introducción a la API de directivas de administración de aplicaciones de Microsoft Entra
Espacio de nombres: microsoft.graph
Importante
Las API de la versión /beta
de Microsoft Graph están sujetas a cambios. No se admite el uso de estas API en aplicaciones de producción. Para determinar si una API está disponible en la versión 1.0, use el selector de Versión.
Las directivas de administración de aplicaciones permiten a los administradores de TI aplicar los procedimientos recomendados para configurar las aplicaciones de sus organizaciones. Por ejemplo, un administrador podría configurar una directiva para bloquear el uso o limitar la duración de los secretos de contraseña y usar la fecha de creación del objeto para aplicar la directiva.
Estas directivas permiten a las organizaciones aprovechar las nuevas características de protección de seguridad de aplicaciones. Al aplicar restricciones basadas en la fecha de creación de la aplicación o entidad de servicio, una organización puede revisar su posición actual de seguridad de la aplicación, las aplicaciones de inventario y aplicar controles según sus programaciones y necesidades de recursos. Este enfoque mediante la fecha de creación permite a la organización aplicar la directiva para nuevas aplicaciones y también aplicarla a las aplicaciones existentes.
Hay dos tipos de controles de directiva:
- Directiva predeterminada del inquilino que se aplica a todas las aplicaciones o entidades de servicio.
- Directivas de administración de aplicaciones (aplicación o entidad de servicio) que permiten incluir o excluir aplicaciones individuales de la directiva predeterminada del inquilino.
Directiva de administración de aplicaciones predeterminada del inquilino
Una directiva predeterminada de inquilino es un único objeto que siempre existe y está deshabilitado de forma predeterminada. Se define mediante el recurso tenantAppManagementPolicy y aplica restricciones en los objetos de aplicación y entidad de servicio. Contiene las dos propiedades siguientes:
- applicationRestrictions permite dirigirse a aplicaciones propiedad del inquilino (objetos de aplicación).
- servicePrincipalRestrictions permite el aprovisionamiento de destino desde otro inquilino (objetos de entidad de servicio).
Estas propiedades permiten a una organización controlar por separado la configuración de las aplicaciones que se originan en su inquilino frente a la instancia de su inquilino de una aplicación de propiedad externa.
Directiva de administración de aplicaciones para aplicaciones y entidades de servicio
Las directivas de administración de aplicaciones se definen en el recurso appManagementPolicy , que contiene una colección de directivas con restricciones variables o fechas de cumplimiento diferentes de las definidas en la directiva predeterminada del inquilino. Una de estas directivas se puede asignar a una aplicación o entidad de servicio para invalidar la directiva predeterminada del inquilino.
Cuando la directiva predeterminada del inquilino y una directiva de administración de aplicaciones definen la misma restricción, la directiva de administración de aplicaciones tiene prioridad. Si se establece una restricción en una directiva de administración de aplicaciones en un disabled
estado, esa restricción no se aplicará a las aplicaciones con esa directiva vinculadas a ellas, independientemente de lo que la directiva predeterminada del inquilino aplicaría normalmente. De forma similar, si se establece una restricción en una directiva de administración de aplicaciones en un enabled
estado, esa restricción se aplicará a las aplicaciones con esa directiva vinculada a ellas. Sin embargo, si la directiva de administración de aplicaciones no define ningún comportamiento para una restricción determinada, vuelve al comportamiento de la directiva predeterminada del inquilino. Solo se puede asignar una directiva de administración de aplicaciones a una aplicación o entidad de servicio.
Nota:
Ni el valor predeterminado del inquilino ni las directivas de administración de aplicaciones bloquean la emisión de tokens para las aplicaciones existentes. Una aplicación que no cumple los requisitos de directiva sigue funcionando; solo se bloquea la operación de creación y actualización de aplicaciones que infringe la directiva.
¿Qué restricciones se pueden administrar en Microsoft Graph?
La API de directiva de métodos de autenticación de aplicaciones ofrece las siguientes restricciones:
Nombre de restricción | Descripción | Ejemplos |
---|---|---|
passwordAddition | Restrinja completamente los secretos de contraseña en las aplicaciones. | Bloquee las contraseñas nuevas en las aplicaciones creadas en o después de '01/01/2019'. |
passwordLifetime | Aplicar un intervalo de duración máximo para un secreto de contraseña. | Restrinja todos los nuevos secretos de contraseña a un máximo de 30 días para las aplicaciones creadas después del 01/01/2015. |
customPasswordAddition | Restringir un secreto de contraseña personalizado en la aplicación o la entidad de servicio. | Restrinja todos los nuevos secretos de contraseña personalizados (no generados por Azure AD) en las aplicaciones creadas después del 01/01/2015. |
symmetricKeyAddition | Restringir las claves simétricas en las aplicaciones. | Bloquee las nuevas claves simétricas en las aplicaciones creadas en o después del 01/01/2019. |
symmetricKeyLifetime | Aplicar un intervalo de duración máximo para una clave simétrica. | Restrinja todas las claves simétricas nuevas a un máximo de 30 días para las aplicaciones creadas después del 01/01/2019. |
asymmetricKeyLifetime | Aplicar un intervalo de duración máxima para una clave asimétrica (certificado). | Restrinja todas las credenciales de clave asimétrica nuevas a un máximo de 30 días para las aplicaciones creadas después del 01/01/2019. |
trustedCertificateAuthority | Aplicar la lista de entidades de certificación de confianza. | Bloquee todas las nuevas credenciales de clave asimétrica si el emisor no aparece en la lista de entidades de certificación de confianza. |
nonDefaultUriAddition | Bloquee los nuevos URI de identificador para las aplicaciones, excepto el formato DE URI "predeterminado". | Bloquee los uri de identificador nuevos para las aplicaciones a menos que tengan el formato api://{appId} o api://{tenantId}/{appId} . |
Nota:
Todas las restricciones de duración se expresan en formato de duración ISO-8601 (por ejemplo, P4DT12H30M5S).
La aplicación de la restricción customPasswordAddition bloqueará los módulos heredados de PowerShell que agreguen un secreto de contraseña generado por el cliente a aplicaciones o entidades de servicio. Esta restricción no bloquea los secretos de contraseña de la aplicación o la entidad de servicio generados por Microsoft Entra ID.
Aplicaciones individuales frente a multiinquilino
En función de si la aplicación es un único inquilino o una aplicación multiinquilino, la directiva se aplica en una aplicación o en el objeto de entidad de servicio de la siguiente manera:
- En el caso de las aplicaciones de inquilino único, aplique la directiva al objeto de aplicación.
- Para restringir las aplicaciones multiinquilino que se alojan en un inquilino de cliente, aplique la directiva al objeto de aplicación.
- Para restringir las aplicaciones multiinquilino aprovisionadas desde otro inquilino, aplique la directiva al objeto de entidad de servicio.
Resumen de las diferencias clave entre la directiva predeterminada del inquilino y las directivas de administración de aplicaciones
Directiva predeterminada del inquilino | Directiva de administración de aplicaciones |
---|---|
La directiva siempre existe. | Los objetos de directiva se pueden crear o actualizar para invalidar la directiva predeterminada. |
Solo permite la definición de objeto de restricción única para todos los recursos. | Permite definir varios objetos de directiva, pero solo se puede aplicar uno a un recurso. |
Permite distinguir las restricciones de los objetos de aplicación frente a las entidades de servicio. | La directiva se puede aplicar a una aplicación o a un objeto de entidad de servicio. |
Aplica todas las restricciones configuradas a todas las aplicaciones o entidades de servicio. | Aplica las restricciones configuradas en la directiva de recursos a la aplicación o entidad de servicio especificada. Cualquier cosa no definida hereda de la directiva predeterminada. |
Requisitos
- Los roles de Microsoft Entra con privilegios mínimos para la administración de directivas de método de autenticación de aplicaciones son Administrador de aplicaciones y Administrador de aplicaciones en la nube.