Megosztás a következőn keresztül:

Felhasználók és csoportok alkalmazáshoz való hozzárendelésének kezelése

Ez a cikk bemutatja, hogyan rendelhet felhasználókat és csoportokat egy vállalati alkalmazáshoz a Microsoft Entra ID-ban. Amikor felhasználót rendel egy alkalmazáshoz, az alkalmazás megjelenik a felhasználó Saját alkalmazások portálján a könnyű hozzáférés érdekében. Ha az alkalmazás alkalmazásszerepköröket tesz elérhetővé, egy adott alkalmazásszerepkört is hozzárendelhet a felhasználóhoz.

Amikor csoportokat rendel egy alkalmazáshoz, csak a csoport felhasználói rendelkeznek hozzáféréssel. A hozzárendelés nem öröklődik a beágyazott csoportokra.

A csoportalapú hozzárendeléshez a Microsoft Entra ID P1 vagy P2 kiadás szükséges. A beágyazott csoporttagságokat jelenleg nem támogatják. A cikkben tárgyalt funkciókra vonatkozó további licencelési követelményekért tekintse meg a Microsoft Entra díjszabási oldalát.

A nagyobb szabályozás érdekében a vállalati alkalmazások bizonyos típusai konfigurálhatók úgy, hogy felhasználói hozzárendelést igényeljenek. Az alkalmazásokhoz való felhasználói hozzárendelés megköveteléséről további információt az alkalmazáshoz való hozzáférés kezelése című témakörben talál. Azoknak az alkalmazásoknak, amelyekhez felhasználókat kell hozzárendelni az alkalmazáshoz, rendszergazdai engedélyekkel kell rendelkezniük, még akkor is, ha a címtár felhasználói hozzájárulási szabályzatai egyébként lehetővé tennék, hogy a felhasználó saját nevében hozzájáruljon.

Megjegyzés

Ha korlátozásokkal kezeli a csoportokat a portálon keresztül, például az alkalmazáshozzáférési szabályzatcsoportokkal, fontolja meg az olyan alternatív módszerek használatát, mint a PowerShell vagy a Microsoft Graph API.

Előfeltételek

Ha felhasználókat szeretne hozzárendelni egy vállalati alkalmazáshoz, a következőkre van szüksége:

  • Aktív előfizetéssel rendelkező Microsoft Entra-fiók. Ha még nem rendelkezik ilyen fiókkal, ingyenesen létrehozhat egy fiókot.
  • Az alábbi szerepkörök egyike:
    • Felhőalkalmazás-rendszergazda
    • Alkalmazásadminisztrátor
    • Felhasználói rendszergazda
    • A szolgáltatási szerepkör tulajdonosa.
  • Microsoft Entra ID P1 vagy P2 a csoportos hozzárendeléshez. A cikkben tárgyalt funkciókra vonatkozó további licencelési követelményekért tekintse meg a Microsoft Entra díjszabási oldalát.

Felhasználók és csoportok hozzárendelése egy alkalmazáshoz a Microsoft Entra felügyeleti központ használatával

Felhasználói vagy csoportfiók hozzárendelése vállalati alkalmazáshoz:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazás-rendszergazdaként.

  2. Böngésszen el az Entra ID>Enterprise alkalmazások>Összes alkalmazás menübe.

  3. Írja be a meglévő alkalmazás nevét a keresőmezőbe, majd válassza ki az alkalmazást a keresési eredmények közül.

  4. Válassza a Felhasználók és csoportok lehetőséget, majd válassza a Felhasználó/csoport hozzáadása lehetőséget.

    Felhasználói fiók hozzárendelése egy alkalmazáshoz a Microsoft Entra-bérlőben.

  5. A Hozzárendelés hozzáadása panelen válassza a Nincs kijelölve lehetőséget a Felhasználók és csoportok csoportban.

  6. Keresse meg és jelölje ki az alkalmazáshoz hozzárendelni kívánt felhasználót vagy csoportot. Például, contosouser1@contoso.com vagy contosoteam1@contoso.com.

  7. Válassza a Kiválasztás lehetőséget.

  8. A Szerepkör kiválasztása csoportban válassza ki a felhasználóhoz vagy csoporthoz hozzárendelni kívánt szerepkört. Ha még nem adott meg szerepköröket, az alapértelmezett szerepkör az Alapértelmezett hozzáférés.

  9. A Hozzárendelés hozzáadása panelen válassza a Hozzárendelés lehetőséget a felhasználó vagy csoport alkalmazáshoz való hozzárendeléséhez.

Felhasználók és csoportok hozzárendelésének megszüntetése egy alkalmazásból

  1. A Felhasználók és csoportok hozzárendelése panelre való navigáláshoz kövesse a Felhasználók és csoportok hozzárendelése szakasz lépéseit.
  2. Keresse meg és jelölje ki azt a felhasználót vagy csoportot, amelyet ki szeretne jelölni az alkalmazásból.
  3. Az Eltávolítás gombra kattintva leválaszthatja a felhasználót vagy csoportot az alkalmazásból.

Felhasználók és csoportok hozzárendelése egy alkalmazáshoz a Microsoft Entra PowerShell használatával

  1. Jelentkezzen be legalább felhőalkalmazás-rendszergazdaként.

  2. A következő szkripttel rendelhet hozzá egy felhasználót egy alkalmazáshoz:

    connect-entra -scopes "Application.ReadWrite.All", "AppRoleAssignment.ReadWrite.All"
# Assign the values to the variables
$username = "<Your user's UPN>"
$app_name = "<Your App's display name>"
$app_role_name = "<App role display name>"

# Get the user to assign, and the service principal for the app to assign to
$user = Get-EntraUser -ObjectId "$username"
$sp = Get-EntraServicePrincipal -Filter "displayName eq '$app_name'"
$appRole = $sp.AppRoles | Where-Object { $_.DisplayName -eq $app_role_name }

# Assign the user to the app role
New-EntraUserAppRoleAssignment -ObjectId $user.ObjectId -PrincipalId $user.ObjectId -ResourceId $sp.ObjectId -Id $appRole.Id

Példa

A példa szerint a PowerShell használatával Britta Simon felhasználót rendeljük a Microsoft Workplace Analytics alkalmazáshoz.

  1. A PowerShellben rendelje hozzá a megfelelő értékeket a változókhoz $username, $app_nameés $app_role_name.

    connect-entra -scopes "Application.ReadWrite.All", "AppRoleAssignment.ReadWrite.All"
$username = "britta.simon@contoso.com"
$app_name = "Workplace Analytics"

  2. Ebben a példában nem tudjuk, mi a britta Simonhoz hozzárendelni kívánt alkalmazásszerepkör pontos neve. Futtassa az alábbi parancsokat a felhasználó ($user) és a szolgáltatás főfelhasználó ($sp) lekéréséhez a felhasználó UPN-jének és a szolgáltatás főfelhasználó megjelenítendő neveinek felhasználásával.

    $user = Get-EntraUser -ObjectId "$username"
$sp = Get-EntraServicePrincipal -Filter "displayName eq '$app_name'"

  3. Futtassa a következő parancsot a szolgáltatási főnév által közzétett alkalmazásszerepkörök megkereséséhez.

    $appRoles = $sp.AppRoles
# Display the app roles
$appRoles | ForEach-Object {
    Write-Output "AppRole: $($_.DisplayName) - ID: $($_.Id)"
}

    Megjegyzés

    Az alapértelmezett AppRole-azonosító a következő 00000000-0000-0000-0000-000000000000. Ez a szerepkör akkor van hozzárendelve, ha nincs meghatározott AppRole definiálva egy szolgáltatási princípiumhoz.

  4. Rendelje hozzá az AppRole nevet a $app_role_name változóhoz. Ebben a példában Britta Simon elemzői (korlátozott hozzáférésű) szerepkört szeretnénk hozzárendelni.

    $app_role_name = "Analyst (Limited access)"
$appRole = $sp.AppRoles | Where-Object { $_.DisplayName -eq $app_role_name }

  5. Futtassa a következő parancsot a felhasználó alkalmazásszerepkörhöz való hozzárendeléséhez.

    New-EntraUserAppRoleAssignment -ObjectId $user.ObjectId -PrincipalId $user.ObjectId -ResourceId $sp.ObjectId -Id $appRole.Id

Ha csoportokat szeretne hozzárendelni egy vállalati alkalmazáshoz, cserélje le Get-EntraUser és Get-EntraGroup cserélje le New-EntraUserAppRoleAssignment a New-EntraGroupAppRoleAssignmenthelyére.

