Restricción de una aplicación Microsoft Entra a un conjunto de usuarios

Las aplicaciones registradas en un inquilino de Microsoft Entra están disponibles de forma predeterminada para todos los usuarios del inquilino que se autentican correctamente. Para restringir la aplicación a un conjunto de usuarios, puedes configurar la aplicación para requerir la asignación de usuarios. Los usuarios y servicios que intentan acceder a la aplicación o los servicios primero se deben asignar para esta aplicación, o no podrán iniciar sesión ni obtener un token de acceso.

De igual manera, en una aplicación multiinquilino, todos los usuarios del inquilino de Microsoft Entra en el que se aprovisiona la aplicación pueden acceder a ella una vez que se autentiquen correctamente en sus respectivos inquilinos.

Los desarrolladores y administradores de inquilinos tienen con frecuencia el requisito de restringir una aplicación a un determinado conjunto de usuarios o aplicaciones (servicios). Hay dos maneras de restringir una aplicación a un determinado conjunto de usuarios, aplicaciones o grupos de seguridad:

• Los desarrolladores pueden usar patrones de autorización populares, como el control de acceso basado en roles de Azure (RBAC de Azure).
• Administradores del inquilino y los desarrolladores pueden usar la característica integrada de Microsoft Entra ID.

Requisitos previos

• Una cuenta de usuario de Microsoft Entra. Si no tienes ninguna cuenta, crea una gratuita.
• Una aplicación registrada en el inquilino de Microsoft Entra
• Debes ser el propietario de la aplicación o ser al menos un administrador de aplicaciones en la nube en el inquilino.

Configuraciones de aplicación admitidas

La opción para restringir una aplicación a un conjunto específico de usuarios, aplicaciones o a los grupos de seguridad de un inquilino funciona con los siguientes tipos de aplicaciones:

• Aplicaciones configuradas para el inicio de sesión único federado con autenticación basada en SAML.
• Aplicaciones de Application Proxy que usan la autenticación previa de Microsoft Entra.
• Aplicaciones integradas directamente en la plataforma de aplicaciones de Microsoft Entra que usan Autenticación OAuth 2.0/OpenID Connect después de que un usuario o administrador haya dado su consentimiento a esa aplicación.

Actualización de la aplicación para permitir la asignación de usuarios

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

Para que una aplicación requiera la asignación de un usuario, debes ser propietario de la aplicación en Aplicaciones Enterprise o, como mínimo, Administrador de aplicaciones en la nube.

1. Inicia sesión en el centro de administración de Microsoft Entra.
2. Si tienes acceso a varios inquilinos, usa el filtro Directorios y suscripciones en el menú superior para cambiar al inquilino que contiene el registro de la aplicación desde el menú Directorios y suscripciones.
3. Ve a Identidad>Aplicaciones>Enterprise y luego selecciona Todas las aplicaciones.
4. Selecciona la aplicación que quieras configurar para exigir la asignación. Utiliza los filtros de la parte superior de la ventana para buscar una aplicación específica.
5. En la página Información general de la aplicación, en Administrar, selecciona Propiedades.
6. Busca el valor ¿Asignación requerida? y establécelo en Sí.
7. Selecciona Guardar en la barra superior.

Cuando en una aplicación se necesita la asignación, no se permite el consentimiento del usuario para esa aplicación. Esto es así incluso si los usuarios hubieran dado su consentimiento para esa aplicación. Asegúrate de conceder consentimiento de administrador en todo el inquilino a las aplicaciones en las que sea necesaria la asignación.

Asignar la aplicación a usuarios y grupos para restringir el acceso

Una vez que hayas configurado la aplicación para permitir la asignación de usuarios, puedes continuar y asignar usuarios y grupos a la aplicación.

1. En Administrar, selecciona Usuarios y grupos y, a continuación, selecciona Agregar usuario/grupo.
2. En Usuarios, selecciona Ninguno seleccionado y se abrirá el panel selector usuarios, donde puedes seleccionar varios usuarios y grupos.
3. Cuando hayas terminado de seleccionar los usuarios y grupos, elige Seleccionar.
   1. (Opcional) Si has definido roles de aplicación en la aplicación, puedes usar la opción Seleccionar rol para asignar el rol de la aplicación a los usuarios y grupos seleccionados.
4. Selecciona Asignar para completar las asignaciones de la aplicación a los usuarios y grupos.
5. Al volver a la página Usuarios y grupos, los usuarios y grupos recién agregados aparecen en la lista actualizada.

Restringir el acceso a una aplicación (recurso) mediante la asignación de otros servicios (aplicaciones cliente)

Sigue los pasos de esta sección para proteger el acceso de autenticación de aplicación a aplicación para tu inquilino.

1. Ve a los registros de inicio de sesión de la entidad de servicio en el inquilino para buscar servicios que se autentican para acceder a los recursos del inquilino.

2. Comprueba el uso del identificador de aplicación si existe una entidad de servicio para las aplicaciones de recursos y cliente en el inquilino que deseas administrar.

   Get-MgServicePrincipal `
   -Filter "AppId eq '$appId'"
   

3. Crea una entidad de servicio mediante el identificador de aplicación, si no existe:

   New-MgServicePrincipal `
   -AppId $appId
   

4. Asigna explícitamente aplicaciones cliente a aplicaciones de recursos (esta funcionalidad solo está disponible en la API y no en el centro de administración de Microsoft Entra):

   $clientAppId = “[guid]”
                  $clientId = (Get-MgServicePrincipal -Filter "AppId eq '$clientAppId'").Id
   New-MgServicePrincipalAppRoleAssignment `
   -ServicePrincipalId $clientId `
   -PrincipalId $clientId `
   -ResourceId (Get-MgServicePrincipal -Filter "AppId eq '$appId'").Id `
   -AppRoleId "00000000-0000-0000-0000-000000000000"
   

5. Requerir asignación para que la aplicación de recursos restrinja el acceso solo a los usuarios o servicios asignados explícitamente.

   Update-MgServicePrincipal -ServicePrincipalId (Get-MgServicePrincipal -Filter "AppId eq '$appId'").Id -AppRoleAssignmentRequired:$true
   

Nota:

Si no desea que se emita tokens para una aplicación o si desea impedir que usuarios o servicios de su inquilino accedan a una aplicación, cree una entidad de servicio para la aplicación y deshabilite el inicio de sesión de usuario para ella.

Consulte también

Para más información sobre los roles y los grupos de seguridad, consulte:

• Cómo: Adición de roles de aplicación a la aplicación
• Uso de grupos de seguridad y roles de aplicación en las aplicaciones (vídeo)
• Manifiesto de la aplicación de Microsoft Entra