Microsoft Entra-alkalmazás korlátozása felhasználókra

A Microsoft Entra-bérlőben regisztrált alkalmazások alapértelmezés szerint a sikeres hitelesítést végző bérlő összes felhasználója számára elérhetők. Ha az alkalmazást felhasználók egy csoportjára szeretné korlátozni, konfigurálhatja az alkalmazást úgy, hogy felhasználói hozzárendelést igényeljen. Az alkalmazáshoz vagy szolgáltatásokhoz hozzáférni próbáló felhasználókat és szolgáltatásokat hozzá kell rendelni az alkalmazáshoz, vagy nem tudnak bejelentkezni vagy hozzáférési jogkivonatot beszerezni.

Hasonlóképpen, egy több-bérlős alkalmazásban a Microsoft Entra-bérlő azon felhasználói, ahol az alkalmazás ki van építve, hozzáférhetnek az alkalmazáshoz, miután sikeresen hitelesítést végeztek a megfelelő bérlőjükben.

A bérlői rendszergazdák és fejlesztők gyakran rendelkeznek olyan követelményekkel, amelyek esetén az alkalmazásokat bizonyos felhasználókra vagy alkalmazásokra (szolgáltatásokra) kell korlátozni. Az alkalmazásokat kétféleképpen korlátozhatja bizonyos felhasználókra, alkalmazásokra vagy biztonsági csoportokra:

• A fejlesztők olyan népszerű engedélyezési mintákat használhatnak, mint az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC).
• A bérlői rendszergazdák és fejlesztők használhatják a Microsoft Entra ID beépített funkcióját.

Előfeltételek

• Egy Microsoft Entra felhasználói fiók. Ha még nem rendelkezik ilyen fiókkal, hozzon létre ingyenes fiókot.
• Microsoft Entra-bérlőben regisztrált alkalmazás
• Az alkalmazás tulajdonosának kell lennie, vagy legalább felhőalkalmazás-rendszergazdának kell lennie a bérlőben.

Támogatott alkalmazáskonfigurációk

Az alkalmazások bérlői felhasználókra, alkalmazásokra vagy biztonsági csoportokra való korlátozásának lehetősége a következő típusú alkalmazásokkal működik:

• SamL-alapú hitelesítéssel összevont egyszeri bejelentkezéshez konfigurált alkalmazások.
• Microsoft Entra előhitelesítést használó alkalmazásproxy-alkalmazások.
• Közvetlenül az OAuth 2.0/OpenID Connect-hitelesítést használó Microsoft Entra alkalmazásplatformra épülő alkalmazások, miután egy felhasználó vagy rendszergazda hozzájárult az alkalmazáshoz.

Az alkalmazás frissítése felhasználói hozzárendelés megkövetelése érdekében

Ha frissíteni szeretne egy alkalmazást, hogy felhasználói hozzárendelést igényeljen, az alkalmazás tulajdonosának kell lennie a Nagyvállalati alkalmazások területen, vagy legalább felhőalkalmazás-rendszergazdának kell lennie.

1. Jelentkezzen be a Microsoft Entra felügyeleti központjába.
2. Ha több bérlőhöz van hozzáférése, a felső menü Címtárak + előfizetések szűrőjével váltson arra a bérlőre, amely tartalmazza az alkalmazásregisztrációt a Könyvtárak + előfizetések menüből.
3. Keresse meg az Entra ID>Enterprise-alkalmazásokat, majd válassza a Minden alkalmazás lehetőséget.
4. Válassza ki azt az alkalmazást, amelyet a hozzárendelés megköveteléséhez konfigurálni szeretne. Az ablak tetején található szűrőkkel kereshet egy adott alkalmazást.
5. Az alkalmazás Áttekintés lapján, a Kezelés területen válassza a Tulajdonságok lehetőséget.
6. Keresse meg a szükséges hozzárendelési beállítást? és állítsa igen értékre.
7. Válassza a felső sávon a Mentés opciót.

Ha egy alkalmazás hozzárendelést igényel, az alkalmazás felhasználói hozzájárulása nem engedélyezett. Ez akkor is így van, ha az alkalmazás felhasználói jóváhagyása egyébként megengedett. Mindenképpen adjon bérlőszintű rendszergazdai hozzájárulást a hozzárendelést igénylő alkalmazásokhoz.