A csoportok alkalmazásszerepkörhöz való hozzárendeléséről a New-EntraGroupAppRoleAssignment dokumentációjában talál további információt.

Felhasználók és csoportok hozzárendelésének megszüntetése egy alkalmazásból a Microsoft Entra PowerShell használatával

  1. Nyisson meg egy emelt szintű Windows PowerShell-parancssort.

  2. Jelentkezzen be legalább felhőalkalmazás-rendszergazdaként.

  3. Az alábbi szkripttel eltávolíthat egy felhasználót és szerepkört egy alkalmazásból.

    connect-entra -scopes "Application.ReadWrite.All", "AppRoleAssignment.ReadWrite.All"
# Store the proper parameters
$user = Get-Entrauser -ObjectId "<objectId>"
$spo = Get-EntraServicePrincipal -ObjectId "<objectId>"

#Get the ID of role assignment 
$assignments = Get-EntraServicePrincipalAppRoleAssignedTo -ObjectId $spo.ObjectId | Where {$_.PrincipalDisplayName -eq $user.DisplayName}

#if you run the following, it will show you what is assigned what
$assignments | Select *

#To remove the App role assignment run the following command.
Remove-EntraServicePrincipalAppRoleAssignment -ObjectId $spo.ObjectId -AppRoleAssignmentId $assignments.ObjectId

Az alkalmazáshoz rendelt összes felhasználó eltávolítása a Microsoft Entra PowerShell használatával

  1. Nyisson meg egy emelt szintű Windows PowerShell-parancssort.

Az alábbi szkripttel eltávolíthatja az alkalmazáshoz rendelt összes felhasználót és csoportot.

connect-entra -scopes "Application.ReadWrite.All", "AppRoleAssignment.ReadWrite.All"
#Retrieve the service principal object ID.
$app_name = "<Your App's display name>"
$sp = Get-EntraServicePrincipal -Filter "displayName eq '$app_name'"

# Get Microsoft Entra App role assignments using objectId of the Service Principal
$assignments = Get-EntraServicePrincipalAppRoleAssignedTo -ObjectId $sp.ObjectId -All

# Remove all users and groups assigned to the application
$assignments | ForEach-Object {
    if ($_.PrincipalType -eq "User") {
        Remove-EntraUserAppRoleAssignment -ObjectId $_.PrincipalId -AppRoleAssignmentId $_.ObjectId
    } elseif ($_.PrincipalType -eq "Group") {
        Remove-EntraGroupAppRoleAssignment -ObjectId $_.PrincipalId -AppRoleAssignmentId $_.ObjectId
    }
}

Felhasználók és csoportok hozzárendelése egy alkalmazáshoz a Microsoft Graph PowerShell használatával

  1. Nyisson meg egy emelt szintű Windows PowerShell-parancssort.

  2. Futtassa Connect-MgGraph -Scopes "Application.ReadWrite.All", "AppRoleAssignment.ReadWrite.All" és jelentkezzen be legalább felhőalkalmazás-rendszergazdaként.

  3. A következő szkripttel rendelhet hozzá egy felhasználót egy alkalmazáshoz:

    #Assign the values to the variables
$userId = "<Your user's ID>"
$app_name = "<Your App's display name>"
$app_role_name = "<App role display name>"
$sp = Get-MgServicePrincipal -Filter "displayName eq '$app_name'"

#Get the user, the service principal and appRole.
$params = @{
"PrincipalId" =$userId
"ResourceId" =$sp.Id
"AppRoleId" =($sp.AppRoles | Where-Object { $_.DisplayName -eq $app_role_name }).Id
}
#Assign the user to the AppRole
New-MgUserAppRoleAssignment -UserId $userId -BodyParameter $params |
    Format-List Id, AppRoleId, CreationTime, PrincipalDisplayName,
    PrincipalId, PrincipalType, ResourceDisplayName, ResourceId

Példa

Ez a példa Britta Simon felhasználót rendel a Microsoft Workplace Analytics-alkalmazáshoz a Microsoft Graph PowerShell használatával.

