Общие сведения об API политик управления приложениями Microsoft Entra
Пространство имен: microsoft.graph
Политики управления приложениями позволяют ИТ-администраторам применять рекомендации по настройке приложений в своих организациях. Например, администратор может настроить политику, чтобы запретить использование или ограничить время существования секретов паролей, а также использовать дату создания объекта для принудительного применения политики.
Эти политики позволяют организациям использовать преимущества новых функций усиления безопасности приложений. Применяя ограничения, основанные на дате создания приложения или субъекта-службы, организация может проверить текущее состояние безопасности приложений, инвентаризацию приложений и применить элементы управления в соответствии со своими расписаниями и потребностями в ресурсах. Такой подход с использованием даты создания позволяет организации применять политику для новых приложений, а также применять ее к существующим приложениям.
Существует два типа элементов управления политикой:
- Политика клиента по умолчанию, которая применяется ко всем приложениям или субъектам-службам.
- Политики управления приложениями (приложением или субъектом-службой), которые позволяют включать или исключать отдельные приложения из политики клиента по умолчанию.
Политика управления приложениями клиента по умолчанию
Политика клиента по умолчанию — это один объект, который всегда существует и отключен по умолчанию. Он определяется ресурсом tenantAppManagementPolicy и применяет ограничения на объекты приложения и субъекта-службы. Он содержит следующие два свойства:
- applicationRestrictions позволяет ориентироваться на приложения, принадлежащие клиенту (объекты приложения).
- servicePrincipalRestrictions позволяет ориентироваться на подготовленные из другого клиента (объекты субъекта-службы).
Эти свойства позволяют организации отдельно управлять конфигурацией приложений, которые исходят из клиента и экземпляра внешнего приложения.
Политика управления приложениями для приложений и субъектов-служб
Политики управления приложениями определяются в ресурсе appManagementPolicy , который содержит коллекцию политик с различными ограничениями или разными датами применения, определенными в политике клиента по умолчанию. Одну из этих политик можно назначить приложению или субъекту-службе, чтобы переопределить политику клиента по умолчанию.
Если политика клиента по умолчанию и политика управления приложениями определяют одно и то же ограничение, приоритет имеет политика управления приложениями. Если ограничение установлено для политики управления приложениями в disabled состоянии, это ограничение не будет применяться к приложениям, с которыми связана эта политика, независимо от того, что обычно применяет политика клиента по умолчанию. Аналогичным образом, если для политики управления приложениями в enabled состоянии задано ограничение, это ограничение применяется к приложениям, с которыми связана эта политика. Однако если политика управления приложениями не определяет поведение для определенного ограничения, она возвращается к поведению политики клиента по умолчанию. Приложению или субъекту-службе можно назначить только одну политику управления приложениями.
Примечание.
Ни клиент по умолчанию, ни политики управления приложениями не блокируют выдачу маркеров для существующих приложений. Приложение, которое не соответствует требованиям политики, продолжает работать; Блокируется только операция создания или обновления приложения, которая нарушает политику.
Какими ограничениями можно управлять в Microsoft Graph?
API политики методов проверки подлинности приложений предлагает следующие ограничения:
| Имя ограничения | Описание | Примеры |
|---|---|---|
| passwordAddition | Полностью ограничьте секреты паролей в приложениях. | Блокировать новые пароли в приложениях, созданных 01.01.2019 или позже. |
| passwordLifetime | Принудительное применение максимального диапазона времени существования для секрета пароля. | Ограничьте все новые секреты паролей до 30 дней для приложений, созданных после 01.01.2015 г. |
| customPasswordAddition | Ограничьте настраиваемый секрет пароля для приложения или субъекта-службы. | Ограничьте все новые пользовательские (не Azure AD созданные) секреты паролей в приложениях, созданных после 01.01.2015 г. |
| symmetricKeyAddition | Ограничение симметричных ключей в приложениях. | Блокировать новые симметричные ключи в приложениях, созданных 01.01.2019 года или позже. |
| symmetricKeyLifetime | Принудительное применение максимального диапазона времени существования для симметричного ключа. | Ограничьте все новые симметричные ключи до 30 дней для приложений, созданных после 01.01.2019 г. |
| asymmetricKeyLifetime | Принудительное применение максимального диапазона времени существования для асимметричного ключа (сертификата). | Ограничьте все новые учетные данные асимметричного ключа максимум 30 днями для приложений, созданных после 01.01.2019 г. |
Примечание.
Все ограничения времени существования выражаются в формате длительности ISO-8601 (например, P4DT12H30M5S).
Применение ограничения customPasswordAddition заблокирует все устаревшие модули PowerShell, которые добавляют созданный клиентом секрет пароля в приложения или субъекты-службы. Это ограничение не блокирует секреты паролей, созданные Microsoft Entra ID приложения или субъекта-службы.
Приложения с одним или несколькими клиентами
В зависимости от того, является ли ваше приложение одним клиентом или мультитенантным приложением, вы применяете политику к приложению или объекту субъекта-службы следующим образом:
- Для приложений с одним клиентом примените политику к объекту приложения.
- Чтобы ограничить мультитенантные приложения, которые используются в клиенте клиента, примените политику к объекту приложения.
- Чтобы ограничить мультитенантные приложения, подготовленные из другого клиента, примените политику к объекту субъекта-службы.
Сводка основных различий между политикой клиента по умолчанию и политиками управления приложениями
| Политика клиента по умолчанию | Политика управления приложениями |
|---|---|
| Политика всегда существует. | Объекты политики можно создавать или обновлять для переопределения политики по умолчанию. |
| Разрешает только одно определение объекта ограничения для всех ресурсов. | Позволяет определить несколько объектов политики, но только один можно применить к ресурсу. |
| Позволяет различать ограничения для объектов приложения и субъектов-служб. | Политику можно применить к приложению или объекту субъекта-службы. |
| Применяет все ограничения, настроенные ко всем приложениям или субъектам-службам. | Применяет ограничения, настроенные в политике ресурсов, к указанному приложению или субъекту-службе. Все, что не определено, наследуется от политики по умолчанию. |
Требования
- Наименее привилегированными Microsoft Entra ролями для управления политиками методов проверки подлинности приложений являются администратор приложений и администратор облачных приложений.