Feljegyzés

Ha a felhasználó globális rendszergazda, a felhasználó-hozzárendelési követelmény nem alkalmazható. A globális rendszergazda egy kiemelt szerepkör, amely lehetővé teszi a Microsoft Entra ID összes felügyeleti funkciójának elérését, és emelheti a hozzáférésüket az összes Azure-előfizetés és felügyeleti csoport kezeléséhez.

Az alkalmazás hozzárendelése felhasználókhoz és csoportokhoz a hozzáférés korlátozásához

Miután konfigurálta az alkalmazást a felhasználói hozzárendelés engedélyezésére, továbbléphet, és hozzárendelheti az alkalmazást a felhasználókhoz és csoportokhoz.

1. A Kezelés csoportban válassza a Felhasználók és csoportok , majd a Felhasználó/csoport hozzáadása lehetőséget.
2. A Felhasználók területen válassza a Nincs kijelölve lehetőséget, és megnyílik a Felhasználók választópanel, ahol több felhasználót és csoportot is kijelölhet.
3. Miután befejezte a felhasználók és csoportok hozzáadását, válassza a Kiválasztás lehetőséget.
   1. (Nem kötelező) Ha alkalmazásszerepköröket definiált az alkalmazásban, a Szerepkör kiválasztása lehetőséggel hozzárendelheti az alkalmazásszerepkört a kiválasztott felhasználókhoz és csoportokhoz.
4. Válassza a Hozzárendelés lehetőséget az alkalmazás felhasználókhoz és csoportokhoz való hozzárendeléséhez.
5. A Felhasználók és csoportok lapra visszatérve az újonnan hozzáadott felhasználók és csoportok megjelennek a frissített listában.

Az alkalmazáshoz (erőforráshoz) való hozzáférés korlátozása más szolgáltatások (ügyfélalkalmazások) hozzárendelésével

Az ebben a szakaszban ismertetett lépéseket követve biztonságossá teheti a bérlő alkalmazásközi hitelesítéshez való hozzáférését.

1. Lépjen a bérlő szolgáltatásnév bejelentkezési naplóira, és keresse meg a bérlő erőforrásaihoz való hozzáféréshez hitelesítő szolgáltatásokat.

2. Ellenőrizze az alkalmazásazonosítót, hogy létezik-e szolgáltatásnév a bérlő azon erőforrás- és ügyfélalkalmazásai számára, amelyekhez a hozzáférést kezelni szeretné.

   Get-MgServicePrincipal `
   -Filter "AppId eq '$appId'"
   

3. Szolgáltatásnév létrehozása alkalmazásazonosítóval, ha az nem létezik:

   New-MgServicePrincipal `
   -AppId $appId
   

4. Ügyfélalkalmazások explicit hozzárendelése erőforrás-alkalmazásokhoz (ez a funkció csak az API-ban érhető el, a Microsoft Entra felügyeleti központban nem):

   $clientAppId = “[guid]”
                  $clientId = (Get-MgServicePrincipal -Filter "AppId eq '$clientAppId'").Id
   New-MgServicePrincipalAppRoleAssignment `
   -ServicePrincipalId $clientId `
   -PrincipalId $clientId `
   -ResourceId (Get-MgServicePrincipal -Filter "AppId eq '$appId'").Id `
   -AppRoleId "00000000-0000-0000-0000-000000000000"
   

5. Az erőforrásalkalmazás hozzárendelésének megkövetelése csak a kifejezetten hozzárendelt felhasználókhoz vagy szolgáltatásokhoz való hozzáférés korlátozásához.

   Update-MgServicePrincipal -ServicePrincipalId (Get-MgServicePrincipal -Filter "AppId eq '$appId'").Id -AppRoleAssignmentRequired:$true
   

Feljegyzés

Ha nem szeretné, hogy jogkivonatok legyenek kibocsátva egy alkalmazáshoz, vagy ha meg szeretné akadályozni, hogy a bérlő felhasználói vagy szolgáltatásai hozzáférjenek az alkalmazáshoz, hozzon létre egy szolgáltatási fő példányt az alkalmazáshoz, és tiltsa le a felhasználói bejelentkezést.

Lásd még

A szerepkörökről és a biztonsági csoportokról a következő témakörben talál további információt:

• Útmutató: Alkalmazásszerepkörök hozzáadása az alkalmazásban
• Biztonsági csoportok és alkalmazásszerepkörök használata az alkalmazásokban (videó)
• Microsoft Entra alkalmazásjegyzék