Restreindre votre application Microsoft Entra à un ensemble d’utilisateurs dans un locataire Microsoft Entra

Les applications inscrites dans un locataire Microsoft Entra sont, par défaut, disponibles pour tous les utilisateurs du locataire qui parviennent à s’authentifier.

De même, dans une application multilocataire, tous les utilisateurs du locataire Microsoft Entra où cette application est approvisionnée peuvent accéder à l’application une fois qu’ils se sont authentifiés avec succès dans leur locataire respectif.

Les développeurs et les administrateurs de tenants ont souvent des exigences impliquant la limitation d’une application à un certain ensemble d’utilisateurs ou d’applications (services). Il existe deux façons de limiter une application à un certain ensemble d’utilisateurs, d’applications ou de groupes de sécurité :

• Les développeurs peuvent utiliser des modèles d’autorisation courants comme le contrôle d’accès en fonction du rôle Azure (RBAC Azure).
• Les développeurs et les administrateurs de locataire peuvent utiliser la fonctionnalité intégrée de Microsoft Entra ID.

Configurations d’application prises en charge

La possibilité de limiter une application à un ensemble spécifique d’utilisateurs, d’applications ou de groupes de sécurité dans un tenant est compatible avec les types d’applications suivants :

• applications configurées pour l’authentification unique fédérée avec l’authentification basée sur SAML ;
• Applications de proxy d’application qui utilisent la pré-authentification Microsoft Entra.
• Applications créées directement sur la plateforme d’application Microsoft Entra qui utilisent l’authentification OAuth 2.0/OpenID Connect après qu’un utilisateur ou administrateur a donné son consentement à l’application.

Mettre à jour l'application pour exiger une affectation d'utilisateurs

Conseil

Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail de départ.

Pour mettre à jour une application afin d’exiger une affectation d’utilisateurs, vous devez en être le propriétaire sous Applications d’entreprise ou être au minimum un Administrateur d’application cloud.

1. Connectez-vous au centre d’administration Microsoft Entra.
2. Si vous avez accès à plusieurs locataires, utilisez le filtreRépertoires + souscriptions dans le menu supérieur pour basculer vers le locataire contenant l'enregistrement de l'application à partir du menu Répertoires + souscriptions.
3. Accédez à Identité>Applications>Applications d’entreprise, puis sélectionnez Toutes les applications.
4. Sélectionnez l'application que vous souhaitez configurer pour exiger une affectation. Utilisez les filtres en haut de la fenêtre pour rechercher une application spécifique.
5. Dans la page Vue d’ensemble de l’application, sous Gérer, sélectionnez Propriétés.
6. Recherchez le paramètre Affectation requise ? et définissez-le sur Oui. Lorsque cette option est définie sur Oui, les utilisateurs et les services qui tentent d'accéder à l'application ou aux services doivent d'abord y être affectés pour pouvoir se connecter ou obtenir un jeton d'accès.
7. Sélectionnez Enregistrer dans la barre supérieure.

Lorsqu’une application exige une affectation, le consentement de l’utilisateur n’est pas autorisé pour cette application. Cela est vrai même si ce consentement aurait autrement été autorisé pour l’application en question. Veillez à accorder le consentement administrateur à l'échelle du locataire aux applications qui exigent une affectation.

Affecter l’application aux utilisateurs et aux groupes afin de limiter l’accès

Une fois que vous avez configuré votre application de manière à activer une affectation d'utilisateurs, vous pouvez poursuivre et affecter l'application à des utilisateurs et à des groupes.

1. Sous Gérer, sélectionnez Utilisateurs et groupes, puis Ajouter un utilisateur/groupe.

2. Sélectionnez le sélecteur Utilisateurs.

   Une liste d’utilisateurs et de groupes de sécurité s’affiche, ainsi qu’une zone de texte pour rechercher et localiser un utilisateur ou un groupe spécifique. Cet écran vous permet de sélectionner plusieurs utilisateurs et groupes d’un coup.

3. Une fois que vous avez fini de sélectionner les utilisateurs et les groupes, cliquez sur Sélectionner.

4. (Facultatif) Si vous avez défini des rôles d'application dans votre application, vous pouvez utiliser l'option Sélectionner un rôle pour affecter le rôle d'application aux utilisateurs et groupes sélectionnés.

5. Sélectionnez Affecter pour finaliser l'affectation de l'application aux utilisateurs et groupes.

6. Vérifiez que les utilisateurs et les groupes ajoutés figurent dans la liste Utilisateurs et groupes mise à jour.

Limiter l’accès à une application (ressource) en affectant d’autres services (applications clientes)

Suivez les étapes de cette section pour sécuriser l’accès d’authentification d’application à application pour votre tenant.

1. Accédez aux journaux de connexion du principal du service dans votre tenant pour rechercher des services d’authentification permettant d’accéder aux ressources de votre tenant.
2. Vérifiez à l’aide de l’ID d’application s’il existe un principal de service pour les applications de ressources et les applications clientes dans votre tenant pour lequel vous souhaitez gérer l’accès.

   Get-MgServicePrincipal `
   -Filter "AppId eq '$appId'"
   

3. Créez un principal de service à l’aide de l’ID d’application, s’il n’existe pas :

   New-MgServicePrincipal `
   -AppId $appId
   

4. Affectez explicitement des applications clientes aux applications de ressources (cette fonctionnalité est disponible uniquement dans l’API et non dans le centre d’administration Microsoft Entra) :

   $clientAppId = “[guid]”
                  $clientId = (Get-MgServicePrincipal -Filter "AppId eq '$clientAppId'").Id
   New-MgServicePrincipalAppRoleAssignment `
   -ServicePrincipalId $clientId `
   -PrincipalId $clientId `
   -ResourceId (Get-MgServicePrincipal -Filter "AppId eq '$appId'").Id `
   -AppRoleId "00000000-0000-0000-0000-000000000000"
   

5. Exigez l’affectation pour l’application de ressource afin de restreindre l’accès uniquement aux utilisateurs ou services explicitement affectés.

   Update-MgServicePrincipal -ServicePrincipalId (Get-MgServicePrincipal -Filter "AppId eq '$appId'").Id -AppRoleAssignmentRequired:$true
   

   Notes

   Si vous souhaitez empêcher l’émission de jetons pour une application ou l’accès à une application par des utilisateurs ou des services de votre tenant, créez un principal de service pour l’application et désactivez la connexion utilisateur pour celle-ci.

Informations complémentaires

Pour plus d’informations sur les rôles et les groupes de sécurité, consultez :

• Procédure : Ajouter des rôles d’application dans votre application
• Utilisation de groupes de sécurité et de rôles d’Application dans vos applications (vidéo)
• Manifeste de l’application Microsoft Entra