicativos)

Publicadores/fornecedores de aplicativos que se integram ao Microsoft Entra ID precisam ter um diretório de publicação (mostrado à direita como "Algum diretório SaaS" (software como serviço)).

Os aplicativos que você adiciona (representados como Aplicativo (seu) no diagrama) incluem:

  • Aplicativos desenvolvidos (integrados ao Microsoft Entra ID)
  • Aplicativos conectados por você para logon único
  • Aplicativos que você publicou usando o proxy de aplicativo do Microsoft Entra

Notas e exceções

  • Nem todas as entidades de serviço apontam para um objeto de aplicativo. Quando o Microsoft Entra ID foi originalmente criado, os serviços fornecidos aos aplicativos eram mais limitados e a entidade de serviço era suficiente para estabelecer uma identidade do aplicativo. A entidade de serviço original era mais próxima, em termos de formato, da conta de serviço do Active Directory do Windows Server. Por esse motivo, ainda é possível criar entidades de serviço por meio de caminhos diferentes, como usar o Microsoft Graph PowerShell, sem primeiro criar um objeto de aplicativo. A API de Microsoft Graph precisa de um objeto de aplicativo antes de criar uma entidade de serviço.
  • Nem todas as informações descritas acima estão expostas programaticamente. Os itens a seguir estão disponíveis apenas na interface do usuário:
    • Declara regras de transformação
    • Mapeamentos de atributos (provisionamento do usuário)
  • Para obter informações mais detalhadas sobre a entidade de serviço e os objetos de aplicativo, consulte a documentação de referência da API do Microsoft Graph:

Por que os aplicativos se integram com Microsoft Entra ID?

Os aplicativos são adicionados ao Microsoft Entra ID para aproveitar um ou mais dos serviços fornecidos, incluindo:

  • Autenticação e autorização de aplicativos
  • Autenticação e autorização de usuário
  • SSO usando federação ou senha
  • Provisionamento e sincronização de usuário
  • Controle de acesso baseado em função (RBAC) – use o diretório para definir funções de aplicativo para executar verificações de autorização baseadas em funções em um aplicativo
  • Serviços de autorização OAuth – usados pelo Microsoft 365 e por outros aplicativos da Microsoft para autorizar o acesso a APIs/recursos
  • Publicação de aplicativo e proxy - Publique um aplicativo a partir de uma rede privada na Internet
  • Atributos de extensão de esquema de diretório: amplie o esquema de entidade de serviço e objetos de usuário para armazenar dados adicionais ao Microsoft Entra ID

Quem tem permissão para adicionar aplicativos à minha instância do Microsoft Entra?

Por padrão, todos os usuários no seu diretório têm o direito de registrar objetos de aplicativo que estão desenvolvendo e têm a discrição sobre quais aplicativos eles compartilham/dão acesso aos seus dados organizacionais por meio de consentimento. Se uma pessoa for o primeiro usuário no diretório a entrar em um aplicativo e fornecer consentimento, isso criará uma entidade de serviço no locatário. Caso contrário, as informações de concessão de consentimento serão armazenadas na entidade de serviço existente.

Permitir que usuários registrem e forneçam consentimento a aplicativos inicialmente pode parecer preocupante, mas lembre-se do seguinte:

  • Os aplicativos foram capazes de aproveitar o Windows Server Active Directory para autenticação de usuário por muitos anos sem exigir que o aplicativo fosse registrado ou gravado no diretório. Agora, a organização terá visibilidade aprimorada para saber exatamente quantos aplicativos estão usando o diretório e com que finalidade.
  • Delegar essas responsabilidades aos usuários nega a necessidade de registro de aplicativo controlado pelo administrador e processo de publicação. Com o ADFS (Serviços de Federação do Active Directory), era provável que um administrador tivesse que adicionar um aplicativo como parte confiável em nome de seus desenvolvedores. Agora, os desenvolvedores podem usar o autoatendimento.
  • Usuários que entram em aplicativos usando as contas da organização para fins comerciais é algo positivo. Se esses usuários saírem da organização posteriormente, automaticamente perderão o acesso à conta deles no aplicativo que estavam utilizando.
  • Ter um registro de quais dados foram compartilhados com qual o aplicativo é algo bom. Os dados estão mais transportáveis do que nunca e é útil ter um registro evidente de quem compartilhou quais dados com quais aplicativos.
  • Proprietários de API que usam o Microsoft Entra ID para OAuth decidem exatamente quais permissões os usuários podem conceder aos aplicativos e quais permissões exigem o consentimento de um administrador. Somente administradores podem conceder escopos maiores e permissões mais significativas, enquanto o consentimento do usuário é direcionado aos dados e recursos próprios dos usuários.
  • Quando um usuário adiciona ou permite que um aplicativo acesse seus dados, o evento poderá ser auditado de modo que você possa ver os Relatórios de Auditoria dentro do centro de administração do Microsoft Entra para determinar como um aplicativo foi adicionado ao diretório.

Se você ainda quiser impedir os usuários no seu diretório de registrarem aplicativos e de entrarem em aplicativos sem a aprovação do administrador, há duas configurações que você poderá alterar para desativar esses recursos:

  • Para alterar as configurações de consentimento do usuário em sua organização, consulte Configurar como os usuários consentirão com os aplicativos.

  • Para impedir que os usuários registrem seus próprios aplicativos:

    1. No centro de administração do Microsoft Entra, navegue até Identidade>Usuários>Configurações de usuário.
    2. Altere Os usuários podem registrar aplicativos para Não.