Настройка ограничений на настройку приложений

Чтобы заблокировать новые пароли с помощью Центр администрирования Microsoft Entra:

1. Войдите в Центр администрирования Microsoft Entra.

2. Перейдите к Entra ID>корпоративным приложениям>политикам приложений.

3. Выберите "Блокировать добавление пароля".

4. Установите статус на включено. Убедитесь, что поле "Применимо к" имеет значение "Все приложения".

5. Выберите Сохранить, чтобы сохранить настройки.

Чтобы заблокировать добавление новых паролей для приложений и учетных записей с помощью Microsoft Graph:

1. Получите существующую политику управления приложениями на уровне клиента.

   GET https://graph.microsoft.com/beta/policies/defaultAppManagementPolicy
   

2. Найдите коллекцию passwordCredentials в разделе applicationRestrictions и свойстве servicePrincipalsRestrictions. В обеих коллекциях задайте состояние passwordAddition ограничения и symmetricKeyAddition ограничения на enabled. Если другие ограничения уже присутствуют в коллекции, включите их в запрос, чтобы избежать случайного отключения их.

   PATCH https://graph.microsoft.com/beta/policies/defaultAppManagementPolicy
   
   {
       "applicationRestrictions": {
           "passwordCredentials": [
               {
                   "restrictionType": "passwordAddition",
                   "state": "enabled"
               },
               {
                   "restrictionType": "symmetricKeyAddition",
                   "state": "enabled"
               }
           ]
       },
         "servicePrincipalRestrictions": {
           "passwordCredentials": [
               {
                   "restrictionType": "passwordAddition",
                   "state": "enabled"
               },
               {
                   "restrictionType": "symmetricKeyAddition",
                   "state": "enabled"
               }
           ]
       }      
   }
   

Чтобы предоставить приложению исключение из ограничений, блокирующих URI пользовательских идентификаторов, с помощью административного центра Microsoft Entra:

1. Войдите в Центр администрирования Microsoft Entra.

2. Перейдите к Entra ID>корпоративным приложениям>политикам приложений.

3. Выберите "Блокировать URI пользовательского идентификатора".

4. Убедитесь, что состояние включено. Задайте поле "Область применения" ко всем приложениям с исключениями.

5. В разделе "Исключенные приложения" выберите "Добавить приложения".

6. Выберите приложение, которое вы хотите исключить из ограничения.

7. Выберите Сохранить, чтобы сохранить настройки.

Чтобы предоставить приложению исключение для ограничений, блокирующих URI пользовательского идентификатора с помощью Microsoft Graph:

1. Создайте настраиваемую политику управления приложениями. При создании задайте nonDefaultUriAddition ограничение в restrictions.applicationRestrictionsdisabledразделе .

   POST https://graph.microsoft.com/beta/policies/appManagementPolicies
   
   {
       "displayName": "Identifier URI exemption policy",
       "description": "Policy granting an exemption to the nonDefaultUriAddition restriction",
       "isEnabled": true,
       "restrictions": {
           "applicationRestrictions": {
               "identifierUris": {
                   "nonDefaultUriAddition": {
                       "state": "disabled"
                   }
               }
           }
       }
   }
   

2. Запишите идентификатор новой политики из ответа.

3. Назначьте новую настраиваемую политику приложению, которое вы хотите освободить от нее.

   POST https://graph.microsoft.com/beta/applications/{objectIdOfTheApplication}/appManagementPolicies/$ref
   
   {
       "@odata.id":"https://graph.microsoft.com/v1.0/policies/appManagementPolicies/{idOfTheCustomPolicy}"
   }
   

4. Если вы получите сообщение об ошибке, указывающее, что у этого приложения уже назначена настраиваемая политика, вместо этого измените эту политику, чтобы включить это новое исключение. Убедитесь, что существующая политика не назначена другим приложениям, или они также получат исключение.

1. Войдите в Центр администрирования Microsoft Entra.

2. Перейдите к Entra ID>корпоративным приложениям>политикам приложений.

3. Выберите "Ограничить максимальное время существования сертификата".

4. Убедитесь, что состояние включено. Задайте поле "Область применения" ко всем приложениям с исключениями.

5. В разделе "Исключенные абоненты" выберите "Добавить исключенных абонентов".

6. Выберите пользователя или учетную запись службы, вызовы которых на создание или обновление приложений вы хотите исключить из данного ограничения.

