Partager via


Vue d’ensemble de l’API des stratégies de gestion des applications Microsoft Entra

Espace de noms: microsoft.graph

Importante

Les API sous la version /beta dans Microsoft Graph sont susceptibles d’être modifiées. L’utilisation de ces API dans des applications de production n’est pas prise en charge. Pour déterminer si une API est disponible dans v1.0, utilisez le sélecteur Version .

Les stratégies de gestion des applications permettent aux administrateurs informatiques d’appliquer les meilleures pratiques relatives à la configuration des applications de leur organisation. Par exemple, un administrateur peut configurer une stratégie pour bloquer l’utilisation ou limiter la durée de vie des secrets de mot de passe, et utiliser la date de création de l’objet pour appliquer la stratégie.

Ces stratégies permettent aux organisations de tirer parti des nouvelles fonctionnalités de renforcement de la sécurité des applications. En appliquant des restrictions basées sur la date de création de l’application ou du principal de service, un organization peut passer en revue sa posture actuelle de sécurité des applications, inventorier les applications et appliquer des contrôles en fonction de ses planifications et besoins en matière de ressources. Cette approche à l’aide de la date de création permet au organization d’appliquer la stratégie pour les nouvelles applications et également de l’appliquer aux applications existantes.

Il existe deux types de contrôles de stratégie :

  • Stratégie de locataire par défaut qui s’applique à toutes les applications ou principaux de service.
  • Stratégies de gestion d’application (application ou principal de service) qui permettent d’inclure ou d’exclure des applications individuelles de la stratégie par défaut du locataire.

Stratégie de gestion des applications par défaut du locataire

Une stratégie de locataire par défaut est un objet unique qui existe toujours et est désactivé par défaut. Il est défini par la ressource tenantAppManagementPolicy et applique des restrictions sur les objets application et principal de service. Il contient les deux propriétés suivantes :

  • applicationRestrictions permet de cibler les applications appartenant au locataire (objets d’application).
  • servicePrincipalRestrictions autorise le ciblage approvisionné à partir d’un autre locataire (objets de principal de service).

Ces propriétés permettent à un organization de contrôler séparément la configuration des applications qui proviennent de son locataire par rapport à la instance de son locataire d’une application appartenant à l’externe.

Stratégie de gestion des applications pour les applications et les principaux de service

Les stratégies de gestion des applications sont définies dans la ressource appManagementPolicy , qui contient une collection de stratégies avec des restrictions ou des dates d’application différentes de celles définies dans la stratégie par défaut du locataire. L’une de ces stratégies peut être affectée à une application ou à un principal de service pour remplacer la stratégie par défaut du locataire.

Lorsque la stratégie de locataire par défaut et une stratégie de gestion des applications définissent la même restriction, la stratégie de gestion des applications est prioritaire. Si une restriction est définie sur une stratégie de gestion des applications dans un disabled état, cette restriction ne s’applique pas aux applications avec cette stratégie liée à celles-ci, indépendamment de ce que la stratégie par défaut du locataire appliquerait normalement. De même, si une restriction est définie sur une stratégie de gestion des applications dans un enabled état, cette restriction s’applique aux applications avec cette stratégie liée à celles-ci. Toutefois, si la stratégie de gestion des applications ne définit aucun comportement pour une certaine restriction, elle revient au comportement de la stratégie par défaut du locataire. Une seule stratégie de gestion des applications peut être affectée à une application ou à un principal de service.

Remarque

Ni le locataire par défaut ni les stratégies de gestion des applications ne bloquent l’émission de jetons pour les applications existantes. Une application qui ne répond pas aux exigences de la stratégie continue de fonctionner ; seule l’opération de création/mise à jour de l’application qui enfreint la stratégie est bloquée.

Quelles restrictions peuvent être gérées dans Microsoft Graph ?

L’API de stratégie des méthodes d’authentification d’application offre les restrictions suivantes :

Nom de la restriction Description Exemples
passwordAddition Limitez complètement les secrets de mot de passe sur les applications. Bloquez les nouveaux mots de passe sur les applications créées à compter du « 01/01/01/2019 ».
passwordLifetime Appliquez une plage de durée de vie maximale pour un secret de mot de passe. Limitez tous les nouveaux secrets de mot de passe à un maximum de 30 jours pour les applications créées après le 01/01/2015.
customPasswordAddition Restreindre un secret de mot de passe personnalisé sur l’application ou le principal de service. Limitez tous les nouveaux secrets de mot de passe personnalisés (non générés par Azure AD) sur les applications créées après le 01/01/2015.
symmetricKeyAddition Restreindre les clés symétriques sur les applications. Bloquer les nouvelles clés symétriques sur les applications créées à compter du 01/01/2019.
symmetricKeyLifetime Appliquez une plage de durée de vie maximale pour une clé symétrique. Limitez toutes les nouvelles clés symétriques à un maximum de 30 jours pour les applications créées après le 01/01/2019.
asymmetricKeyLifetime Appliquer une plage de durée de vie maximale pour une clé asymétrique (certificat). Limitez toutes les nouvelles informations d’identification de clé asymétrique à un maximum de 30 jours pour les applications créées après le 01/01/2019.
trustedCertificateAuthority Appliquer la liste des autorités de certification approuvées. Bloquez toutes les nouvelles informations d’identification de clé asymétrique si l’émetteur n’est pas répertorié dans la liste des autorités de certification approuvées.
nonDefaultUriAddition Bloquez les nouveaux URI d’identificateur pour les applications, à l’exception du format d’URI « par défaut ». Bloquez les nouveaux URI d’identificateur pour les applications, sauf s’ils sont au format api://{appId} ou api://{tenantId}/{appId}.

Remarque

Toutes les restrictions de durée de vie sont exprimées au format de durée ISO-8601 (par exemple : P4DT12H30M5S).

L’application de la restriction customPasswordAddition bloque tous les modules PowerShell hérités qui ajoutent un secret de mot de passe généré par le client aux applications ou aux principaux de service. Cette restriction ne bloque pas Microsoft Entra ID secrets de mot de passe d’application ou de principal de service générés.

Applications monolocataires ou multilocataires

Selon que votre application est une application monolocataire ou multilocataire, vous appliquez la stratégie sur une application ou sur l’objet principal de service comme suit :

  • Pour les applications monolocataires, appliquez la stratégie à l’objet application.
  • Pour restreindre les applications multilocataires hébergés dans un locataire client, appliquez la stratégie à l’objet d’application.
  • Pour limiter les applications multilocataires approvisionnées à partir d’un autre locataire, appliquez la stratégie à l’objet principal de service.

Résumé des principales différences entre la stratégie de locataire par défaut et les stratégies de gestion des applications

Stratégie par défaut du locataire Stratégie de gestion des applications
La stratégie existe toujours. Les objets de stratégie peuvent être créés ou mis à jour pour remplacer la stratégie par défaut.
Autorise une seule définition d’objet de restriction pour toutes les ressources. Autorise la définition de plusieurs objets de stratégie, mais un seul peut être appliqué à une ressource.
Permet de distinguer les restrictions pour les objets d’application et les principaux de service. La stratégie peut être appliquée à une application ou à un objet principal de service.
Applique toutes les restrictions configurées à toutes les applications ou principaux de service. Applique les restrictions configurées dans la stratégie de ressources à l’application ou au principal de service spécifié. Tout ce qui n’est pas défini hérite de la stratégie par défaut.

Configuration requise

  • Les rôles de Microsoft Entra les moins privilégiés pour la gestion des stratégies de méthode d’authentification des applications sont Administrateur d’application et Administrateur d’application cloud.