Membatasi aplikasi Microsoft Entra ke sekumpulan pengguna

Aplikasi yang terdaftar di penyewa Microsoft Entra adalah, secara default, tersedia untuk semua pengguna penyewa yang berhasil mengautentikasi. Untuk membatasi aplikasi Anda ke sekumpulan pengguna, Anda dapat mengonfigurasi aplikasi anda untuk mewajibkan penetapan pengguna. Pengguna dan layanan yang mencoba mengakses aplikasi atau layanan perlu ditetapkan ke aplikasi, atau mereka tidak akan dapat masuk atau mendapatkan token akses.

Demikian pula, dalam aplikasi multipenyewa , semua pengguna di penyewa Microsoft Entra tempat aplikasi disediakan dapat mengakses aplikasi setelah mereka berhasil mengautentikasi di penyewa masing-masing.

Administrator penyewa dan pengembang sering memiliki persyaratan di mana aplikasi harus dibatasi untuk sekumpulan pengguna atau aplikasi (layanan) tertentu. Ada dua cara untuk membatasi aplikasi ke sekumpulan pengguna, aplikasi, atau grup keamanan tertentu:

• Pengembang dapat menggunakan pola otorisasi populer seperti kontrol akses berbasis peran Azure (Azure RBAC).
• Administrator penyewa dan pengembang dapat menggunakan fitur bawaan ID Microsoft Entra.

Prasyarat

• Akun pengguna Microsoft Entra. Jika Anda belum memilikinya, buat akun secara gratis.
• Aplikasi yang terdaftar di penyewa Microsoft Entra Anda
• Anda harus menjadi pemilik aplikasi atau setidaknya menjadi Administrator Aplikasi Cloud di penyewa Anda.

Konfigurasi aplikasi yang didukung

Opsi untuk membatasi aplikasi ke sekumpulan pengguna, aplikasi, atau grup keamanan tertentu dalam penyewa berfungsi dengan jenis aplikasi berikut:

• Aplikasi yang dikonfigurasi untuk akses menyeluruh gabungan dengan autentikasi berbasis SAML.
• Aplikasi proksi aplikasi yang menggunakan praautortikasi Microsoft Entra.
• Aplikasi yang dibangun langsung di platform aplikasi Microsoft Entra yang menggunakan autentikasi OAuth 2.0/OpenID Connect setelah pengguna atau admin menyetujui aplikasi tersebut.

Perbarui aplikasi untuk meminta penugasan pengguna

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

Untuk memperbarui aplikasi agar memerlukan penetapan pengguna, Anda harus menjadi pemilik aplikasi di bawah aplikasi Enterprise, atau setidaknya menjadi Administrator Aplikasi Cloud.

1. Masuk ke Pusat Admin Microsoft Entra.
2. Jika Anda memiliki akses ke beberapa penyewa, gunakan filter Direktori + langganan di menu atas untuk beralih ke penyewa yang berisi pendaftaran aplikasi dari menu Direktori + langganan.
3. Telusuri aplikasi Identity>Applications>Enterprise, lalu pilih Semua aplikasi.
4. Pilih aplikasi yang ingin Anda konfigurasi untuk meminta penugasan. Gunakan filter di bagian atas jendela untuk mencari aplikasi tertentu.
5. Pada halaman Gambaran Umum aplikasi, di bawah Kelola, pilih Properti.
6. Temukan pengaturan Penugasan yang diperlukan? dan atur ke Ya.
7. Pilih Simpan di bilah atas.

Saat aplikasi memerlukan penugasan, persetujuan pengguna untuk aplikasi tersebut tidak diizinkan. Hal ini berlaku bahkan jika pengguna menyetujui aplikasi tersebut jika tidak diizinkan. Pastikan untuk memberikan izin admin seluruh penyewa untuk aplikasi yang memerlukan penugasan.

Menetapkan aplikasi ke pengguna dan grup untuk membatasi akses

Setelah mengonfigurasi aplikasi untuk mengaktifkan penugasan pengguna, Anda dapat melanjutkan dan menetapkan aplikasi ke pengguna dan grup.

1. Di bawah Kelola, pilih Pengguna dan grup lalu pilih Tambahkan pengguna/grup.
2. Di bawah Pengguna, pilih Tidak Ada yang Dipilih, dan panel Pemilih pengguna terbuka, di mana Anda bisa memilih beberapa pengguna dan grup.
3. Setelah selesai menambahkan pengguna dan grup, pilih Pilih.
   1. (Opsional) Jika Anda telah menetapkan peran aplikasi dalam aplikasi, Anda dapat menggunakan opsi Pilih peran untuk menetapkan peran aplikasi kepada pengguna dan grup yang dipilih.
4. Pilih Tetapkan untuk menyelesaikan penugasan aplikasi kepada pengguna dan grup.
5. Saat kembali ke halaman Pengguna dan grup , pengguna dan grup yang baru ditambahkan muncul di daftar yang diperbarui.

Membatasi akses ke aplikasi (sumber daya) dengan menetapkan layanan lain (aplikasi klien)

Ikuti langkah-langkah di bagian ini untuk mengamankan akses autentikasi aplikasi ke aplikasi untuk penyewa Anda.

1. Navigasi ke log masuk Perwakilan Layanan di penyewa Anda untuk menemukan layanan yang mengautentikasi untuk mengakses sumber daya di penyewa Anda.

2. Periksa menggunakan ID aplikasi jika Perwakilan Layanan ada untuk aplikasi sumber daya dan klien di penyewa yang ingin Anda kelola aksesnya.

   Get-MgServicePrincipal `
   -Filter "AppId eq '$appId'"
   

3. Buat Perwakilan Layanan menggunakan ID aplikasi, jika tidak ada:

   New-MgServicePrincipal `
   -AppId $appId
   

4. Secara eksplisit menetapkan aplikasi klien ke aplikasi sumber daya (fungsionalitas ini hanya tersedia di API dan bukan di pusat admin Microsoft Entra):

   $clientAppId = “[guid]”
                  $clientId = (Get-MgServicePrincipal -Filter "AppId eq '$clientAppId'").Id
   New-MgServicePrincipalAppRoleAssignment `
   -ServicePrincipalId $clientId `
   -PrincipalId $clientId `
   -ResourceId (Get-MgServicePrincipal -Filter "AppId eq '$appId'").Id `
   -AppRoleId "00000000-0000-0000-0000-000000000000"
   

5. Memerlukan penugasan untuk aplikasi sumber daya untuk membatasi akses hanya ke pengguna atau layanan yang ditetapkan secara eksplisit.

   Update-MgServicePrincipal -ServicePrincipalId (Get-MgServicePrincipal -Filter "AppId eq '$appId'").Id -AppRoleAssignmentRequired:$true
   

Catatan

Jika Anda tidak ingin token dikeluarkan untuk aplikasi atau jika Anda ingin memblokir aplikasi agar tidak diakses oleh pengguna atau layanan di penyewa Anda, buat perwakilan layanan untuk aplikasi dan nonaktifkan masuk pengguna untuk aplikasi tersebut.

Lihat juga

Untuk informasi selengkapnya tentang peran dan grup keamanan, lihat:

• Cara: Tambahkan peran aplikasi di aplikasi Anda
• Menggunakan Grup Keamanan dan Peran Aplikasi di aplikasi Anda (Video)
• Manifes aplikasi Microsoft Entra