Share via

Limitare l'app Microsoft Entra a un set di utenti in un tenant di Microsoft Entra

  • Articolo

Le applicazioni registrate in un tenant di Microsoft Entra sono, per impostazione predefinita, disponibili per tutti gli utenti del tenant che eseguono correttamente l'autenticazione.

Analogamente, in un'applicazione multi-tenant , tutti gli utenti nel tenant di Microsoft Entra in cui viene effettuato il provisioning dell'applicazione possono accedere all'applicazione dopo l'autenticazione nel rispettivo tenant.

Gli amministratori tenant e gli sviluppatori spesso hanno requisiti in cui un'applicazione deve essere limitata a un determinato set di utenti o app (servizi). Esistono due modi per limitare un'applicazione a un determinato set di utenti, app o gruppi di sicurezza:

Configurazioni di app supportate

L'opzione per limitare un'app a un set specifico di utenti, app o gruppi di sicurezza in un tenant funziona con i tipi di applicazioni seguenti:

  • Applicazioni configurate per l'accesso Single Sign-On federato con l'autenticazione basata su SAML.
  • Applicazioni proxy di applicazione che usano la preautenticazione di Microsoft Entra.
  • Le applicazioni basate direttamente sulla piattaforma dell'applicazione Microsoft Entra che usano l'autenticazione OAuth 2.0/OpenID Connessione dopo che un utente o un amministratore ha acconsentito a tale applicazione.

Aggiornare l'app per richiedere l'assegnazione dell'utente

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Per aggiornare un'applicazione per richiedere l'assegnazione dell'utente, è necessario essere proprietari dell'applicazione in App aziendali o essere almeno un'applicazione cloud Amministrazione istrator.

  1. Accedi all'Interfaccia di amministrazione di Microsoft Entra.
  2. Se si ha accesso a più tenant, usare il filtro Directory e sottoscrizioni nel menu in alto per passare al tenant contenente la registrazione dell'app dal menu Directory e sottoscrizioni.
  3. Passare a Applicazioni di identità>Applicazioni>aziendali e quindi selezionare Tutte le applicazioni.
  4. Selezionare l'applicazione da configurare per richiedere l'assegnazione. Usare i filtri nella parte superiore della finestra per cercare un'applicazione specifica.
  5. Nella pagina Panoramica dell'applicazione, in Gestisci, selezionare Proprietà.
  6. Individuare l'impostazione Assegnazione obbligatoria? e impostarla su . Quando questa opzione è impostata su , gli utenti e i servizi che tentano di accedere all'applicazione o ai servizi devono prima essere assegnati per questa applicazione oppure non potranno accedere o ottenere un token di accesso.
  7. Selezionare Salva nella barra superiore.

Quando un'applicazione richiede l'assegnazione, il consenso dell'utente per tale applicazione non è consentito. Questo vale anche se il consenso utente per tale app sarebbe stato altrimenti consentito. Assicurarsi di concedere il consenso amministratore a livello di tenant alle app che richiedono l'assegnazione.

Assegnare l'app a utenti e gruppi per limitare l'accesso

Dopo aver configurato l'app per abilitare l'assegnazione utente, è possibile procedere e assegnare l'app a utenti e gruppi.

  1. In Gestisci selezionare Utenti e gruppi e quindi selezionare Aggiungi utente/gruppo.

  2. Selezionare il selettore Utenti .

    Un elenco di utenti e gruppi di sicurezza viene visualizzato insieme a una casella di testo per cercare e individuare un determinato utente o gruppo. Questa schermata consente di selezionare contemporaneamente più utenti e gruppi.

  3. Dopo aver selezionato gli utenti e i gruppi, selezionare Seleziona.

  4. (Facoltativo) Se nell'applicazione sono stati definiti ruoli dell'app, è possibile usare l'opzione Seleziona ruolo per assegnare il ruolo dell'app agli utenti e ai gruppi selezionati.

  5. Selezionare Assegna per completare le assegnazioni dell'app agli utenti e ai gruppi.

  6. Verificare che gli utenti e i gruppi aggiunti siano presenti nell'elenco Utenti e gruppi aggiornato.

Limitare l'accesso a un'app (risorsa) assegnando altri servizi (app client)

Seguire i passaggi descritti in questa sezione per proteggere l'accesso all'autenticazione da app a app per il tenant.

  1. Passare ai log di accesso dell'entità servizio nel tenant per trovare i servizi che eseguono l'autenticazione per accedere alle risorse nel tenant.
  2. Controllare l'uso dell'ID app se esiste un'entità servizio per le app sia per le risorse che per le app client nel tenant a cui si vuole gestire l'accesso. 
    Get-MgServicePrincipal `
-Filter "AppId eq '$appId'"
  3. Creare un'entità servizio usando l'ID app, se non esiste: 
    New-MgServicePrincipal `
-AppId $appId
  4. Assegnare in modo esplicito le app client alle app per le risorse (questa funzionalità è disponibile solo nell'API e non nell'interfaccia di amministrazione di Microsoft Entra): 
    $clientAppId = “[guid]”
               $clientId = (Get-MgServicePrincipal -Filter "AppId eq '$clientAppId'").Id
New-MgServicePrincipalAppRoleAssignment `
-ServicePrincipalId $clientId `
-PrincipalId $clientId `
-ResourceId (Get-MgServicePrincipal -Filter "AppId eq '$appId'").Id `
-AppRoleId "00000000-0000-0000-0000-000000000000"
  5. Richiedere l'assegnazione per l'applicazione di risorse per limitare l'accesso solo agli utenti o ai servizi assegnati in modo esplicito. 
    Update-MgServicePrincipal -ServicePrincipalId (Get-MgServicePrincipal -Filter "AppId eq '$appId'").Id -AppRoleAssignmentRequired:$true

    Nota

    Se non si vuole che i token vengano rilasciati per un'applicazione o se si vuole impedire l'accesso a un'applicazione da parte di utenti o servizi nel tenant, creare un'entità servizio per l'applicazione e disabilitare l'accesso utente.

Altre informazioni

Per altre informazioni sui ruoli e i gruppi di sicurezza, vedere: