Membatasi aplikasi Microsoft Entra Anda ke sekumpulan pengguna di penyewa Microsoft Entra

Aplikasi yang terdaftar di penyewa Microsoft Entra adalah, secara default, tersedia untuk semua pengguna penyewa yang berhasil mengautentikasi.

Demikian pula, dalam aplikasi multi-penyewa , semua pengguna di penyewa Microsoft Entra tempat aplikasi disediakan dapat mengakses aplikasi setelah mereka berhasil mengautentikasi di penyewa masing-masing.

Administrator penyewa dan pengembang sering memiliki persyaratan di mana aplikasi harus dibatasi untuk sekumpulan pengguna atau aplikasi (layanan) tertentu. Ada dua cara untuk membatasi aplikasi ke sekumpulan pengguna, aplikasi, atau grup keamanan tertentu:

• Pengembang dapat menggunakan pola otorisasi populer seperti kontrol akses berbasis peran Azure (Azure RBAC).
• Administrator penyewa dan pengembang dapat menggunakan fitur bawaan ID Microsoft Entra.

Konfigurasi aplikasi yang didukung

Opsi untuk membatasi aplikasi ke sekumpulan pengguna, aplikasi, atau grup keamanan tertentu dalam penyewa berfungsi dengan jenis aplikasi berikut:

• Aplikasi yang dikonfigurasi untuk akses menyeluruh gabungan dengan autentikasi berbasis SAML.
• Aplikasi proksi aplikasi yang menggunakan praautortikasi Microsoft Entra.
• Aplikasi yang dibangun langsung di platform aplikasi Microsoft Entra yang menggunakan autentikasi Koneksi OAuth 2.0/OpenID setelah pengguna atau admin menyetujui aplikasi tersebut.

Perbarui aplikasi untuk meminta penugasan pengguna

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

Untuk memperbarui aplikasi agar memerlukan penetapan pengguna, Anda harus menjadi pemilik aplikasi di bawah aplikasi Enterprise, atau setidaknya menjadi Administrator Aplikasi Cloud.

1. Masuk ke Pusat Admin Microsoft Entra.
2. Jika Anda memiliki akses ke beberapa penyewa, gunakan filter Direktori + langganan di menu atas untuk beralih ke penyewa yang berisi pendaftaran aplikasi dari menu Direktori + langganan.
3. Telusuri aplikasi Identity>Applications>Enterprise, lalu pilih Semua aplikasi.
4. Pilih aplikasi yang ingin Anda konfigurasi untuk meminta penugasan. Gunakan filter di bagian atas jendela untuk mencari aplikasi tertentu.
5. Pada halaman Gambaran Umum aplikasi, di bawah Kelola, pilih Properti.
6. Temukan pengaturan Penugasan yang diperlukan? dan atur ke Ya. Bila opsi ini diatur ke Ya, pengguna dan layanan yang mencoba mengakses aplikasi atau layanan harus ditetapkan terlebih dahulu untuk aplikasi ini, atau mereka tidak akan dapat masuk atau mendapatkan token akses.
7. Pilih Simpan di bilah atas.

Saat aplikasi memerlukan penugasan, persetujuan pengguna untuk aplikasi tersebut tidak diizinkan. Hal ini berlaku bahkan jika pengguna menyetujui aplikasi tersebut jika tidak diizinkan. Pastikan untuk memberikan izin admin seluruh penyewa untuk aplikasi yang memerlukan penugasan.

Menetapkan aplikasi ke pengguna dan grup untuk membatasi akses

Setelah mengonfigurasi aplikasi untuk mengaktifkan penugasan pengguna, Anda dapat melanjutkan dan menetapkan aplikasi ke pengguna dan grup.

1. Di bawah Kelola, pilih Pengguna dan grup lalu pilih Tambahkan pengguna/grup.

2. Pilih pemilih Pengguna.

   Daftar pengguna dan grup keamanan ditampilkan bersama dengan kotak teks untuk mencari dan menemukan pengguna atau grup tertentu. Layar ini memungkinkan Anda untuk memilih beberapa pengguna dan grup dalam sekali jalan.

3. Setelah Anda selesai memilih pengguna dan grup, pilihlah Pilih.

4. (Opsional) Jika Anda telah menetapkan peran aplikasi dalam aplikasi, Anda dapat menggunakan opsi Pilih peran untuk menetapkan peran aplikasi kepada pengguna dan grup yang dipilih.

5. Pilih Tetapkan untuk menyelesaikan penugasan aplikasi kepada pengguna dan grup.

6. Konfirmasi bahwa pengguna dan grup yang Anda tambahkan muncul di daftar Pengguna dan grup yang diperbarui.

Membatasi akses ke aplikasi (sumber daya) dengan menetapkan layanan lain (aplikasi klien)

Ikuti langkah-langkah di bagian ini untuk mengamankan akses autentikasi aplikasi ke aplikasi untuk penyewa Anda.

1. Navigasi ke log masuk Perwakilan Layanan di penyewa Anda untuk menemukan layanan yang mengautentikasi untuk mengakses sumber daya di penyewa Anda.
2. Periksa menggunakan ID aplikasi jika Perwakilan Layanan ada untuk aplikasi sumber daya dan klien di penyewa yang ingin Anda kelola aksesnya.

   Get-MgServicePrincipal `
   -Filter "AppId eq '$appId'"
   

3. Buat Perwakilan Layanan menggunakan ID aplikasi, jika tidak ada:

   New-MgServicePrincipal `
   -AppId $appId
   

4. Secara eksplisit menetapkan aplikasi klien ke aplikasi sumber daya (fungsionalitas ini hanya tersedia di API dan bukan di pusat admin Microsoft Entra):

   $clientAppId = “[guid]”
                  $clientId = (Get-MgServicePrincipal -Filter "AppId eq '$clientAppId'").Id
   New-MgServicePrincipalAppRoleAssignment `
   -ServicePrincipalId $clientId `
   -PrincipalId $clientId `
   -ResourceId (Get-MgServicePrincipal -Filter "AppId eq '$appId'").Id `
   -AppRoleId "00000000-0000-0000-0000-000000000000"
   

5. Memerlukan penugasan untuk aplikasi sumber daya untuk membatasi akses hanya ke pengguna atau layanan yang ditetapkan secara eksplisit.

   Update-MgServicePrincipal -ServicePrincipalId (Get-MgServicePrincipal -Filter "AppId eq '$appId'").Id -AppRoleAssignmentRequired:$true
   

   Catatan

   Jika Anda tidak ingin token dikeluarkan untuk aplikasi atau jika Anda ingin memblokir aplikasi agar tidak diakses oleh pengguna atau layanan di penyewa Anda, buat perwakilan layanan untuk aplikasi dan nonaktifkan masuk pengguna untuk aplikasi tersebut.

Informasi selengkapnya

Untuk informasi selengkapnya tentang peran dan grup keamanan, lihat:

• Cara: Tambahkan peran aplikasi di aplikasi Anda
• Menggunakan Grup Keamanan dan Peran Aplikasi di aplikasi Anda (Video)
• Manifes aplikasi Microsoft Entra