Partager via

Gérer l’authentification des applicationsBehaviors

La propriété authenticationBehaviors de l’objet application vous permet de configurer des comportements de modification cassants liés à l’émission de jetons. Les applications peuvent adopter de nouvelles modifications cassantes en activant un comportement ou continuer à utiliser un comportement préexistant en le désactivant.

Vous pouvez configurer les comportements suivants :

Remarque

La propriété authenticationBehaviors de l’objet application est actuellement disponible uniquement dans beta .

Lire le paramètre authenticationBehaviors pour une application

La propriété authenticationBehaviors est retournée uniquement sur les $select requêtes.

Pour lire la propriété et les autres propriétés spécifiées de toutes les applications du locataire, exécutez l’exemple de requête suivant. La requête retourne un 200 OK code de réponse et une représentation JSON de l’objet d’application qui affiche uniquement les propriétés sélectionnées.

GET https://graph.microsoft.com/beta/applications?$select=id,displayName,appId,authenticationBehaviors

Pour lire uniquement la propriété authenticationBehaviors pour une seule application, exécutez l’exemple de requête suivant.

GET https://graph.microsoft.com/beta/applications/03ef14b0-ca33-4840-8f4f-d6e91916010e/authenticationBehaviors

Vous pouvez également utiliser la propriété appId comme suit :

GET https://graph.microsoft.com/beta/applications(appId='37bf1fd4-78b0-4fea-ac2d-6c82829e9365')/authenticationBehaviors

Empêcher l’émission de revendications d’e-mail avec des propriétaires de domaine non vérifiés

Comme décrit dans l’avis de sécurité Microsoft Risque potentiel d’escalade de privilèges dans les applications Microsoft Entra, les applications ne doivent jamais utiliser la revendication d’e-mail à des fins d’autorisation. Si votre application utilise la revendication e-mail à des fins d’autorisation ou d’identification de l’utilisateur principal, elle est sujette à des attaques d’escalade de comptes et de privilèges. Ce risque d’accès non autorisé est particulièrement identifié dans les scénarios suivants :

  • Lorsque l’attribut de messagerie de l’objet utilisateur contient une adresse e-mail avec un propriétaire de domaine non vérifié
  • Pour les applications multilocataires où un utilisateur d’un locataire peut élever ses privilèges d’accès aux ressources d’un autre locataire par la modification de son attribut de messagerie

Pour plus d’informations sur l’identification de ces cas dans votre locataire, consultez Migrer en dehors de l’utilisation des revendications de messagerie pour l’identification ou l’autorisation de l’utilisateur.

Aujourd’hui, le comportement par défaut consiste à supprimer les adresses e-mail avec des propriétaires de domaine non vérifiés dans les revendications, à l’exception des applications monolocataires et des applications multilocataires avec une activité de connexion précédente avec des e-mails non vérifiés. Si votre application tombe dans l’une de ces exceptions et que vous souhaitez supprimer les adresses e-mail non vérifiées, définissez la propriété removeUnverifiedEmailClaimd’authenticationBehaviors sur true , comme indiqué dans les exemples suivants. La requête retourne un code de réponse 204 No Content .

Supprimer des revendications les adresses e-mail avec des propriétaires de domaine non vérifiés

Option 1

Ce modèle de spécification de la propriété dans l’URL de la requête vous permet de mettre à jour uniquement la propriété spécifiée dans la requête.

PATCH https://graph.microsoft.com/beta/applications/03ef14b0-ca33-4840-8f4f-d6e91916010e/authenticationBehaviors
Content-Type: application/json

{
    "removeUnverifiedEmailClaim": true
}

Option 2

Ce modèle de spécification de la propriété dans le corps de la requête vous permet de mettre à jour d’autres propriétés homologues dans la même requête.

PATCH https://graph.microsoft.com/beta/applications/03ef14b0-ca33-4840-8f4f-d6e91916010e
Content-Type: application/json

{
    "authenticationBehaviors": {
        "removeUnverifiedEmailClaim": true
    }
}

Accepter des adresses e-mail avec des propriétaires de domaine non vérifiés dans les revendications

Option 1

PATCH https://graph.microsoft.com/beta/applications/03ef14b0-ca33-4840-8f4f-d6e91916010e/authenticationBehaviors
Content-Type: application/json

{
    "removeUnverifiedEmailClaim": false
}

Option 2

PATCH https://graph.microsoft.com/beta/applications/03ef14b0-ca33-4840-8f4f-d6e91916010e
Content-Type: application/json

{
    "authenticationBehaviors": {
        "removeUnverifiedEmailClaim": false
    }
}

Restaurer le comportement par défaut

Option 1

PATCH https://graph.microsoft.com/beta/applications/03ef14b0-ca33-4840-8f4f-d6e91916010e/authenticationBehaviors
Content-Type: application/json

{
    "removeUnverifiedEmailClaim": null
}

Option 2

PATCH https://graph.microsoft.com/beta/applications/03ef14b0-ca33-4840-8f4f-d6e91916010e/
Content-Type: application/json

{
    "authenticationBehaviors": {
        "removeUnverifiedEmailClaim": null
    }
}

Autoriser l’accès étendu à Azure AD Graph jusqu’au 31 août 2025

Par défaut, les applications créées après le 31 août 2024 reçoivent une 403 Unauthorized erreur lors de l’envoi de demandes aux API Graph Azure AD, sauf si vous les configurez pour autoriser l’accès Étendu à Azure AD Graph. En outre, vous devez configurer les applications existantes créées avant le 31 août 2024 et envoyer des requêtes aux API Azure AD Graph pour autoriser l’accès étendu à Azure AD Graph d’ici le 1er février 2025. Cet accès étendu est disponible uniquement jusqu’au 30 juin 2025, date à laquelle Azure AD Graph sera entièrement mis hors service. Après cette date, toutes les applications reçoivent une 403 Unauthorized erreur lors de l’envoi de requêtes aux API Azure AD Graph, quelle que soit leur configuration d’accès étendu. Pour plus d’informations, consultez Mise à jour de juin 2024 sur Azure AD API Graph mise hors service.

La requête suivante montre comment mettre à jour une application pour activer l’accès Étendu à Azure AD Graph. L’ID utilisé dans cet exemple est l’ID d’objet de l’application, et non l’ID d’application. La requête retourne un code de réponse 204 No Content .

Option 1

PATCH https://graph.microsoft.com/beta/applications/5c142e6f-0bd3-4e58-b510-8a106704f44f/authenticationBehaviors
Content-Type: application/json

{
    "blockAzureADGraphAccess": false
}

Option 2

PATCH https://graph.microsoft.com/beta/applications/5c142e6f-0bd3-4e58-b510-8a106704f44f
Content-Type: application/json

{
    "authenticationBehaviors": {
        "blockAzureADGraphAccess": false
    }
}

Contenu connexe

  • Last updated on