Compartir a través de

Configurar el acceso solo a la aplicación para Microsoft Purview eDiscovery

  • Artículo

Las API de Microsoft Purview para eDiscovery en Microsoft Graph permiten a las organizaciones automatizar tareas repetitivas e integrarse con sus herramientas de exhibición de documentos electrónicos existentes para crear flujos de trabajo repetibles que las regulaciones del sector podrían requerir.

Para garantizar un mejor acceso seguro y eficaz a los recursos, puede implementar el acceso solo a la aplicación mediante microsoft Graph API. En este artículo se explica cómo configurar el acceso solo a la aplicación para Microsoft Purview eDiscovery con el fin de garantizar que las aplicaciones sean compatibles y seguras.

¿Por qué el acceso solo a la aplicación?

Mejora de la seguridad y el cumplimiento

El acceso solo a la aplicación mejora el panorama de seguridad de Microsoft Purview eDiscovery mediante la implementación de protocolos de autenticación sólidos que no pueden coincidir con las credenciales de usuario estándar. Mediante el uso de identificadores y certificados de aplicación (cliente) para la autenticación, se minimiza el riesgo de robo de credenciales, que es una vulnerabilidad común en los métodos de autenticación estándar. Este enfoque no solo ayuda a proteger la aplicación contra el acceso no autorizado, sino que también garantiza mejor que la integridad de los datos se mantenga durante el proceso de exhibición de documentos electrónicos.

Optimización del acceso y la integración

El acceso solo a la aplicación simplifica la integración de servicios de eDiscovery con otras aplicaciones y sistemas. Facilita interacciones automatizadas basadas en scripts que son cruciales para las investigaciones legales a gran escala y las auditorías de cumplimiento. Al permitir el acceso seguro basado en tokens a los recursos de eDiscovery, las organizaciones pueden automatizar los flujos de trabajo, reducir los errores manuales y garantizar el cumplimiento coherente de las directivas de cumplimiento en todos los entornos digitales.

Implementación del acceso solo a la aplicación

Implementar el acceso solo a la aplicación implica registrar la aplicación en Azure Portal, crear certificados o secretos de cliente, asignar permisos de API, configurar una entidad de servicio y, a continuación, usar el acceso de solo aplicación para llamar a las API de Microsoft Graph. En los pasos siguientes se explica cómo implementar el acceso solo a la aplicación.

Paso 1: Registro de una nueva aplicación en Azure

  1. Vaya al Azure Portal e inicie sesión con su cuenta microsoft.

  2. En el panel izquierdo del Azure Portal, seleccione Microsoft Entra ID.

  3. En el panel izquierdo, expanda Registros de aplicaciones y seleccione Nuevo registro.

  4. Proporcione un nombre significativo para la aplicación y seleccione Registrar para crear el registro de la aplicación. Este proceso genera detalles esenciales, como el identificador de aplicación (cliente) y el identificador de directorio (inquilino), que son importantes para los pasos siguientes.

Ahora puede ver el registro de la aplicación recién creada y los detalles.

Captura de pantalla de la página de registro de la aplicación.

Paso 2: Creación de certificados o secretos de cliente

Ahora que la aplicación está registrada, en el panel izquierdo del Azure Portal, expanda Administrar y, a continuación, seleccione Certificados & secretos. Aquí puede crear un secreto de cliente o cargar un certificado, en función de sus necesidades de autenticación:

Para un secreto de cliente, seleccione Nuevo secreto de cliente, agregue una descripción y seleccione Agregar para guardarlo. Asegúrese de copiar y almacenar de forma segura el valor del secreto para la autenticación más adelante. De lo contrario, es posible que tenga que crear un nuevo secreto.

Opcionalmente, puede cargar un certificado para usarlo junto con el identificador de aplicación con fines de automatización.

Captura de pantalla de la página del secreto de cliente de registro de aplicaciones.

Paso 3: Asignación de permisos de API

Debe establecer los permisos de API correctos para la aplicación. Expanda Administrar y seleccione Permisos de API, agregue eDiscovery.Read.All y eDiscovery.ReadWrite.All. Estos permisos permiten a la aplicación leer y escribir datos de eDiscovery, respectivamente. El administrador de inquilinos debe dar su consentimiento a estos permisos de aplicación para habilitarlos para su uso.

Captura de pantalla de la página permisos de api de registro de aplicaciones.

Paso 4: Configurar una entidad de servicio

  1. En el panel izquierdo del Azure Portal, en Microsoft Entra ID, seleccione Aplicaciones empresariales y busque la aplicación por nombre para obtener el identificador de objeto de la aplicación.

Captura de pantalla de la página aplicaciones empresariales.

  1. Abra una nueva sesión de PowerShell. Instale e importe el módulo ExchangeOnlineManagement mediante los siguientes cmdlets. El Install-Module cmdlet recomienda actualizar el paquete si el módulo ya está instalado.

    Install-Module ExchangeOnlineManagement
Import-Module ExchangeOnlineManagement
Connect-IPPSSession

  2. Use el cmdlet New-ServicePrincipal para crear una entidad de servicio con los detalles de la aplicación y comprobarla mediante el cmdlet Get-ServicePrincipal .

    Ejecute los siguientes cmdlets y reemplace los argumentos AppId, ObjectId y DisplayName en el primer cmdlet.

    New-ServicePrincipal -AppId "0969a7fc-3e17-424f-92a4-54e583b2142a" -ObjectId "a8c1aaec-d18a-47fa-aec5-8651d755223c" -DisplayName "Graph App Auth"
Get-ServicePrincipal

  3. Agregue el identificador de objeto de entidad de servicio al rol eDiscoveryManager mediante el cmdlet Add-RoleGroupMember y compruebe mediante el cmdlet Get-RoleGroupMember .

    Ejecute los siguientes cmdlets y reemplace el argumento Member en el primer cmdlet.

    Add-RoleGroupMember -Identity "eDiscoveryManager" -Member "a8c1aaec-d18a-47fa-aec5-8651d755223c"
Get-RoleGroupMember -Identity "eDiscoveryManager"

  4. Agregue el identificador de objeto de entidad de servicio al rol eDiscoveryAdministrator mediante el cmdlet Add-eDiscoveryCaseAdmin y compruebe mediante el cmdlet Get-eDiscoveryCaseAdmin .

    Ejecute los siguientes cmdlets y reemplace el argumento User en el primer cmdlet.

    Add-eDiscoveryCaseAdmin -User "a8c1aaec-d18a-47fa-aec5-8651d755223c"
Get-eDiscoveryCaseAdmin

Captura de pantalla del shell de Exchange Online.

Paso 5: Conexión a Microsoft Graph API mediante el acceso solo a la aplicación

Use el cmdlet Connect-MgGraph para autenticarse y conectarse a Microsoft Graph mediante el método de acceso de solo aplicación en PowerShell. Esta configuración permite que la aplicación interactúe con Microsoft Graph de forma segura.

Paso 6: Invocación de solicitudes de Microsoft Graph API

Una vez conectado, puede empezar a realizar llamadas a Microsoft Graph API mediante el cmdlet Invoke-MgGraphRequest. Este cmdlet le permite realizar varias operaciones necesarias para los servicios de eDiscovery en su organización.

Contenido relacionado

Explore los tutoriales de Microsoft Graph para crear aplicaciones básicas que accedan a los datos en escenarios de solo aplicación. Para obtener más información sobre la autenticación de solo aplicación, consulte Obtención de acceso sin un usuario.

Para probar las API en Postman, consulte Uso de Postman con microsoft Graph API.