註冊應用程式

Microsoft 身分識別平台 應用程式註冊入口網站是使用平臺進行驗證和相關聯需求之應用程式的主要進入點。 身為開發人員，在註冊和設定應用程式時，您做出的驅動選擇，並影響應用程式滿足 零信任 原則的方式。 有效的應用程式註冊特別考慮使用最低特殊許可權存取的原則，並假設有缺口。 本文可協助您瞭解應用程式註冊程式及其需求，以確保您的應用程式遵循安全性 零信任 方法。

Microsoft Entra ID 中的應用程式管理（Microsoft Entra ID ）是安全地在雲端中建立、設定、管理和監視應用程式的程式。 當您在 Microsoft Entra 租使用者中註冊應用程式時，您可以設定安全的使用者存取。

Microsoft Entra 識別符代表應用程式 對象 和服務 主體的應用程式。 有些例外狀況是應用程式物件。 將服務主體視為參考應用程式物件的應用程式實例。 跨目錄的多個服務主體可以參考單一應用程式物件。

您可以透過三種方法，將應用程式設定為使用 Microsoft Entra ID： 在 Visual Studio 中、使用 Microsoft Graph API 或使用 PowerShell。 在 Azure 和 API 總 管中，開發人員中心都有開發人員體驗。 參考開發人員和IT專業人員角色的必要決策和工作，以在Microsoft 身分識別平台中建置及部署安全的應用程式。

誰可以新增和註冊應用程式

系統管理員，如果租用戶允許，使用者和開發人員可能會藉由在 Azure 入口網站 中註冊應用程式來建立應用程序物件。 根據預設，目錄中的所有使用者都可以 註冊其開發的應用程式物件 。 應用程式物件開發人員會決定哪些應用程式會透過 同意來共用及授與組織數據的存取權。

當目錄中的第一個使用者登入應用程式並授與同意時，系統會在租使用者中建立服務主體，以儲存所有使用者同意資訊。 Microsoft Entra ID 會在用戶驗證之前，自動為租使用者中新註冊的應用程式建立服務主體。

至少 指派應用程式管理員 或 雲端應用程式管理員 角色的人員可以執行特定的應用程式工作（例如從應用連結庫新增應用程式，以及設定應用程式以使用應用程式 Proxy）。

註冊應用程式物件

身為開發人員，您會註冊使用 Microsoft 身分識別平台 的應用程式。 在 Azure 入口網站 中註冊您的應用程式，或呼叫 Microsoft Graph 應用程式 API。 註冊應用程式之後，它會透過將要求傳送至端點來與 Microsoft 身分識別平台 通訊。

您可能沒有建立或修改應用程式註冊的許可權。 當系統管理員未授與您註冊應用程式的許可權時，請詢問他們如何將必要的應用程式註冊資訊傳達給他們。

應用程式註冊屬性 可能包含下列元件。

• 名稱、標誌與發行者
• 重新導向統一資源識別碼 （URI）
• 祕密 (用於驗證應用程式的對稱和/或非對稱金鑰)
• API 相依性 (OAuth)
• 已發佈的 API/資源/範圍 (OAuth)
• 角色型訪問控制的應用程式角色
• 單一登錄（SSO）、使用者布建和 Proxy 的元數據和組態

應用程式註冊的必要部分是您選擇 支援的帳戶類型，以根據使用者帳戶類型 定義誰可以使用您的應用程式。 Microsoft Entra 系統管理員遵循應用程式模型，透過 應用程式註冊 體驗來管理 Azure 入口網站 中的應用程式物件，並定義應用程式設定，告知服務如何將令牌發行給應用程式。

在註冊期間，您會收到應用程式的身分識別： 應用程式（用戶端）標識碼。 您的應用程式每次透過 Microsoft 身分識別平台 執行交易時，都會使用其用戶端識別符。

應用程式註冊最佳做法

在 Microsoft Entra ID 中註冊應用程式作為其商務用途的重要部分時，請遵循 應用程式屬性 的安全性最佳做法。 旨在防止可能影響整個組織的停機時間或入侵。 下列建議可協助您圍繞 零信任 原則開發安全應用程式。

• 使用 Microsoft 身分識別平台整合檢查清單來確保高品質且安全整合。 維護應用程式的品質和安全性。
• 正確定義您的重新導向URL。 參考重新 導向 URI （回復 URL） 限制和限制 ，以避免相容性和安全性問題。
• 檢查應用程式註冊中的重新導向 URI 以取得擁有權，以避免網域接管。 重新導向URL應該位於您知道且擁有的網域上。 定期檢閱和移除不必要的和未使用的 URI。 請勿在生產應用程式中使用非 HTTPs URI。
• 一律為您的租使用者中已註冊的應用程式定義和維護應用程式和服務主體擁有者。 避免孤立的應用程式（沒有指派擁有者的應用程式和服務 主體 ）。 請確定IT系統管理員可以在緊急情況下輕鬆快速地識別應用程式擁有者。 讓應用程式擁有者的數目保持較小。 讓遭入侵的用戶帳戶難以影響多個應用程式。
• 避免對多個應用程式使用相同的應用程式註冊。 分隔應用程式註冊可協助您啟用最低特殊許可權存取，並減少缺口期間的影響。
  • 針對透過 API 公開資料和作業的應用程式，使用個別的應用程式註冊（除非緊密結合）。 這種方法允許具有較高特殊許可權 API 的許可權，例如 Microsoft Graph 和認證（例如秘密和憑證），與登入和與用戶互動的應用程式相距。
  • 針對 Web 應用程式和 API 使用不同的應用程式註冊。 此方法可協助確保 Web API 具有較高的許可權集合，則用戶端應用程式不會繼承它們。
• 僅在必要時，將您的應用程式定義為多租用戶應用程式。 多租使用者應用程式 可讓您在非租使用者中布建。 它們需要更多管理額外負荷來篩選不必要的存取。 除非您打算將應用程式開發為多租使用者應用程式，請從 AzureADMyOrg 的 SignInAudience 值開始。

下一步

• 請參閱 Microsoft 身分識別平台 檔，以瞭解如何註冊應用程式類型。 範例應用程式類型包括單頁應用程式 （SPA）、Web 應用程式、Web API、傳統型應用程式、行動應用程式和背景服務、精靈和腳本。
• Azure Active Directory B2C 的新 應用程式註冊 體驗一文可協助您熟悉取代舊版體驗的新體驗。
• 將應用程式與 Microsoft Entra ID 整合，Microsoft 身分識別平台 可協助開發人員建置及整合 IT 專業人員在企業中可保護的應用程式。
• 取得存取資源的授權可協助您瞭解如何在取得應用程式的資源訪問許可權時，最好確保 零信任。
• 授權最佳做法 可協助您為應用程式實作最佳的授權、許可權和同意模型。