7. Выберите Сохранить, чтобы сохранить настройки.

Создание определения настраиваемого атрибута безопасности

Это исключение на основе вызывающего объекта выполняется с помощью пользовательских атрибутов безопасности. Настраиваемые атрибуты безопасности — это пары "ключ-значение", для которых требуется определение для создания данной пары в клиенте, после чего примеры этой пары могут быть добавлены к конкретным пользователям или учетным записям служб.

Пользовательские определения атрибутов безопасности можно создать с помощью Центр администрирования Microsoft Entra, но это также можно сделать с помощью Microsoft Graph. Сначала создайте набор атрибутов (если у вас еще нет этого набора). Наборы атрибутов — это контейнеры для определений настраиваемых атрибутов безопасности.

POST https://graph.microsoft.com/v1.0/directory/attributeSets 
{
    "id":"PolicyExemptions",
    "description":"Attributes for granting exemptions to policy",
    "maxAttributesPerSet":25
}

Затем создайте определение.

POST https://graph.microsoft.com/v1.0/directory/customSecurityAttributeDefinitions
{
    "attributeSet": "PolicyExemptions",
    "description": "App mgmt policy exemption attributes",
    "isCollection": false,
    "isSearchable": true,
    "name": "AppManagementExemption",
    "status": "Available",
    "type": "String",
    "usePreDefinedValuesOnly": true,
    "allowedValues": [
        {
            "id": "ExemptFromCertificateLifetimeRestriction",
            "isActive": true
        }
    ]
}

Это просто примеры значений; Вы можете присвоить пользовательский атрибут безопасности, который вам нравится. Однако убедитесь, что настраиваемое определение атрибута безопасности, которое вы создаете, является String типа, и isCollection установлено в false. В настоящее время типы строк с одним значением являются единственными настраиваемыми атрибутами безопасности, поддерживаемыми в качестве индикаторов исключения в политиках управления приложениями.

Добавление настраиваемого атрибута безопасности в качестве индикатора исключения

Обновите свойство excludeActors в рамках ограничения asymmetricKeyLifetime и applicationRestrictions и servicePrincipalRestrictions.

PATCH https://graph.microsoft.com/beta/policies/defaultAppManagementPolicy

 {  
    "applicationRestrictions": {
        "keyCredentials": [
            {
                "restrictionType": "asymmetricKeyLifetime",
                "state": "enabled",
                "maxLifetime": "P180D",
                "excludeActors": {
                    "customSecurityAttributes": [
                        {
                            "@odata.type": "#microsoft.graph.customSecurityAttributeStringValueExemption",
                            "id": "PolicyExemptions_AppManagementExemption",  //This `id` value is the concatenation of "AttributeSet_AttributeName"
                            "operator": "equals",
                            "value": "ExemptFromCertificateLifetimeRestriction"
                        }
                    ]
                }
            }
        ]
    },
    "servicePrincipalRestrictions": {
        "keyCredentials": [
            {
                "restrictionType": "asymmetricKeyLifetime",
                "state": "enabled",
                "maxLifetime": "P180D",
                "excludeActors": {
                    "customSecurityAttributes": [
                        {
                            "@odata.type": "#microsoft.graph.customSecurityAttributeStringValueExemption",
                            "id": "PolicyExemptions_AppManagementExemption",  //This `id` value is the concatenation of "AttributeSet_AttributeName"
                            "operator": "equals",
                            "value": "ExemptFromCertificateLifetimeRestriction"
                        }
                    ]
                }
            }
        ]
    }
 }

Это указывает Microsoft Entra на то, что вы хотите, чтобы пользователи или главные субъекты службы, которым назначено это конкретное пользовательское значение атрибута безопасности, были исключены из политики.

Назначение пользовательского атрибута безопасности субъекту-службе

Пользовательские атрибуты безопасности можно назначать как пользователям, так и субъектам-служб через Центр администрирования Microsoft Entra, но это также можно сделать с помощью Microsoft Graph.

Чтобы назначить субъекту-службе, выполните приведенные действия.

PATCH https://graph.microsoft.com/v1.0/servicePrincipals/{id}
{
    "customSecurityAttributes":
    {
        "Engineering":
        {
            "@odata.type":"#Microsoft.DirectoryServices.CustomSecurityAttributeValue",
            "AppManagementExemption":"ExemptFromCertificateLifetimeRestriction"
        }
    }
}

Замените {id} идентификатором объекта субъекта-службы.