  1. A PowerShellben rendelje hozzá a megfelelő értékeket a változókhoz $userId, $app_nameés $app_role_name.

    # Assign the values to the variables  
$userId = "<Britta Simon's user ID>"  
$app_name = "Workplace Analytics"

  2. Ebben a példában nem tudjuk a Britta Simonhoz hozzárendelni kívánt alkalmazásszerepkör pontos nevét. Futtassa a következő parancsot a szolgáltatás főszereplője ($sp) lekéréséhez a megjelenített név megadásával.

    # Get the service principal for the app  
$sp = Get-MgServicePrincipal -Filter "displayName eq '$app_name'"

  3. Futtassa a következő parancsot a szolgáltatási főazonosító által biztosított alkalmazásszerepkörök megkereséséhez.

    # Get the app roles exposed by the service principal  
$appRoles = $sp.AppRoles  
# Display the app roles  
$appRoles | ForEach-Object {  
    Write-Output "AppRole: $($_.DisplayName) - ID: $($_.Id)"  
}

    Megjegyzés

    Az alapértelmezett AppRole-azonosító a következő 00000000-0000-0000-0000-000000000000. Ez a szerepkör akkor van hozzárendelve, ha nincs meghatározott AppRole definiálva egy szolgáltatási princípiumhoz.

  4. Rendelje hozzá a szerepkör nevét a $app_role_name változóhoz. Ebben a példában Britta Simon elemzői (korlátozott hozzáférésű) szerepkört szeretnénk hozzárendelni.

    # Assign the values to the variables  
$app_role_name = "Analyst (Limited access)"  
$appRoleId = ($sp.AppRoles | Where-Object { $_.DisplayName -eq $app_role_name }).Id

  5. Készítse elő a paramétereket, és futtassa a következő parancsot a felhasználó alkalmazásszerepkörhöz való hozzárendeléséhez.

    # Prepare parameters for the role assignment  
$params = @{  
    "PrincipalId" = $userId  
    "ResourceId" = $sp.Id  
    "AppRoleId" = $appRoleId  
}  

# Assign the user to the app role  
New-MgUserAppRoleAssignment -UserId $userId -BodyParameter $params |   
    Format-List Id, AppRoleId, CreationTime, PrincipalDisplayName,   
    PrincipalId, PrincipalType, ResourceDisplayName, ResourceId

Ha csoportokat szeretne hozzárendelni egy vállalati alkalmazáshoz, cserélje le Get-MgUser és Get-MgGroup cserélje le New-MgUserAppRoleAssignment a New-MgGroupAppRoleAssignmenthelyére.

A csoportok alkalmazásszerepkörhöz való hozzárendeléséről további információt a New-MgGroupAppRoleAssignment dokumentációjában talál.

Felhasználók és csoportok hozzárendelésének megszüntetése egy alkalmazásból a Microsoft Graph PowerShell használatával

  1. Nyisson meg egy emelt szintű Windows PowerShell-parancssort.

  2. Futtassa Connect-MgGraph -Scopes "Application.ReadWrite.All", "AppRoleAssignment.ReadWrite.All" és jelentkezzen be legalább felhőalkalmazás-rendszergazdaként.

  3. A felhasználó és a szolgáltatás-azonosító lekérése

    $user = Get-MgUser -UserId <userid>
$sp = Get-MgServicePrincipal -ServicePrincipalId <ServicePrincipalId>

  4. A szerepkör-hozzárendelés azonosítójának lekérése

    $assignments = Get-MgServicePrincipalAppRoleAssignedTo -ServicePrincipalId $sp.Id | Where {$_.PrincipalDisplayName -eq $user.DisplayName}

  5. Futtassa a következő parancsot az alkalmazáshoz rendelt felhasználók listájának megjelenítéséhez

    $assignments | Select *

  6. Futtassa a következő parancsot az AppRole-hozzárendelés eltávolításához.

    Remove-MgServicePrincipalAppRoleAssignedTo -AppRoleAssignmentId  '<AppRoleAssignment-id>' -ServicePrincipalId $sp.Id

Az alkalmazáshoz rendelt összes felhasználó és csoport eltávolítása a Microsoft Graph PowerShell használatával

Futtassa a következő parancsot az alkalmazáshoz rendelt összes felhasználó és csoport eltávolításához.

