Uw Microsoft Entra-app beperken tot een set gebruikers in een Microsoft Entra-tenant
Toepassingen die zijn geregistreerd in een Microsoft Entra-tenant zijn standaard beschikbaar voor alle gebruikers van de tenant die zijn geverifieerd.
Op dezelfde manier hebben alle gebruikers in de Microsoft Entra-tenant in een toepassing met meerdere tenants , waar de toepassing is ingericht, toegang tot de toepassing zodra ze zich in hun respectieve tenant hebben geverifieerd.
Tenantbeheerders en ontwikkelaars hebben vaak vereisten waarbij een toepassing moet worden beperkt tot een bepaalde set gebruikers of apps (services). Er zijn twee manieren om een toepassing te beperken tot een bepaalde set gebruikers, apps of beveiligingsgroepen:
- Ontwikkelaars kunnen populaire autorisatiepatronen gebruiken, zoals op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC).
- Tenantbeheerders en ontwikkelaars kunnen gebruikmaken van de ingebouwde functie van Microsoft Entra ID.
Ondersteunde app-configuraties
De optie om een app te beperken tot een specifieke set gebruikers, apps of beveiligingsgroepen in een tenant werkt met de volgende typen toepassingen:
- Toepassingen die zijn geconfigureerd voor federatieve eenmalige aanmelding met verificatie op basis van SAML.
- Toepassingsproxytoepassingen die vooraf verificatie van Microsoft Entra gebruiken.
- Toepassingen die rechtstreeks zijn gebouwd op het Microsoft Entra-toepassingsplatform die gebruikmaken van OAuth 2.0/OpenID Verbinding maken verificatie nadat een gebruiker of beheerder toestemming heeft gegeven voor die toepassing.
De app bijwerken om gebruikerstoewijzing te vereisen
Tip
Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.
Als u een toepassing wilt bijwerken om gebruikerstoewijzing te vereisen, moet u eigenaar zijn van de toepassing onder Enterprise-apps of ten minste een cloudtoepassing Beheer istrator zijn.
- Meld u aan bij het Microsoft Entra-beheercentrum.
- Als u toegang hebt tot meerdere tenants, gebruikt u het filter
Mappen en abonnementen in het bovenste menu om over te schakelen naar de tenant met de app-registratie vanuit het menu Mappen en abonnementen. - Blader naar Bedrijfstoepassingen voor identiteitstoepassingen>> en selecteer vervolgens Alle toepassingen.
- Selecteer de toepassing die u wilt configureren om toewijzing te vereisen. Gebruik de filters boven aan het venster om te zoeken naar een specifieke toepassing.
- Selecteer Eigenschappen op de pagina Overzicht van de toepassing onder Beheren.
- Zoek de instelling Toewijzing die is vereist? en stel deze in op Ja. Wanneer deze optie is ingesteld op Ja, moeten gebruikers en services die toegang proberen te krijgen tot de toepassing of services eerst worden toegewezen voor deze toepassing, of kunnen ze zich niet aanmelden of een toegangstoken verkrijgen.
- Selecteer Opslaan in de bovenste balk.
Wanneer een toepassing toewijzing vereist, is gebruikerstoestemming voor die toepassing niet toegestaan. Dit geldt zelfs als de toestemming van een gebruiker voor die app anders zou zijn toegestaan. Zorg ervoor dat u beheerderstoestemming voor de hele tenant verleent aan apps waarvoor toewijzing is vereist.
De app toewijzen aan gebruikers en groepen om de toegang te beperken
Zodra u uw app hebt geconfigureerd om gebruikerstoewijzing in te schakelen, kunt u de app toewijzen aan gebruikers en groepen.
Selecteer onder Beheren de gebruikers en groepen en selecteer vervolgens Gebruiker/groep toevoegen.
Selecteer de gebruikersselector .
Een lijst met gebruikers en beveiligingsgroepen wordt samen met een tekstvak weergegeven om een bepaalde gebruiker of groep te zoeken en te zoeken. Met dit scherm kunt u meerdere gebruikers en groepen tegelijk selecteren.
Wanneer u klaar bent met het selecteren van de gebruikers en groepen, selecteert u Selecteren.
(Optioneel) Als u app-rollen in uw toepassing hebt gedefinieerd, kunt u de optie Rol selecteren gebruiken om de app-rol toe te wijzen aan de geselecteerde gebruikers en groepen.
Selecteer Toewijzen om de toewijzingen van de app aan de gebruikers en groepen te voltooien.
Controleer of de gebruikers en groepen die u hebt toegevoegd, worden weergegeven in de bijgewerkte lijst Gebruikers en groepen .
Toegang tot een app (resource) beperken door andere services (client-apps) toe te wijzen
Volg de stappen in deze sectie om toegang tot app-naar-app-verificatie voor uw tenant te beveiligen.
- Navigeer naar aanmeldingslogboeken van de service-principal in uw tenant om services te vinden die verifiëren voor toegang tot resources in uw tenant.
- Controleer het gebruik van de app-id als er een service-principal bestaat voor zowel resource- als client-apps in uw tenant die u toegang wilt beheren.
Get-MgServicePrincipal ` -Filter "AppId eq '$appId'" - Maak een service-principal met behulp van de app-id als deze niet bestaat:
New-MgServicePrincipal ` -AppId $appId - Client-apps expliciet toewijzen aan resource-apps (deze functionaliteit is alleen beschikbaar in API en niet in het Microsoft Entra-beheercentrum):
$clientAppId = “[guid]” $clientId = (Get-MgServicePrincipal -Filter "AppId eq '$clientAppId'").Id New-MgServicePrincipalAppRoleAssignment ` -ServicePrincipalId $clientId ` -PrincipalId $clientId ` -ResourceId (Get-MgServicePrincipal -Filter "AppId eq '$appId'").Id ` -AppRoleId "00000000-0000-0000-0000-000000000000" - Toewijzing vereisen voor de resourcetoepassing om de toegang alleen te beperken tot de expliciet toegewezen gebruikers of services.
Update-MgServicePrincipal -ServicePrincipalId (Get-MgServicePrincipal -Filter "AppId eq '$appId'").Id -AppRoleAssignmentRequired:$trueNotitie
Als u niet wilt dat tokens worden uitgegeven voor een toepassing of als u wilt blokkeren dat een toepassing wordt geopend door gebruikers of services in uw tenant, maakt u een service-principal voor de toepassing en schakelt u de aanmelding van gebruikers hiervoor uit.
Meer informatie
Zie voor meer informatie over rollen en beveiligingsgroepen: