Freigeben über


Übersicht über Microsoft Entra anwendungsverwaltungsrichtlinien-API

Namespace: microsoft.graph

Wichtig

Die APIs unter der /beta Version in Microsoft Graph können sich ändern. Die Verwendung dieser APIs in Produktionsanwendungen wird nicht unterstützt. Um festzustellen, ob eine API in v1.0 verfügbar ist, verwenden Sie die Version Selektor.

Mithilfe von Anwendungsverwaltungsrichtlinien können IT-Administratoren bewährte Methoden für die Konfiguration von Apps in ihren Organisationen erzwingen. Beispielsweise kann ein Administrator eine Richtlinie konfigurieren, um die Verwendung von Kennwortgeheimnissen zu blockieren oder die Lebensdauer zu begrenzen, und das Erstellungsdatum des Objekts verwenden, um die Richtlinie zu erzwingen.

Diese Richtlinien ermöglichen Es Organisationen, die neuen Features zur App-Sicherheitshärtung zu nutzen. Durch das Erzwingen von Einschränkungen, die auf dem Erstellungsdatum der Anwendung oder des Dienstprinzipals basieren, kann ein organization seinen aktuellen App-Sicherheitsstatus überprüfen, Apps inventarisieren und Kontrollen gemäß seinen Ressourcenzeitplänen und -anforderungen erzwingen. Dieser Ansatz mit dem Erstellungsdatum ermöglicht es dem organization, die Richtlinie für neue Anwendungen zu erzwingen und sie auch auf vorhandene Anwendungen anzuwenden.

Es gibt zwei Arten von Richtliniensteuerelementen:

  • Mandantenstandardrichtlinie, die für alle Anwendungen oder Dienstprinzipale gilt.
  • App-Verwaltungsrichtlinien (Anwendung oder Dienstprinzipal), die das Einschließen oder Ausschließen einzelner Anwendungen aus der Mandantenstandardrichtlinie zulassen.

Mandanten-Standard-App-Verwaltungsrichtlinie

Eine Mandantenstandardrichtlinie ist ein einzelnes Objekt, das immer vorhanden ist und standardmäßig deaktiviert ist. Sie wird von der ressource tenantAppManagementPolicy definiert und erzwingt Einschränkungen für Anwendungs- und Dienstprinzipalobjekte. Sie enthält die folgenden beiden Eigenschaften:

  • applicationRestrictions ermöglicht die Ausrichtung auf Anwendungen im Besitz des Mandanten (Anwendungsobjekte).
  • servicePrincipalRestrictions ermöglicht die Zielbereitstellung von einem anderen Mandanten (Dienstprinzipalobjekte.

Diese Eigenschaften ermöglichen eine organization die Verwendung von Anmeldeinformationen in Apps zu sperren, die von ihrem Mandanten stammen, und bieten einen Mechanismus zum Steuern des Hinzufügens von Anmeldeinformationen in extern bereitgestellten Anwendungen, um sie vor Missbrauch von Anmeldeinformationen zu schützen. Der Anwendungsbesitzer einer mehrinstanzenfähigen App kann weiterhin jede Art von Anmeldeinformationen in ihrem Anwendungsobjekt verwenden, aber die Richtlinie schützt den Dienstprinzipal nur vor Missbrauch von Anmeldeinformationen.

App-Verwaltungsrichtlinie für Anwendungen und Dienstprinzipale

App-Verwaltungsrichtlinien werden in der appManagementPolicy-Ressource definiert, die eine Sammlung von Richtlinien mit unterschiedlichen Einschränkungen oder anderen Erzwingungsterminen als in der Mandantenstandardrichtlinie definiert enthält. Eine dieser Richtlinien kann einer Anwendung oder einem Dienstprinzipal zugewiesen werden, wobei sie von der Standardrichtlinie des Mandanten ausgeschlossen wird.

Wenn sowohl die Mandantenstandardrichtlinie als auch eine App-Verwaltungsrichtlinie vorhanden sind, hat die App-Verwaltungsrichtlinie Vorrang, und die zugewiesene Anwendung oder der Dienstprinzipal erbt nicht von der Mandantenstandardrichtlinie. Einer Anwendung oder einem Dienstprinzipal kann nur eine Richtlinie zugewiesen werden.

Hinweis

Weder die Mandantenstandardrichtlinien noch die App-Verwaltungsrichtlinien blockieren die Tokenausstellung für vorhandene Anwendungen. Eine Anwendung, die die Richtlinienanforderungen nicht erfüllt, funktioniert weiterhin, bis sie versucht, die Ressource zu aktualisieren, um ein neues Geheimnis hinzuzufügen.

Welche Einschränkungen können in Microsoft Graph verwaltet werden?