$assignments | ForEach-Object {
    if ($_.PrincipalType -in ("user", "Group")) {
        Remove-MgServicePrincipalAppRoleAssignedTo -ServicePrincipalId $sp.Id -AppRoleAssignmentId $_.Id  }
}

Felhasználók és csoportok hozzárendelése egy alkalmazáshoz a Microsoft Graph API használatával

  1. Ha felhasználókat és csoportokat szeretne hozzárendelni egy alkalmazáshoz, jelentkezzen be a Graph Explorerbe legalább felhőalkalmazás-rendszergazdaként.

    A következő engedélyekhez kell hozzájárulnia:

    Application.ReadWrite.All és AppRoleAssignment.ReadWrite.All.

    Az alkalmazásszerepkör-hozzárendelés megadásához három azonosítóra van szükség:

    • principalId: Annak a felhasználónak vagy csoportnak az azonosítója, amelyhez hozzárendeli az alkalmazásszerepkört.
    • resourceId: Az alkalmazásszerepkört meghatározó resource servicePrincipal azonosítója.
    • appRoleId: Az appRole (az erőforrás szolgáltatásnév szerinti) azonosítója, amelyet egy felhasználóhoz vagy csoporthoz rendelünk hozzá.

  2. Szerezze be a vállalati alkalmazást. Szűrés a következő szerint: DisplayName.

    GET https://graph.microsoft.com/v1.0/servicePrincipals?$filter=displayName eq '{appDisplayName}'

    Jegyezze fel a következő értékeket a válasz törzséből:

    • A vállalati alkalmazás objektumazonosítója
    • A felhasználóhoz hozzárendelt AppRole-azonosító. Ha az alkalmazás nem tesz közzé szerepköröket, a felhasználóhoz az alapértelmezett hozzáférési szerepkör lesz hozzárendelve.

    Megjegyzés

    Az alapértelmezett AppRole-azonosító a következő 00000000-0000-0000-0000-000000000000. Ez a szerepkör akkor van hozzárendelve, ha nincs meghatározott AppRole definiálva egy szolgáltatási princípiumhoz.

  3. Kérje le a felhasználót a felhasználó fő neve szerinti szűréssel. Rögzítse a felhasználó objektumazonosítóját.

    GET https://graph.microsoft.com/v1.0/users/{userPrincipalName}

  4. Rendelje hozzá a felhasználót az alkalmazáshoz.

    POST https://graph.microsoft.com/v1.0/servicePrincipals/{resource-servicePrincipal-id}/appRoleAssignedTo

{
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"resourceId": "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1",
"appRoleId": "00000000-0000-0000-0000-000000000000"
}

    Például mind a resource-servicePrincipal-id és a resourceId a vállalati alkalmazást képviselik.

Felhasználók és csoportok hozzárendelésének megszüntetése egy alkalmazásból a Microsoft Graph API használatával

Az alkalmazás összes felhasználójának és csoportjának hozzárendelésének megszüntetéséhez futtassa az alábbi lekérdezést.

  1. Szerezze be a vállalati alkalmazást. Szűrés a következő szerint: displayName.

    GET https://graph.microsoft.com/v1.0/servicePrincipals?$filter=displayName eq '{appDisplayName}'

  2. Kérje le az alkalmazás appRoleAssignments listáját.

    GET https://graph.microsoft.com/v1.0/servicePrincipals/{id}/appRoleAssignedTo

  3. Távolítsa el a appRoleAssignments-t a appRoleAssignment azonosító megadásával.

    DELETE https://graph.microsoft.com/v1.0/servicePrincipals/{resource-servicePrincipal-id}/appRoleAssignedTo/{appRoleAssignment-id}

A Microsoft Graph Explorer közvetlenül nem támogatja az alkalmazásszerepkör-hozzárendelések kötegelt törlését. Minden hozzárendelést külön-külön kell törölnie. Ezt a folyamatot azonban automatizálhatja a Microsoft Graph PowerShell használatával az egyes hozzárendelések iterálásához és eltávolításához

Kapcsolódó tartalom