Partager via


Inscrire des applications

Le portail d’inscription d’application de la Plateforme d’identités Microsoft est le point d’entrée principal pour les applications qui utilisent la plateforme pour l’authentification et les besoins associés. En tant que développeur, lors de l’inscription et de la configuration de vos applications, les choix que vous effectuez et affectent la façon dont votre application satisfait aux principes de Confiance Zéro. L’inscription effective de l’application prend en compte les principes d’utilisation du droit d'accès minimal et suppose une violation. Cet article vous aide à découvrir le processus d’inscription d’application et ses exigences pour vous assurer que vos applications suivent une approche Confiance Zéro de la sécurité.

La gestion des applications dans Microsoft Entra ID (Microsoft Entra ID) est le processus de création, de configuration, de gestion et de surveillance des applications dans le cloud en toute sécurité. Lorsque vous inscrivez votre application dans un client Microsoft Entra, vous configurez l’accès utilisateur sécurisé.

Microsoft Entra ID représente les applications par des objets d'application et des principes de service. Avec certaines exceptions, les applications sont des objets d’application. Considérez un principal de service comme une instance d’une application qui fait référence à un objet d’application. Plusieurs mandants de service répartis dans des répertoires peuvent faire référence à un seul objet d'application.

Vous pouvez configurer votre application pour utiliser Microsoft Entra ID via trois méthodes : dans Visual Studio, à l’aide de l’API Microsoft Graph ou à l’aide de PowerShell. Il existe des expériences de développement dans Azure et dans l’Explorateur d’API dans les centres de développement. Référencez les décisions et tâches requises pour les rôles développeur et professionnel de l’informatique pour générer et déployer des applications sécurisées dans le Plateforme d'identités Microsoft.

Qui pouvez ajouter et inscrire des applications

Les administrateurs et, s’ils sont autorisés par le locataire, les utilisateurs et les développeurs, peuvent créer des objets d’application en inscrivant des applications dans le Portail Azure. Par défaut, tous les utilisateurs d’un répertoire peuvent inscrire des objets d’application qu’ils développent. Les développeurs d’objets d’application décident des applications qui partagent et donnent accès aux données organisationnelles par le biais du consentement.

Lorsque le premier utilisateur d’un annuaire se connecte à une application et accorde le consentement, le système crée un principal de service dans le locataire qui stocke toutes les informations de consentement de l’utilisateur. Microsoft Entra ID crée automatiquement un principal de service pour une application nouvellement inscrite dans le locataire avant qu’un utilisateur s’authentifie.

Les personnes auxquelles est attribué au moins le rôle Administrateur d’application ou Administrateur d’application cloud peuvent effectuer des tâches d’application spécifiques (telles que l’ajout d’applications à partir de la galerie d’applications et la configuration d’applications pour utiliser le proxy d’application).

Inscrire des objets d’application

En tant que développeur, vous inscrivez vos applications qui utilisent le Plateforme d'identités Microsoft. Inscrivez vos applications dans le Portail Azure ou en appelant les API d’application Microsoft Graph. Une fois inscrite, l’application communique avec la Plateforme d’identités Microsoften transmettant les requêtes au point de terminaison.

Vous n’avez peut-être pas l’autorisation de créer ou de modifier une inscription d’application. Lorsque les administrateurs ne vous donnent pas les autorisations nécessaires pour inscrire vos applications, demandez-leur comment transmettre les informations d’inscription d’application nécessaires.

Les propriétés d’inscription d’application peuvent inclure les composants suivants.

  • Nom, logo et éditeur
  • URI (Uniform Resource Identifier) de redirection
  • Secrets (clés symétriques et/ou asymétriques utilisées pour authentifier l’application)
  • Dépendances d’API (OAuth)
  • API/ressources/étendues publiées (OAuth)
  • Rôles d'application pour un contrôle d’accès en fonction du rôle
  • Métadonnées et configuration pour l’authentification unique (SSO), l’attribution d’utilisateurs et le proxy

Une partie requise de l’inscription d’application est votre sélection de types de comptes pris en charge pour définir qui peut utiliser votre application en fonction du type de compte de l’utilisateur. Les administrateurs Microsoft Entra suivent le modèle d’application pour gérer les objets d’application dans le Portail Azure via l’expérience d’inscriptions d’applications et définir les paramètres d’application qui indiquent au service comment émettre des jetons à l’application.

Lors de l’inscription, vous recevez l’identité de votre application : l’ID d’application (client). Votre application utilise son ID client chaque fois qu’elle effectue une transaction via le Plateforme d'identités Microsoft.

Bonnes pratiques d’inscription des applications

Suivez les bonnes pratiques de sécurité pour les propriétés d’application lors de l’inscription de votre application dans Microsoft Entra ID comme une partie critique de son utilisation métier. Visez à éviter les temps d’arrêt ou les compromissions qui pourraient affecter l’ensemble de l’organisation. Les recommandations suivantes vous aident à développer votre application sécurisée autour des principes de Confiance Zéro.

  • Utiliser la liste de vérification de l’intégration de la plateforme d’identités Microsoft est conçue pour vous guider vers une intégration sécurisée et de grande qualité. Maintenez la qualité et la sécurité de votre application.
  • Définir correctement vos URL de redirection. Référencez les restrictions et limitations de l’URI de redirection (URL de réponse) pour éviter les problèmes de compatibilité et de sécurité.
  • Vérifiez la propriété des URI de redirection dans l'enregistrement de votre application afin d'éviter les prises de contrôle de domaines. Les URL de redirection doivent se trouver sur les domaines que vous connaissez et possédez. Passez régulièrement en revue et supprimez les URI inutiles et inutilisés. N’utilisez pas d’URI non https dans les applications de production.
  • Définissez et maintenez toujours des propriétaires principaux d'applications et de services pour vos applications enregistrées dans votre client. Évitez les applications orphelines (applications et principaux de service sans propriétaires affectés). Assurez-vous que les administrateurs informatiques peuvent facilement et rapidement identifier les propriétaires d’applications lors d’une urgence. Conservez le nombre de propriétaires d’applications petits. Rendre difficile pour un compte d’utilisateur compromis d’affecter plusieurs applications.
  • Évitez d’utiliser la même d’inscription d’application pour plusieurs applications. La séparation des inscriptions d’applications vous permet d’activer l’accès au moins privilégié et de réduire l’impact pendant une violation.
    • Utilisez des inscriptions d’applications distinctes pour les applications qui connectent des utilisateurs et des applications qui exposent des données et des opérations via l’API (sauf si étroitement couplées). Cette approche permet des autorisations pour une API à privilèges plus élevés, telles que Microsoft Graph et les informations d’identification (comme les secrets et les certificats), à distance des applications qui se connectent et interagissent avec les utilisateurs.
    • Utilisez des inscriptions d’applications distinctes pour les applications web et les API. Cette approche permet de s’assurer que, si l’API web dispose d’un ensemble plus élevé d’autorisations, l’application cliente ne les hérite pas.
  • Définissez votre application en tant qu’application multiclients uniquement si nécessaire. Les applications multilocataires autorisent l’approvisionnement dans des locataires autres que les vôtres. Ils nécessitent une surcharge de gestion supplémentaire pour filtrer l’accès indésirable. Sauf si vous envisagez de développer votre application en tant qu’application multilocataire, commencez par définir la valeur de SignInAudience sur AzureADMyOrg.

Étapes suivantes