Restreindre une application Microsoft Entra à un ensemble d’utilisateurs

Les applications inscrites dans un locataire Microsoft Entra sont, par défaut, disponibles pour tous les utilisateurs du locataire qui parviennent à s’authentifier. Pour restreindre votre application à un ensemble d’utilisateurs, vous pouvez configurer votre application pour exiger l’affectation d’utilisateurs. Les utilisateurs et les services qui tentent d’accéder à l’application ou aux services doivent d’abord y être affectés pour pouvoir se connecter ou obtenir un jeton d’accès.

De même, dans une application multilocataire, tous les utilisateurs du locataire Microsoft Entra où cette application est approvisionnée peuvent accéder à l’application une fois qu’ils se sont authentifiés avec succès dans leur locataire respectif.

Les développeurs et les administrateurs de tenants ont souvent des exigences impliquant la limitation d’une application à un certain ensemble d’utilisateurs ou d’applications (services). Il existe deux façons de limiter une application à un certain ensemble d’utilisateurs, d’applications ou de groupes de sécurité :

• Les développeurs peuvent utiliser des modèles d’autorisation courants comme le contrôle d’accès en fonction du rôle Azure (RBAC Azure).
• Les développeurs et les administrateurs de locataire peuvent utiliser la fonctionnalité intégrée de Microsoft Entra ID.

Prérequis

• Un compte utilisateur Microsoft Entra. Si vous n’en avez pas déjà un, créez un compte gratuitement.
• Une application inscrite dans votre locataire Microsoft Entra
• Vous devez être le propriétaire de l’application ou être au moins Administrateur d’application cloud dans votre locataire.

Configurations d’application prises en charge

La possibilité de limiter une application à un ensemble spécifique d’utilisateurs, d’applications ou de groupes de sécurité dans un tenant est compatible avec les types d’applications suivants :

• applications configurées pour l’authentification unique fédérée avec l’authentification basée sur SAML ;
• Applications de proxy d’application qui utilisent la pré-authentification Microsoft Entra.
• Applications créées directement sur la plateforme d’application Microsoft Entra qui utilisent l’authentification OAuth 2.0/OpenID Connect après qu’un utilisateur ou administrateur a donné son consentement à l’application.

Mettre à jour l'application pour exiger une affectation d'utilisateurs

Conseil

Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail de départ.

Pour mettre à jour une application afin d’exiger une affectation d’utilisateurs, vous devez en être le propriétaire sous Applications d’entreprise ou être au minimum un Administrateur d’application cloud.

1. Connectez-vous au centre d’administration Microsoft Entra.
2. Si vous avez accès à plusieurs locataires, utilisez le filtreRépertoires + souscriptions dans le menu supérieur pour basculer vers le locataire contenant l'enregistrement de l'application à partir du menu Répertoires + souscriptions.
3. Accédez à Identité>Applications>Applications d’entreprise, puis sélectionnez Toutes les applications.
4. Sélectionnez l'application que vous souhaitez configurer pour exiger une affectation. Utilisez les filtres en haut de la fenêtre pour rechercher une application spécifique.
5. Dans la page Vue d’ensemble de l’application, sous Gérer, sélectionnez Propriétés.
6. Recherchez le paramètre Affectation requise ? et définissez-le sur Oui.
7. Sélectionnez Enregistrer dans la barre supérieure.

Lorsqu’une application exige une affectation, le consentement de l’utilisateur n’est pas autorisé pour cette application. Cela est vrai même si ce consentement aurait autrement été autorisé pour l’application en question. Veillez à accorder le consentement administrateur à l'échelle du locataire aux applications qui exigent une affectation.

Affecter l’application aux utilisateurs et aux groupes afin de limiter l’accès

Une fois que vous avez configuré votre application de manière à activer une affectation d'utilisateurs, vous pouvez poursuivre et affecter l'application à des utilisateurs et à des groupes.

1. Sous Gérer, sélectionnez Utilisateurs et groupes, puis Ajouter un utilisateur/groupe.
2. Sous Utilisateurs, sélectionnez Aucune sélection. Le volet sélecteur Utilisateurs s’ouvre et vous pouvez y sélectionner plusieurs utilisateurs et groupes.
3. Une fois que vous avez fini de sélectionner les utilisateurs et les groupes, cliquez sur Sélectionner.
   1. (Facultatif) Si vous avez défini des rôles d'application dans votre application, vous pouvez utiliser l'option Sélectionner un rôle pour affecter le rôle d'application aux utilisateurs et groupes sélectionnés.
4. Sélectionnez Affecter pour finaliser l'affectation de l'application aux utilisateurs et groupes.
5. Lorsque vous revenez sur la page Utilisateurs et groupes, les utilisateurs et groupes nouvellement ajoutés apparaissent dans la liste mise à jour.

Limiter l’accès à une application (ressource) en affectant d’autres services (applications clientes)

Suivez les étapes de cette section pour sécuriser l’accès d’authentification d’application à application pour votre tenant.

1. Accédez aux journaux de connexion du principal du service dans votre tenant pour rechercher des services d’authentification permettant d’accéder aux ressources de votre tenant.

2. Vérifiez à l’aide de l’ID d’application s’il existe un principal de service pour les applications de ressources et les applications clientes dans votre tenant pour lequel vous souhaitez gérer l’accès.

   Get-MgServicePrincipal `
   -Filter "AppId eq '$appId'"
   

3. Créez un principal de service à l’aide de l’ID d’application, s’il n’existe pas :

   New-MgServicePrincipal `
   -AppId $appId
   

4. Affectez explicitement des applications client aux applications de ressources (cette fonctionnalité est disponible uniquement dans l’API et non dans le centre d’administration Microsoft Entra) :

   $clientAppId = “[guid]”
                  $clientId = (Get-MgServicePrincipal -Filter "AppId eq '$clientAppId'").Id
   New-MgServicePrincipalAppRoleAssignment `
   -ServicePrincipalId $clientId `
   -PrincipalId $clientId `
   -ResourceId (Get-MgServicePrincipal -Filter "AppId eq '$appId'").Id `
   -AppRoleId "00000000-0000-0000-0000-000000000000"
   

5. Exigez l’affectation pour l’application de ressource afin de restreindre l’accès uniquement aux utilisateurs ou services explicitement affectés.

   Update-MgServicePrincipal -ServicePrincipalId (Get-MgServicePrincipal -Filter "AppId eq '$appId'").Id -AppRoleAssignmentRequired:$true
   

Notes

Si vous souhaitez empêcher l’émission de jetons pour une application ou l’accès à une application par des utilisateurs ou des services de votre tenant, créez un principal de service pour l’application et désactivez la connexion utilisateur pour celle-ci.

Voir aussi

Pour plus d’informations sur les rôles et les groupes de sécurité, consultez :

• Procédure : Ajouter des rôles d’application dans votre application
• Utilisation de groupes de sécurité et de rôles d’Application dans vos applications (vidéo)
• Manifeste de l’application Microsoft Entra