【身份平台应用程序注册】Microsoft身份平台应用程序注册零信任安全

Microsoft身份平台应用程序注册门户是使用该平台进行身份验证和相关需求的应用程序的主要入口点。作为一名开发人员，在注册和配置应用程序时，您所做的选择会影响应用程序满足零信任原则的程度。有效的应用程序注册特别考虑了使用最低权限访问和假设违规的原则。本文帮助您了解应用程序注册过程及其要求，以确保您的应用程序遵循零信任的安全方法。

Microsoft Entra ID中的应用程序管理【Application management in Microsoft Entra ID (Microsoft Entra ID) 】是在云中安全地创建、配置、管理和监视应用程序的过程。当您在Microsoft Entra租户中注册应用程序时，您可以配置安全的用户访问。

Microsoft Entra ID按应用程序对象和服务主体表示应用程序。除了一些例外情况，应用程序是应用程序对象。将服务主体视为引用应用程序对象的应用程序实例。跨目录的多个服务主体可以引用单个应用程序对象。

您可以通过以下三种方法将应用程序配置为使用Microsoft Entra ID：在Visual Studio中，使用Microsoft Graph API，或使用PowerShell。在Azure和API资源管理器中，各个开发中心都有开发人员经验。参考开发人员和IT专业人员在Microsoft身份平台中构建和部署安全应用程序所需的决策和任务。

谁可以添加和注册应用程序

管理员以及（如果租户允许）用户和开发人员可以通过在Azure门户中注册应用程序来创建应用程序对象。默认情况下，目录中的所有用户都可以注册他们开发的应用程序对象。应用程序对象开发人员通过同意决定哪些应用程序共享和访问组织数据。

当目录中的第一个用户登录到应用程序并授予同意时，系统会在租户中创建一个服务主体，存储所有用户同意信息。在用户进行身份验证之前，Microsoft Entra ID会自动为租户中新注册的应用程序创建服务主体。

那些至少被分配了应用程序管理员或云应用程序管理员角色的人可以执行特定的应用程序任务（例如从应用程序库中添加应用程序和配置应用程序以使用应用程序代理）。

注册应用程序对象

作为开发人员，您需要注册使用Microsoft身份平台的应用程序。在Azure门户或通过调用Microsoft Graph应用程序API注册您的应用程序。注册应用程序后，它通过向端点发送请求与Microsoft身份平台通信。

您可能没有创建或修改应用程序注册的权限。当管理员不授予您注册应用程序的权限时，请询问他们如何向他们传达必要的应用程序注册信息。

应用程序注册属性可能包括以下组件。

• 名称、徽标和出版商
• 重定向统一资源标识符（URI）
• 机密（用于验证应用程序的对称和/或非对称密钥）
• API依赖项（OAuth）
• 已发布的API/资源/作用域（OAuth）
• 基于角色的访问控制应用程序角色
• 单点登录（SSO）、用户配置和代理的元数据和配置
   

应用程序注册的一个必要部分是您选择支持的帐户类型，以根据用户的帐户类型定义谁可以使用您的应用程序。Microsoft Entra管理员遵循应用程序模型，通过应用程序注册体验管理Azure门户中的应用程序对象，并定义应用程序设置，告诉服务如何向应用程序颁发令牌。

在注册过程中，您会收到应用程序的身份：应用程序（客户端）ID。每次通过Microsoft身份平台执行交易时，您的应用程序都会使用其客户端ID。

应用程序注册最佳实践

在Microsoft Entra ID中注册应用程序作为其业务使用的关键部分时，请遵循应用程序属性的安全最佳实践。旨在防止可能影响整个组织的停机或妥协。以下建议可帮助您围绕零信任原则开发安全应用程序。

• 使用Microsoft身份平台集成检查表来确保高质量和安全的集成。维护应用程序的质量和安全性。
• 正确定义您的重定向URL。请参考重定向URI（回复URL）的限制和约束，以避免兼容性和安全问题。
• 检查应用程序注册中的重定向URI的所有权，以避免域被接管。重定向URL应该位于您知道和拥有的域上。定期检查并删除不必要和未使用的URI。不要在生产应用程序中使用非https URI。
• 始终为租户中注册的应用程序定义和维护应用程序和服务的主要所有者。避免孤立的应用程序（没有指定所有者的应用程序和服务主体）。确保IT管理员在紧急情况下能够轻松快速地识别应用程序所有者。尽量减少应用程序所有者的数量。使受损的用户帐户难以影响多个应用程序。
• 避免对多个应用程序使用相同的应用程序注册。分离应用程序注册可帮助您启用最低权限访问，并在违规期间减少影响。
  • 对登录用户的应用程序和通过API公开数据和操作的应用程序使用单独的应用程序注册（除非紧密耦合）。这种方法允许在距离登录并与用户交互的应用程序较远的地方使用更高特权的API，如Microsoft Graph和凭据（如机密和证书）。
  • 对web应用程序和API使用单独的应用程序注册。这种方法有助于确保，如果web API具有更高的权限集，则客户端应用程序不会继承这些权限。
• 仅在必要时将应用程序定义为多租户应用程序。多租户应用程序允许在您以外的租户中进行配置。它们需要更多的管理开销来过滤不需要的访问。除非您打算将应用程序开发为多租户应用程序，否则请从AzureADMyOrg的SignInAudience值开始。
   

下一步

• 请参考Microsoft身份平台文档，了解如何注册应用程序类型。示例应用程序类型包括单页应用程序（SPA）、web应用程序、web API、桌面应用程序、移动应用程序和后台服务、守护进程和脚本。
• Azure Active Directory B2C的新应用程序注册体验文章可帮助您熟悉取代旧体验的新体验。
• 将应用程序与Microsoft Entra ID和Microsoft身份平台集成，帮助开发人员构建和集成IT专业人员可以在企业中保护的应用程序。
• 获取访问资源的授权有助于您了解如何在获取应用程序的资源访问权限时最好地确保零信任。
• 授权最佳实践可帮助您为应用程序实现最佳授权、权限和同意模型。