Sdílet prostřednictvím


Omezení aplikace Microsoft Entra na sadu uživatelů

Aplikace zaregistrované v tenantovi Microsoft Entra jsou ve výchozím nastavení dostupné všem uživatelům tenanta, kteří se úspěšně ověřují. Pokud chcete aplikaci omezit na sadu uživatelů, můžete aplikaci nakonfigurovat tak, aby vyžadovala přiřazení uživatele. Uživatelům a službám, kteří se pokoušejí získat přístup k aplikaci nebo službám, musí být přiřazeni k aplikaci, jinak se nebudou moct přihlásit ani získat přístupový token.

Podobně v aplikaci s více tenanty můžou všichni uživatelé v tenantovi Microsoft Entra, kde je aplikace zřízena, získat přístup k aplikaci, jakmile se úspěšně ověří ve svém příslušném tenantovi.

Správci tenantů a vývojáři často mají požadavky, kdy musí být aplikace omezena na určitou sadu uživatelů nebo aplikací (služeb). Existují dva způsoby, jak omezit aplikaci na určitou sadu uživatelů, aplikací nebo skupin zabezpečení:

Požadavky

Podporované konfigurace aplikací

Možnost omezit aplikaci na konkrétní sadu uživatelů, aplikací nebo skupin zabezpečení v tenantovi funguje s následujícími typy aplikací:

  • Aplikace nakonfigurované pro federované jednotné přihlašování s ověřováním založeným na SAML
  • Aplikace proxy aplikací, které používají předběžné ověření Microsoft Entra.
  • Aplikace vytvořené přímo na aplikační platformě Microsoft Entra, které používají ověřování OAuth 2.0/OpenID Connect po souhlasu uživatele nebo správce s danou aplikací.

Aktualizujte aplikaci tak, aby vyžadovala přiřazení uživatele.

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Pokud chcete aktualizovat aplikaci tak, aby vyžadovala přiřazení uživatele, musíte být vlastníkem aplikace v rámci podnikových aplikací nebo alespoň správcem cloudových aplikací.

  1. Přihlaste se do Centra pro správu Microsoft Entra.
  2. Pokud máte přístup k více tenantům, pomocí filtru Adresáře a předplatná v horní nabídce přepněte do tenanta, který obsahuje registraci aplikace z nabídky Adresáře a předplatná.
  3. Přejděte k podnikovým aplikacím identit>a>pak vyberte Všechny aplikace.
  4. Vyberte aplikaci, kterou chcete nakonfigurovat tak, aby vyžadovala přiřazení. Pomocí filtrů v horní části okna vyhledejte konkrétní aplikaci.
  5. Na stránce Přehled aplikace v části Spravovat vyberte Vlastnosti.
  6. Vyhledejte požadované nastavení Přiřazení a nastavte ho na Ano.
  7. Na horním panelu vyberte Uložit .

Pokud aplikace vyžaduje přiřazení, souhlas uživatele pro danou aplikaci není povolený. To platí i v případě, že by jinak byl souhlas uživatelů s touto aplikací povolený. Nezapomeňte udělit souhlas správce v rámci celého tenanta aplikacím, které vyžadují přiřazení.

Přiřazení aplikace uživatelům a skupinám za účelem omezení přístupu

Jakmile nakonfigurujete aplikaci tak, aby povolovala přiřazení uživatelů, můžete aplikaci přiřadit uživatelům a skupinám.

  1. V části Spravovat vyberte Uživatelé a skupiny a pak vyberte Přidat uživatele nebo skupinu.
  2. V části Uživatelé vyberte Možnost Žádné a otevře se podokno Selektor Uživatelé, kde můžete vybrat více uživatelů a skupin.
  3. Až budete hotovi s přidáváním uživatelů a skupin, vyberte Vybrat.
    1. (Volitelné) Pokud jste ve své aplikaci definovali role aplikací, můžete pomocí možnosti Vybrat roli přiřadit roli aplikace vybraným uživatelům a skupinám.
  4. Výběrem možnosti Přiřadit dokončíte přiřazení aplikace uživatelům a skupinám.
  5. Po návratu na stránku Uživatelé a skupiny se nově přidaní uživatelé a skupiny zobrazí v aktualizovaném seznamu.

Omezení přístupu k aplikaci (prostředku) přiřazením jiných služeb (klientských aplikací)

Postupujte podle kroků v této části a zabezpečte přístup k ověřování aplikací pro vašeho tenanta.

  1. Přejděte do protokolů přihlášení instančního objektu ve vašem tenantovi a vyhledejte služby ověřující přístup k prostředkům ve vašem tenantovi.

  2. Pomocí ID aplikace zkontrolujte, jestli existuje instanční objekt pro prostředky i klientské aplikace ve vašem tenantovi, ke kterému chcete spravovat přístup.

    Get-MgServicePrincipal `
    -Filter "AppId eq '$appId'"
    
  3. Vytvořte instanční objekt pomocí ID aplikace, pokud neexistuje:

    New-MgServicePrincipal `
    -AppId $appId
    
  4. Explicitní přiřazení klientských aplikací k aplikacím prostředků (tato funkce je dostupná jenom v rozhraní API a ne v Centru pro správu Microsoft Entra):

    $clientAppId = “[guid]”
                   $clientId = (Get-MgServicePrincipal -Filter "AppId eq '$clientAppId'").Id
    New-MgServicePrincipalAppRoleAssignment `
    -ServicePrincipalId $clientId `
    -PrincipalId $clientId `
    -ResourceId (Get-MgServicePrincipal -Filter "AppId eq '$appId'").Id `
    -AppRoleId "00000000-0000-0000-0000-000000000000"
    
  5. Vyžadovat přiřazení pro aplikaci prostředků k omezení přístupu pouze k explicitně přiřazeným uživatelům nebo službám.

    Update-MgServicePrincipal -ServicePrincipalId (Get-MgServicePrincipal -Filter "AppId eq '$appId'").Id -AppRoleAssignmentRequired:$true
    

Poznámka:

Pokud nechcete, aby se tokeny vystavovaly pro aplikaci nebo pokud chcete blokovat přístup k aplikaci uživateli nebo službami ve vašem tenantovi, vytvořte instanční objekt pro aplikaci a zakažte pro ni přihlášení uživatele.

Viz také

Další informace o rolíchach