Compartilhar via

Gerir autenticação de aplicaçõesBehaviors

  • Artigo

A propriedade authenticationBehaviors do objeto de aplicação permite-lhe configurar comportamentos de alteração interruptiva relacionados com a emissão de tokens. As aplicações podem adotar novas alterações interruptivas ao ativar um comportamento ou continuar a utilizar o comportamento pré-existente ao desativá-lo.

Os seguintes comportamentos são configuráveis:

Observação

A propriedade authenticationBehaviors do objeto de aplicação está atualmente disponível apenas em beta .

Ler a definição authenticationBehaviors para uma aplicação

A propriedade authenticationBehaviors é devolvida apenas nos $select pedidos.

Para ler a propriedade e outras propriedades especificadas de todas as aplicações no inquilino, execute o seguinte pedido de exemplo. O pedido devolve um 200 OK código de resposta e uma representação JSON do objeto da aplicação que mostra apenas as propriedades selecionadas.

GET https://graph.microsoft.com/beta/applications?$select=id,displayName,appId,authenticationBehaviors

Para ler apenas a propriedade authenticationBehaviors de uma única aplicação, execute o seguinte pedido de exemplo.

GET https://graph.microsoft.com/beta/applications/03ef14b0-ca33-4840-8f4f-d6e91916010e/authenticationBehaviors

Também pode utilizar a propriedade appId da seguinte forma:

GET https://graph.microsoft.com/beta/applications(appId='37bf1fd4-78b0-4fea-ac2d-6c82829e9365')/authenticationBehaviors

Impedir a emissão de afirmações de e-mail com proprietários de domínio não verificados

Conforme descrito no aviso de segurança da Microsoft Risco Potencial de Escalamento de Privilégios no Microsoft Entra Aplicações, as aplicações nunca devem utilizar a afirmação de e-mail para fins de autorização. Se a sua aplicação utilizar a afirmação de e-mail para fins de autorização ou identificação de utilizador principal, está sujeita a ataques de escalamento de conta e privilégios. Este risco de acesso não autorizado é especialmente identificado nos seguintes cenários:

  • Quando o atributo mail do objeto de utilizador contém um endereço de e-mail com um proprietário de domínio não verificado
  • Para aplicações multi-inquilino em que um utilizador de um inquilino pode escalar os seus privilégios para aceder aos recursos a partir de outro inquilino através da modificação do respetivo atributo de correio

Para obter mais informações sobre como identificar estes casos no seu inquilino, consulte Migrar para fora da utilização de afirmações de e-mail para identificação ou autorização de utilizador.

Atualmente, o comportamento predefinido é remover endereços de e-mail com proprietários de domínio não verificados em afirmações, exceto para aplicações de inquilino único e para aplicações multi-inquilino com atividade de início de sessão anterior com e-mails não verificados. Se a sua aplicação se enquadrar numa destas exceções e pretender remover endereços de e-mail não verificados, defina a propriedade removeUnverifiedEmailClaim de authenticationBehaviorstrue como ilustrado nos exemplos seguintes. A solicitação retorna o código de resposta 204 No Content.

Remover endereços de e-mail com proprietários de domínio não verificados de afirmações

Opção 1

Este padrão para especificar a propriedade no URL do pedido permite-lhe atualizar apenas a propriedade especificada no pedido.

PATCH https://graph.microsoft.com/beta/applications/03ef14b0-ca33-4840-8f4f-d6e91916010e/authenticationBehaviors
Content-Type: application/json

{
    "removeUnverifiedEmailClaim": true
}

Opção 2

Este padrão para especificar a propriedade no corpo do pedido permite-lhe atualizar outras propriedades do elemento da rede no mesmo pedido.

PATCH https://graph.microsoft.com/beta/applications/03ef14b0-ca33-4840-8f4f-d6e91916010e
Content-Type: application/json

{
    "authenticationBehaviors": {
        "removeUnverifiedEmailClaim": true
    }
}

Aceitar endereços de e-mail com proprietários de domínio não verificados em afirmações

Opção 1

PATCH https://graph.microsoft.com/beta/applications/03ef14b0-ca33-4840-8f4f-d6e91916010e/authenticationBehaviors
Content-Type: application/json

{
    "removeUnverifiedEmailClaim": false
}

Opção 2

PATCH https://graph.microsoft.com/beta/applications/03ef14b0-ca33-4840-8f4f-d6e91916010e
Content-Type: application/json

{
    "authenticationBehaviors": {
        "removeUnverifiedEmailClaim": false
    }
}

Restaurar o comportamento predefinido

Opção 1

PATCH https://graph.microsoft.com/beta/applications/03ef14b0-ca33-4840-8f4f-d6e91916010e/authenticationBehaviors
Content-Type: application/json

{
    "removeUnverifiedEmailClaim": null
}

Opção 2

PATCH https://graph.microsoft.com/beta/applications/03ef14b0-ca33-4840-8f4f-d6e91916010e/
Content-Type: application/json

{
    "authenticationBehaviors": {
        "removeUnverifiedEmailClaim": null
    }
}

Permitir acesso alargado Azure AD Graph até 30 de junho de 2025

Por predefinição, as aplicações criadas após 31 de agosto de 2024 receberão um 403 Unauthorized erro ao fazer pedidos para Azure AD Graph APIs, a menos que estejam configuradas para permitir o acesso alargado Azure AD Graph. Além disso, as aplicações existentes criadas antes de 31 de agosto de 2024 e fazer pedidos para Azure AD Graph APIs têm de ser configuradas para permitir o acesso alargado Azure AD Graph até 1 de fevereiro de 2025. Este acesso alargado só está disponível até 30 de junho de 2025, altura em que Azure AD Graph está totalmente descontinuado. Após esta data, todas as aplicações receberão um 403 Unauthorized erro ao fazer pedidos para Azure AD Graph APIs, independentemente da configuração de acesso alargado. Para obter mais informações, consulte Atualização de junho de 2024 sobre Azure AD API do Graph extinção.

O pedido seguinte mostra como atualizar uma aplicação para ativar o acesso alargado Azure AD Graph. A solicitação retorna o código de resposta 204 No Content.

Opção 1

PATCH https://graph.microsoft.com/beta/applications/5c142e6f-0bd3-4e58-b510-8a106704f44f/authenticationBehaviors
Content-Type: application/json

{
    "blockAzureADGraphAccess": false
}

Opção 2

PATCH https://graph.microsoft.com/beta/applications/5c142e6f-0bd3-4e58-b510-8a106704f44f
Content-Type: application/json

{
    "authenticationBehaviors": {
        "blockAzureADGraphAccess": false
    }
}

Conteúdo relacionado