应用程序实例锁定是 Microsoft Entra ID 中的一项功能,它允许在另一个租户中预配应用程序后,锁定多租户应用程序对象的敏感属性以进行修改。 如果应用程序不支持需要配置某些属性的方案,则此功能为应用程序开发人员提供了锁定这些属性的功能。
什么是敏感属性?
以下属性使用方案被视为敏感:
- 使用类型为
Sign的凭据。 这是你的应用程序支持 SAML 流的方案。 - 使用类型为
Verify的凭据。 在此方案中,应用程序支持 OIDC 客户端凭据流。 -
TokenEncryptionKeyId,指定 keyCredentials 集合中公钥的 keyId。 配置后,Microsoft Entra ID 将使用此属性指向的密钥加密它发出的所有令牌。 接收加密令牌的应用程序代码必须使用匹配的私钥对令牌进行解密,然后才能将其用于登录用户。
注意
默认情况下,为使用 Microsoft Entra 管理中心创建的所有新应用程序启用应用实例锁。
配置应用实例锁
若要配置应用实例锁,请执行以下操作:
至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心。
如果有权访问多个租户,请使用顶部菜单中的“设置”图标
,从“目录 + 订阅”菜单切换到包含应用注册的租户。访问 Entra ID>应用注册。
选择要配置的应用程序。
选择“身份验证”,然后选择“应用实例属性锁定”部分下的“配置”。
在“应用实例属性锁”窗格中,输入锁的设置。 图像下面的表格描述每个设置及其参数。
字段 说明 启用属性锁 指定是否启用属性锁。 所有属性 锁定所有敏感属性,而无需选择每个属性方案。 用于验证的凭据 锁定添加或更新用于验证的凭据属性的功能。 用于签署令牌的凭据 锁定添加或更新用于签名令牌的凭据属性的功能。 令牌加密 KeyId 锁定更改 tokenEncryptionKeyId属性的功能。选择“保存”以保存更改。
使用 Microsoft Graph 配置应用实例锁定
可以通过多租户应用的 application 对象的 servicePrincipalLockConfiguration 属性来管理应用实例锁定功能。 有关详细信息,请参阅锁定服务主体的敏感属性。