Compartilhar via


descrição geral da API de políticas de gestão de aplicações Microsoft Entra

Namespace: microsoft.graph

Importante

As APIs na versão /beta no Microsoft Graph estão sujeitas a alterações. Não há suporte para o uso dessas APIs em aplicativos de produção. Para determinar se uma API está disponível na v1.0, use o seletor Versão.

As políticas de gestão de aplicações permitem aos administradores de TI impor as melhores práticas para a forma como as aplicações nas suas organizações devem ser configuradas. Por exemplo, um administrador pode configurar uma política para bloquear a utilização ou limitar a duração dos segredos da palavra-passe e utilizar a data de criação do objeto para impor a política.

Estas políticas permitem que as organizações tirem partido das novas funcionalidades de proteção de segurança de aplicações. Ao impor restrições baseadas na data de criação da aplicação ou do principal de serviço, uma organização pode rever a sua postura atual de segurança de aplicações, aplicações de inventário e impor controlos de acordo com as respetivas agendas e necessidades de recursos. Esta abordagem através da data de criação permite à organização impor a política para novas aplicações e também aplicá-la às aplicações existentes.

Existem dois tipos de controlos de política:

  • Política predefinida de inquilino que se aplica a todas as aplicações ou principais de serviço.
  • Políticas de gestão de aplicações (aplicação ou principal de serviço) que permitem que aplicações individuais sejam incluídas ou excluídas da política predefinida do inquilino.

Política de gestão de aplicações predefinida do inquilino

Uma política predefinida de inquilino é um único objeto que existe sempre e está desativado por predefinição. É definido pelo recurso tenantAppManagementPolicy e impõe restrições em objetos de aplicação vs. principal de serviço. Contém as duas propriedades seguintes:

  • applicationRestrictions permite filtrar aplicações pertencentes ao inquilino (objetos de aplicação).
  • servicePrincipalRestrictions permite a filtragem aprovisionada a partir de outro inquilino (objetos do principal de serviço).

Estas propriedades permitem que uma organização controle separadamente a configuração das aplicações originárias do respetivo inquilino vs. a instância do inquilino de uma aplicação externa.

Política de gestão de aplicações para aplicações e principais de serviço

As políticas de gestão de aplicações são definidas no recurso appManagementPolicy , que contém uma coleção de políticas com restrições variadas ou datas de imposição diferentes das definidas na política predefinida do inquilino. Uma destas políticas pode ser atribuída a uma aplicação ou principal de serviço para substituir a política predefinida do inquilino.

Quando a política predefinida do inquilino e uma política de gestão de aplicações definem a mesma restrição, a política de gestão de aplicações tem precedência. Se for definida uma restrição numa política de gestão de aplicações num disabled estado, essa restrição não se aplicará às aplicações com essa política ligada às mesmas, independentemente do que a política predefinida do inquilino normalmente imporia. Da mesma forma, se for definida uma restrição numa política de gestão de aplicações num enabled estado, essa restrição será aplicada às aplicações com essa política associada às mesmas. No entanto, se a política de gestão de aplicações não definir qualquer comportamento para uma determinada restrição, reverterá para o comportamento da política predefinida do inquilino. Apenas uma política de gestão de aplicações pode ser atribuída a uma aplicação ou principal de serviço.

Observação

Nem a predefinição do inquilino nem as políticas de gestão de aplicações bloqueiam a emissão de tokens para aplicações existentes. Uma aplicação que não cumpre os requisitos de política continua a funcionar; apenas a operação de criação/atualização de aplicações que viola a política está bloqueada.

Que restrições podem ser geridas no Microsoft Graph?

A API de política de métodos de autenticação de aplicações oferece as seguintes restrições:

Nome da restrição Descrição Exemplos
passwordAddition Restringir completamente os segredos de palavras-passe em aplicações. Bloquear novas palavras-passe em aplicações criadas em ou depois de "01/01/2019".
passwordLifetime Impor um intervalo de duração máximo para um segredo de palavra-passe. Restringir todos os novos segredos de palavra-passe a um máximo de 30 dias para aplicações criadas após 01/01/01/2015.
customPasswordAddition Restringir um segredo de palavra-passe personalizado na aplicação ou principal de serviço. Restringir todos os novos segredos de palavra-passe personalizados (não Azure AD gerados) em aplicações criadas após 01/01/01/2015.
symmetricKeyAddition Restringir chaves simétricas em aplicações. Bloquear novas chaves simétricas em aplicações criadas em ou depois de 01/01/2019.
symmetricKeyLifetime Impor um intervalo de duração máximo para uma chave simétrica. Restringir todas as novas chaves simétricas a um máximo de 30 dias para aplicações criadas após 01/01/01/2019.
asymmetricKeyLifetime Impor um intervalo de duração máximo para uma chave assimétrica (certificado). Restringir todas as novas credenciais de chave assimétrica a um máximo de 30 dias para aplicações criadas após 01/01/01/2019.
trustedCertificateAuthority Impor a lista de autoridades de certificação fidedignas. Bloqueie todas as novas credenciais de chave assimétrica se o emissor não estiver listado na lista de autoridades de certificação fidedignas.
nonDefaultUriAddition Bloquear novos URIs de identificador para aplicações, exceto o formato de URI "predefinido". Bloqueie novos URIs de identificador para aplicações, a menos que sejam do formato api://{appId} ou api://{tenantId}/{appId}.

Observação

Todas as restrições de duração são expressas no formato de duração ISO-8601 (por exemplo: P4DT12H30M5S).

A aplicação da restrição customPasswordAddition bloqueará quaisquer módulos do PowerShell legados que adicionem um segredo de palavra-passe gerado pelo cliente a aplicações ou principais de serviço. Esta restrição não bloqueia a aplicação gerada Microsoft Entra ID ou os segredos da palavra-passe do principal de serviço.

Aplicações individuais vs. multi-inquilino

Consoante a aplicação seja um único inquilino ou uma aplicação multi-inquilino, aplica a política numa aplicação ou no objeto do principal de serviço da seguinte forma:

  • Para aplicações de inquilino único, aplique a política ao objeto da aplicação.
  • Para restringir as aplicações multi-inquilinos alojadas num inquilino do cliente, aplique a política ao objeto da aplicação.
  • Para restringir as aplicações multi-inquilino aprovisionadas a partir de outro inquilino, aplique a política ao objeto do principal de serviço.

Resumo das principais diferenças entre a política predefinida do inquilino e as políticas de gestão de aplicações

Política predefinida do inquilino Política de gestão de aplicações
A política existe sempre. Os objetos de política podem ser criados ou atualizados para substituir a política predefinida.
Permite apenas a definição de objeto de restrição única para todos os recursos. Permite a definição de vários objetos de política, mas apenas um pode ser aplicado a um recurso.
Permite a distinção de restrições para objetos de aplicação vs. principais de serviço. A política pode ser aplicada a uma aplicação ou a um objeto de principal de serviço.
Aplica todas as restrições configuradas a todas as aplicações ou principais de serviço. Aplica as restrições configuradas na política de recursos à aplicação ou principal de serviço especificado. Tudo o que não estiver definido herda da política predefinida.

Requisitos

  • As funções de Microsoft Entra menos privilegiadas para a gestão de políticas de método de autenticação de aplicações são Administrador de Aplicações e Administrador de Aplicações na Cloud.