Die Richtlinien-API für Anwendungsauthentifizierungsmethoden bietet die folgenden Einschränkungen:

Einschränkungsname Beschreibung Beispiele
passwordAddition Schränken Sie Kennwortgeheimnisse für Anwendungen vollständig ein. Neue Kennwörter für Anwendungen blockieren, die am oder nach dem '01.01.2019' erstellt wurden.
passwordLifetime Erzwingen Sie einen maximalen Lebensdauerbereich für ein Kennwortgeheimnis. Beschränken Sie alle neuen Kennwortgeheimnisse für Anwendungen, die nach dem 01.01.2015 erstellt wurden, auf maximal 30 Tage.
customPasswordAddition Einschränken eines benutzerdefinierten Kennwortgeheimnisses für die Anwendung oder den Dienstprinzipal. Schränken Sie alle neuen benutzerdefinierten (nicht von Azure AD generierten) Kennwortgeheimnisse auf Anwendungen ein, die nach dem 01.01.2015 erstellt wurden.
symmetricKeyAddition Einschränken symmetrischer Schlüssel für Anwendungen. Blockieren sie neue symmetrische Schlüssel für Anwendungen, die am oder nach dem 01.01.2019 erstellt wurden.
symmetricKeyLifetime Erzwingen Sie einen maximalen Lebensdauerbereich für einen symmetrischen Schlüssel. Beschränken Sie alle neuen symmetrischen Schlüssel für Anwendungen, die nach dem 01.01.2019 erstellt wurden, auf maximal 30 Tage.
asymmetricKeyLifetime Erzwingen Sie einen maximalen Lebensdauerbereich für einen asymmetrischen Schlüssel (Zertifikat). Beschränken Sie alle anmeldeinformationen für neue asymmetrische Schlüssel für Anwendungen, die nach dem 01.01.2019 erstellt wurden, auf maximal 30 Tage.
trustedCertificateAuthority Erzwingen Sie die Liste der vertrauenswürdigen Zertifizierungsstellen. Blockieren Sie alle anmeldeinformationen für neue asymmetrische Schlüssel, wenn der Aussteller nicht in der Liste der vertrauenswürdigen Zertifizierungsstellen aufgeführt ist.
nonDefaultUriAddition Blockieren sie neue Bezeichner-URIs für Apps mit Ausnahme des URI-Formats "Standard". Blockieren sie neue Bezeichner-URIs für Apps, es sei denn, sie haben das Format api://{appId}.

Hinweis

Alle Einschränkungen für die Lebensdauer werden im ISO-8601-Dauerformat ausgedrückt (z. B. P4DT12H30M5S).

Durch anwenden der Einschränkung customPasswordAddition werden alle älteren PowerShell-Module blockiert, die Anwendungen oder Dienstprinzipalen ein vom Client generiertes Kennwort hinzufügen. Diese Einschränkung blockiert keine Microsoft Entra ID generierten Anwendungs- oder Dienstprinzipalkennwörter.

Einzel- und mehrinstanzenfähige Apps

Je nachdem, ob es sich bei Ihrer App um eine app mit einem Mandanten oder um eine mehrinstanzenfähige App handelt, wenden Sie die Richtlinie auf eine Anwendung oder das Dienstprinzipalobjekt wie folgt an:

  • Wenden Sie für Einzelmandanten-Apps die Richtlinie auf das Anwendungsobjekt an.
  • Um mehrinstanzenfähige Apps einzuschränken, die in einem Kundenmandanten verwaltet werden, wenden Sie die Richtlinie auf das Anwendungsobjekt an.
  • Um mehrinstanzenfähige Apps einzuschränken, die von einem anderen Mandanten bereitgestellt werden, wenden Sie die Richtlinie auf das Dienstprinzipalobjekt an.

Zusammenfassung der wichtigsten Unterschiede zwischen der Mandantenstandardrichtlinie und den App-Verwaltungsrichtlinien

Mandantenstandardrichtlinie App-Verwaltungsrichtlinie
Die Richtlinie ist immer vorhanden. Richtlinienobjekte können erstellt oder aktualisiert werden, um die Standardrichtlinie zu überschreiben.
Einschränkungen sind für App/SP standardmäßig deaktiviert. Ermöglicht die Anpassung für einen einzelnen mandanten oder mehrinstanzenfähigen (unterstützende App im Basismandanten oder bereitgestellten Apps).
Lässt nur eine einzelne Einschränkungsobjektdefinition für alle Ressourcen zu. Ermöglicht die Definition mehrerer Richtlinienobjekte, aber nur eines kann auf eine Ressource angewendet werden.
Ermöglicht die Unterscheidung von Einschränkungen für Anwendungsobjekte und Dienstprinzipale. Die Richtlinie kann auf ein Anwendungs- oder Dienstprinzipalobjekt angewendet werden.
Wendet alle konfigurierten Einschränkungen auf alle Apps oder Dienstprinzipale an. Wendet nur die in der Ressourcenrichtlinie konfigurierten Einschränkungen auf die angegebene App oder den angegebenen Dienstprinzipal an und erbt nicht von der Standardrichtlinie.

Anforderungen

Nächste Schritte