Beschränken Ihrer Microsoft Entra-App auf bestimmte Benutzer*innen in einem Microsoft Entra-Mandanten

Anwendungen, die für einen Microsoft Entra-Mandanten registriert sind, sind standardmäßig für alle Benutzer des Mandanten verfügbar, deren Authentifizierung erfolgreich war.

Ebenso können in einer mehrinstanzenfähigen Anwendung alle Benutzer*innen im Microsoft Entra-Mandanten, in dem die Anwendung bereitgestellt wird, auf die Anwendung zugreifen, nachdem sie sich erfolgreich bei ihrem jeweiligen Mandanten authentifiziert haben.

Für Mandantenadministratoren und -entwickler ist es häufig erforderlich, dass eine Anwendung auf eine bestimmte Gruppe von Benutzern oder Apps (Dienste) beschränkt werden muss. Es gibt zwei Möglichkeiten, eine Anwendung auf eine bestimmte Gruppe von Benutzern, Apps oder Sicherheitsgruppen zu beschränken:

• Entwickler*innen können gängige Autorisierungsmuster wie die rollenbasierte Zugriffssteuerung in Azure (Azure RBAC) verwenden.
• Mandantenadministrator*innen und Entwickler*innen können das integrierte Feature von Microsoft Entra ID verwenden.

Unterstützte App-Konfigurationen

Die Option zum Beschränken einer App auf eine bestimmte Gruppe von Benutzern, Apps oder Sicherheitsgruppen in einem Mandanten funktioniert für die folgenden Arten von Anwendungen:

• Anwendungen, die für die einmalige Verbundanmeldung mit SAML-basierter Authentifizierung konfiguriert sind.
• Anwendungsproxyanwendungen, die Microsoft Entra-Vorauthentifizierung verwenden.
• Anwendungen, die auf der Microsoft Entra-Anwendungsplattform bei Verwendung der OAuth 2.0/OpenID Connect-Authentifizierung erstellt werden (nachdem ein Benutzer oder Administrator seine Zustimmung für die Anwendung erteilt hat).

Aktualisieren der Anwendung, um eine Benutzerzuweisung zu erfordern

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

Um eine Anwendung so zu aktualisieren, dass eine Benutzerzuweisung erforderlich ist, müssen Sie im Abschnitt „Unternehmens-Apps“ als Besitzer*in der Anwendung zugewiesen sein oder mindestens über die Rolle Cloudanwendungsadministrator verfügen.

1. Melden Sie sich beim Microsoft Entra Admin Center an.
2. Wenn Sie Zugriff auf mehrere Mandanten haben, verwenden Sie das Symbol für Verzeichnisse + Abonnements im oberen Menü, um zum Mandanten zu wechseln, der die App-Registrierung aus dem Menü Verzeichnisse + Abonnements enthält.
3. Wechseln Sie zu Identität>Anwendungen>Unternehmensanwendungen, und wählen Sie Alle Anwendungen aus.
4. Wählen Sie die Anwendung aus, die Sie so konfigurieren möchten, dass eine Zuweisung erforderlich ist. Verwenden Sie oben im Fenster die Filter, um nach einer bestimmten Anwendung zu suchen.
5. Wählen Sie auf der Seite Übersicht der Anwendung unter Verwalten die Option Eigenschaften aus.
6. Suchen Sie nach der Einstellung Zuweisung erforderlich?, und legen Sie diese auf Ja fest. Wenn diese Option auf Ja festgelegt ist, müssen Benutzer und Dienste, die auf die Anwendung oder Dienste zugreifen möchten, zuerst für diese Anwendung zugewiesen werden, ansonsten können sie sich nicht anmelden oder kein Zugriffstoken erhalten.
7. Wählen Sie in der oberen Leiste Speichern aus.

Wenn eine Anwendung eine Zuweisung erfordert, ist die Benutzereinwilligung für diese Anwendung nicht zulässig. Dies gilt auch dann, wenn die Benutzereinwilligung für diese App andernfalls zugelassen worden wäre. Vergewissern Sie sich, dass Sie für Apps, die eine Zuweisung erfordern, eine mandantenweite Administratoreinwilligung erteilen.

