Übersicht über Microsoft Entra anwendungsverwaltungsrichtlinien-API
Namespace: microsoft.graph
Wichtig
Die APIs unter der /beta
Version in Microsoft Graph können sich ändern. Die Verwendung dieser APIs in Produktionsanwendungen wird nicht unterstützt. Um festzustellen, ob eine API in v1.0 verfügbar ist, verwenden Sie die Version Selektor.
Mithilfe von Anwendungsverwaltungsrichtlinien können IT-Administratoren bewährte Methoden für die Konfiguration von Apps in ihren Organisationen erzwingen. Beispielsweise kann ein Administrator eine Richtlinie konfigurieren, um die Verwendung von Kennwortgeheimnissen zu blockieren oder die Lebensdauer zu begrenzen, und das Erstellungsdatum des Objekts verwenden, um die Richtlinie zu erzwingen.
Diese Richtlinien ermöglichen Es Organisationen, die neuen Features zur App-Sicherheitshärtung zu nutzen. Durch das Erzwingen von Einschränkungen, die auf dem Erstellungsdatum der Anwendung oder des Dienstprinzipals basieren, kann ein organization seinen aktuellen App-Sicherheitsstatus überprüfen, Apps inventarisieren und Kontrollen gemäß seinen Ressourcenzeitplänen und -anforderungen erzwingen. Dieser Ansatz mit dem Erstellungsdatum ermöglicht es dem organization, die Richtlinie für neue Anwendungen zu erzwingen und sie auch auf vorhandene Anwendungen anzuwenden.
Es gibt zwei Arten von Richtliniensteuerelementen:
- Mandantenstandardrichtlinie, die für alle Anwendungen oder Dienstprinzipale gilt.
- App-Verwaltungsrichtlinien (Anwendung oder Dienstprinzipal), mit denen einzelne Anwendungen in die Standardrichtlinie des Mandanten eingeschlossen oder ausgeschlossen werden können.
Mandanten-Standard-App-Verwaltungsrichtlinie
Eine Mandantenstandardrichtlinie ist ein einzelnes Objekt, das immer vorhanden ist und standardmäßig deaktiviert ist. Sie wird von der ressource tenantAppManagementPolicy definiert und erzwingt Einschränkungen für Anwendungs- und Dienstprinzipalobjekte. Sie enthält die folgenden beiden Eigenschaften:
- applicationRestrictions ermöglicht die Ausrichtung auf Anwendungen im Besitz des Mandanten (Anwendungsobjekte).
- servicePrincipalRestrictions ermöglicht die Ausrichtung, die von einem anderen Mandanten (Dienstprinzipalobjekten) bereitgestellt wird.
Diese Eigenschaften ermöglichen es einem organization, die Konfiguration von Apps, die von ihrem Mandanten stammen, und der instance einer externen Anwendung separat zu steuern.
App-Verwaltungsrichtlinie für Anwendungen und Dienstprinzipale
App-Verwaltungsrichtlinien werden in der appManagementPolicy-Ressource definiert, die eine Sammlung von Richtlinien mit unterschiedlichen Einschränkungen oder anderen Erzwingungsterminen als in der Mandantenstandardrichtlinie definiert enthält. Eine dieser Richtlinien kann einer Anwendung oder einem Dienstprinzipal zugewiesen werden, um die Mandantenstandardrichtlinie außer Kraft zu setzen.
Wenn die Mandantenstandardrichtlinie und eine App-Verwaltungsrichtlinie dieselbe Einschränkung definieren, hat die App-Verwaltungsrichtlinie Vorrang. Wenn eine Einschränkung für eine App-Verwaltungsrichtlinie in einem disabled
Zustand festgelegt wird, gilt diese Einschränkung nicht für Apps, für die diese Richtlinie verknüpft ist, unabhängig davon, was die Mandantenstandardrichtlinie normalerweise erzwingen würde. Wenn eine Einschränkung für eine App-Verwaltungsrichtlinie in einem enabled
Zustand festgelegt wird, gilt diese Einschränkung auch für Apps, deren Richtlinie mit ihnen verknüpft ist. Wenn die App-Verwaltungsrichtlinie jedoch kein Verhalten für eine bestimmte Einschränkung definiert, greift sie auf das Verhalten der Mandantenstandardrichtlinie zurück. Einer Anwendung oder einem Dienstprinzipal kann nur eine App-Verwaltungsrichtlinie zugewiesen werden.
Hinweis
Weder der Mandantenstandard noch die App-Verwaltungsrichtlinien blockieren die Tokenausstellung für vorhandene Anwendungen. Eine Anwendung, die die Richtlinienanforderungen nicht erfüllt, funktioniert weiterhin. nur der App-Erstellungs-/Aktualisierungsvorgang, der gegen die Richtlinie verstößt, wird blockiert.
Welche Einschränkungen können in Microsoft Graph verwaltet werden?