После завершения этого учетная запись службы с назначенным настраиваемым атрибутом безопасности сможет добавить долговременный сертификат к любому приложению, которое она может изменять.

1. Войдите в Центр администрирования Microsoft Entra.

2. Перейдите к Entra ID>корпоративным приложениям>политикам приложений.

3. Выберите "Блокировать пользовательские пароли".

4. Убедитесь, что состояние включено. Задайте для поля "Область применения" значение "Выбрать приложения".

5. Выберите "Добавить приложения".

6. Выберите приложение, к которое вы хотите применить ограничение.

7. Выберите Сохранить, чтобы сохранить настройки.

1. Создайте настраиваемую политику управления приложениями. При создании задайте customPasswordAddition ограничение в restrictions.passwordCredentialsenabledразделе .

   POST https://graph.microsoft.com/beta/policies/appManagementPolicies
   
   {
       "displayName": "Custom password policy",
       "description": "Policy that enforces the custom password restriction",
       "isEnabled": true,
       "restrictions": {
           "passwordCredentials": [
               {
                   "restrictionType": "customPasswordAddition",
                   "state": "enabled"
               }
           ]
       }
   }
   

2. Запишите идентификатор новой политики из ответа.

3. Назначьте новую настраиваемую политику приложению, к которому вы хотите применить ограничение.

   POST https://graph.microsoft.com/beta/applications/{objectIdOfTheApplication}/appManagementPolicies/$ref
   
   {
       "@odata.id":"https://graph.microsoft.com/v1.0/policies/appManagementPolicies/{idOfTheCustomPolicy}"
   }
   

4. Если вы получите сообщение об ошибке, указывающее, что для этого приложения уже назначена настраиваемая политика, в этом случае измените эту политику так, чтобы включить это новое ограничение. Убедитесь, что существующая политика не назначена другим приложениям, или они также получат принудительное применение.

Список настраиваемых политик нельзя просмотреть непосредственно в Центр администрирования Microsoft Entra. Перейдите на вкладку Microsoft Graph.

GET https://graph.microsoft.com/beta/policies/appManagementPolicies

Это невозможно сделать с помощью Центр администрирования Microsoft Entra. Перейдите на вкладку Microsoft Graph.

Сначала получите политику управления приложениями на уровне арендатора.

GET https://graph.microsoft.com/beta/policies/defaultAppManagementPolicy

Перейдите к ограничению, которое заблокировано для вас в центре администрирования Microsoft Entra.

Добавление пароля

Ограничение блокировки добавления пароля ожидает, что все четыре следующих ограничения будут находиться в одинаковом состоянии:

• Ограничение passwordAddition в applicationRestrictions.passwordCredentials коллекции
• Ограничение passwordAddition в servicePrincipalRestrictions.passwordCredentials коллекции
• Ограничение symmetricKeyAddition в applicationRestrictions.passwordCredentials коллекции
• Ограничение symmetricKeyAddition в servicePrincipalRestrictions.passwordCredentials коллекции

Это означает, что свойства всех четырех ограничений должны соответствовать. Или все четыре ограничения не должны присутствовать в политике.

Время существования пароля

Ограничение максимального времени существования пароля ожидает, что все четыре из следующих ограничений будут находиться в одном состоянии:

• Ограничение passwordLifetime в applicationRestrictions.passwordCredentials коллекции
• Ограничение passwordLifetime в servicePrincipalRestrictions.passwordCredentials коллекции
• Ограничение symmetricKeyLifetime в applicationRestrictions.passwordCredentials коллекции
• Ограничение symmetricKeyLifetime в servicePrincipalRestrictions.passwordCredentials коллекции

Это означает, что свойства всех четырех ограничений должны соответствовать. Или все четыре ограничения не должны присутствовать в политике.

Время существования сертификата

Ограничение максимального срока существования сертификата ожидает, что все следующие ограничения будут находиться в одном состоянии:

• Ограничение asymmetricKeyLifetime в applicationRestrictions.keyCredentials коллекции
• Ограничение asymmetricKeyLifetime в servicePrincipalRestrictions.keyCredentials коллекции

Это означает, что свойства обоих ограничений должны соответствовать. Или оба ограничения не должны присутствовать в политике.