Zuweisen der App zu Benutzern und Gruppen zum Beschränken des Zugriffs

Nachdem Sie Ihre App für die Aktivierung der Benutzerzuweisung konfiguriert haben, können Sie damit beginnen, die App Benutzern und Gruppen zuzuweisen.

1. Wählen Sie unter Verwalten die Option Benutzer und Gruppen und dann Benutzer/Gruppe hinzufügen aus.

2. Wählen Sie die Auswahl Benutzer aus.

   Eine Liste mit Benutzern und Sicherheitsgruppen wird zusammen mit einem Textfeld angezeigt, mit dem bestimmte Benutzer oder Gruppen gesucht werden können. Auf diesem Bildschirm können Sie mehrere Benutzer und Gruppen auf einmal auswählen.

3. Wenn Sie die Benutzer*innen und Gruppen ausgewählt haben, wählen Sie Auswählen aus.

4. (Optional) Wenn Sie App-Rollen in Ihrer Anwendung definiert haben, können mit der Option Rolle auswählen die App-Rolle ausgewählten Benutzern und Gruppen zuweisen.

5. Wählen Sie Zuweisen aus, um die Zuweisungen der App an Benutzer und Gruppen abzuschließen.

6. Vergewissern Sie sich, dass die hinzugefügten Benutzer und Gruppen in der aktualisierten Liste Benutzer und Gruppen angezeigt werden.

Beschränken des Zugriffs auf eine App (Ressource) durch Zuweisen anderer Dienste (Client-Apps)

Führen Sie die Schritte in diesem Abschnitt aus, um den Authentifizierungszugriff zwischen Apps für Ihren Mandanten zu sichern.

1. Navigieren Sie zu den Protokollen für die Anmeldung über Dienstprinzipale in Ihrem Mandanten, um nach Diensten zu suchen, die sich für den Zugriff auf Ressourcen in Ihrem Mandanten authentifizieren.
2. Überprüfen Sie mithilfe der App-ID, ob ein Dienstprinzipal für Ressourcen- und Client-Apps in Ihrem Mandanten vorhanden ist, für die Sie den Zugriff verwalten möchten.

   Get-MgServicePrincipal `
   -Filter "AppId eq '$appId'"
   

3. Erstellen Sie einen Dienstprinzipal mithilfe der App-ID, falls dieser nicht vorhanden ist:

   New-MgServicePrincipal `
   -AppId $appId
   

4. Weisen Sie Client-Apps explizit Ressourcen-Apps zu (diese Funktionalität ist nur in der API und nicht im Microsoft Entra Admin Center verfügbar):

   $clientAppId = “[guid]”
                  $clientId = (Get-MgServicePrincipal -Filter "AppId eq '$clientAppId'").Id
   New-MgServicePrincipalAppRoleAssignment `
   -ServicePrincipalId $clientId `
   -PrincipalId $clientId `
   -ResourceId (Get-MgServicePrincipal -Filter "AppId eq '$appId'").Id `
   -AppRoleId "00000000-0000-0000-0000-000000000000"
   

5. Fordern Sie eine Zuweisung für die Ressourcenanwendung an, um den Zugriff nur auf die explizit zugewiesenen Benutzer oder Dienste zu beschränken.

   Update-MgServicePrincipal -ServicePrincipalId (Get-MgServicePrincipal -Filter "AppId eq '$appId'").Id -AppRoleAssignmentRequired:$true
   

   Hinweis

   Wenn Sie nicht möchten, dass Token für eine Anwendung ausgestellt werden, oder wenn Sie verhindern möchten, dass Benutzer oder Dienste in Ihrem Mandanten auf eine Anwendung zugreifen, erstellen Sie einen Dienstprinzipal für die Anwendung, und deaktivieren Sie die Benutzeranmeldung dafür.

Weitere Informationen

Weitere Informationen zu Rollen und Sicherheitsgruppen finden Sie unter:

• Vorgehensweise: Hinzufügen von App-Rollen in Ihrer Anwendung
• Using Security Groups and Application Roles in your apps (Video) (Verwenden von Sicherheitsgruppen und Anwendungsrollen in Ihren Apps (Video))
• Microsoft Entra-App-Manifest