Die Richtlinien-API für Anwendungsauthentifizierungsmethoden bietet die folgenden Einschränkungen:
Einschränkungsname | Beschreibung | Beispiele |
---|---|---|
passwordAddition | Schränken Sie Kennwortgeheimnisse für Anwendungen vollständig ein. | Neue Kennwörter für Anwendungen blockieren, die am oder nach dem '01.01.2019' erstellt wurden. |
passwordLifetime | Erzwingen Sie einen maximalen Lebensdauerbereich für ein Kennwortgeheimnis. | Beschränken Sie alle neuen Kennwortgeheimnisse für Anwendungen, die nach dem 01.01.2015 erstellt wurden, auf maximal 30 Tage. |
customPasswordAddition | Einschränken eines benutzerdefinierten Kennwortgeheimnisses für die Anwendung oder den Dienstprinzipal. | Schränken Sie alle neuen benutzerdefinierten (nicht von Azure AD generierten) Kennwortgeheimnisse auf Anwendungen ein, die nach dem 01.01.2015 erstellt wurden. |
symmetricKeyAddition | Einschränken symmetrischer Schlüssel für Anwendungen. | Blockieren sie neue symmetrische Schlüssel für Anwendungen, die am oder nach dem 01.01.2019 erstellt wurden. |
symmetricKeyLifetime | Erzwingen Sie einen maximalen Lebensdauerbereich für einen symmetrischen Schlüssel. | Beschränken Sie alle neuen symmetrischen Schlüssel für Anwendungen, die nach dem 01.01.2019 erstellt wurden, auf maximal 30 Tage. |
asymmetricKeyLifetime | Erzwingen Sie einen maximalen Lebensdauerbereich für einen asymmetrischen Schlüssel (Zertifikat). | Beschränken Sie alle anmeldeinformationen für neue asymmetrische Schlüssel für Anwendungen, die nach dem 01.01.2019 erstellt wurden, auf maximal 30 Tage. |
trustedCertificateAuthority | Erzwingen Sie die Liste der vertrauenswürdigen Zertifizierungsstellen. | Blockieren Sie alle anmeldeinformationen für neue asymmetrische Schlüssel, wenn der Aussteller nicht in der Liste der vertrauenswürdigen Zertifizierungsstellen aufgeführt ist. |
nonDefaultUriAddition | Blockieren sie neue Bezeichner-URIs für Apps mit Ausnahme des URI-Formats "Standard". | Blockieren Sie neue Bezeichner-URIs für Apps, es sei denn, sie weisen das Format api://{appId} oder auf api://{tenantId}/{appId} . |
Hinweis
Alle Einschränkungen für die Lebensdauer werden im ISO-8601-Dauerformat ausgedrückt (z. B. P4DT12H30M5S).
Durch anwenden der Einschränkung customPasswordAddition werden alle älteren PowerShell-Module blockiert, die Anwendungen oder Dienstprinzipalen ein vom Client generiertes Kennwort hinzufügen. Diese Einschränkung blockiert keine Microsoft Entra ID generierten Anwendungs- oder Dienstprinzipalkennwörter.
Einzel- und mehrinstanzenfähige Apps
Je nachdem, ob es sich bei Ihrer App um eine app mit einem Mandanten oder um eine mehrinstanzenfähige App handelt, wenden Sie die Richtlinie auf eine Anwendung oder das Dienstprinzipalobjekt wie folgt an:
- Wenden Sie für Einzelmandanten-Apps die Richtlinie auf das Anwendungsobjekt an.
- Um mehrinstanzenfähige Apps einzuschränken, die in einem Kundenmandanten verwaltet werden, wenden Sie die Richtlinie auf das Anwendungsobjekt an.
- Um mehrinstanzenfähige Apps einzuschränken, die von einem anderen Mandanten bereitgestellt werden, wenden Sie die Richtlinie auf das Dienstprinzipalobjekt an.
Zusammenfassung der wichtigsten Unterschiede zwischen der Mandantenstandardrichtlinie und den App-Verwaltungsrichtlinien
Mandantenstandardrichtlinie | App-Verwaltungsrichtlinie |
---|---|
Die Richtlinie ist immer vorhanden. | Richtlinienobjekte können erstellt oder aktualisiert werden, um die Standardrichtlinie zu überschreiben. |
Lässt nur eine einzelne Einschränkungsobjektdefinition für alle Ressourcen zu. | Ermöglicht die Definition mehrerer Richtlinienobjekte, aber nur eines kann auf eine Ressource angewendet werden. |
Ermöglicht die Unterscheidung von Einschränkungen für Anwendungsobjekte und Dienstprinzipale. | Die Richtlinie kann auf ein Anwendungs- oder Dienstprinzipalobjekt angewendet werden. |
Wendet alle konfigurierten Einschränkungen auf alle Apps oder Dienstprinzipale an. | Wendet die in der Ressourcenrichtlinie konfigurierten Einschränkungen auf die angegebene App oder den angegebenen Dienstprinzipal an. Alles, was nicht definiert ist, erbt von der Standardrichtlinie. |
Anforderungen
- Die am wenigsten privilegierten Microsoft Entra Rollen für die Verwaltung von Richtlinien für die Anwendungsauthentifizierungsmethode sind Anwendungsadministrator und Cloudanwendungsadministrator.