Delen via


Een Microsoft Entra-app beperken tot een set gebruikers

Toepassingen die zijn geregistreerd in een Microsoft Entra-tenant zijn standaard beschikbaar voor alle gebruikers van de tenant die zijn geverifieerd. Als u uw toepassing wilt beperken tot een set gebruikers, kunt u uw toepassing zo configureren dat gebruikerstoewijzing is vereist. Gebruikers en services die toegang proberen te krijgen tot de toepassing of services moeten worden toegewezen aan de toepassing, of ze kunnen zich niet aanmelden of een toegangstoken verkrijgen.

Op dezelfde manier hebben alle gebruikers in de Microsoft Entra-tenant in een toepassing met meerdere tenants , waar de toepassing is ingericht, toegang tot de toepassing zodra ze zich in hun respectieve tenant hebben geverifieerd.

Tenantbeheerders en ontwikkelaars hebben vaak vereisten waarbij een toepassing moet worden beperkt tot een bepaalde set gebruikers of apps (services). Er zijn twee manieren om een toepassing te beperken tot een bepaalde set gebruikers, apps of beveiligingsgroepen:

Vereisten

Ondersteunde app-configuraties

De optie om een app te beperken tot een specifieke set gebruikers, apps of beveiligingsgroepen in een tenant werkt met de volgende typen toepassingen:

  • Toepassingen die zijn geconfigureerd voor federatieve eenmalige aanmelding met verificatie op basis van SAML.
  • Toepassingsproxytoepassingen die vooraf verificatie van Microsoft Entra gebruiken.
  • Toepassingen die rechtstreeks zijn gebouwd op het Microsoft Entra-toepassingsplatform die gebruikmaken van OAuth 2.0/OpenID Connect-verificatie nadat een gebruiker of beheerder toestemming heeft gegeven voor die toepassing.

De app bijwerken om gebruikerstoewijzing te vereisen

Tip

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

Als u een toepassing wilt bijwerken om gebruikerstoewijzing te vereisen, moet u eigenaar zijn van de toepassing onder Enterprise-apps of ten minste een cloudtoepassingsbeheerder zijn.

  1. Meld u aan bij het Microsoft Entra-beheercentrum.
  2. Als u toegang hebt tot meerdere tenants, gebruikt u het filter Mappen en abonnementen in het bovenste menu om over te schakelen naar de tenant met de app-registratie vanuit het menu Mappen en abonnementen.
  3. Blader naar Bedrijfstoepassingen voor identiteitstoepassingen>> en selecteer vervolgens Alle toepassingen.
  4. Selecteer de toepassing die u wilt configureren om toewijzing te vereisen. Gebruik de filters boven aan het venster om te zoeken naar een specifieke toepassing.
  5. Selecteer Eigenschappen op de pagina Overzicht van de toepassing onder Beheren.
  6. Zoek de instelling Toewijzing die is vereist? en stel deze in op Ja.
  7. Selecteer Opslaan in de bovenste balk.

Wanneer een toepassing toewijzing vereist, is gebruikerstoestemming voor die toepassing niet toegestaan. Dit geldt zelfs als de toestemming van een gebruiker voor die app anders zou zijn toegestaan. Zorg ervoor dat u beheerderstoestemming voor de hele tenant verleent aan apps waarvoor toewijzing is vereist.

De app toewijzen aan gebruikers en groepen om de toegang te beperken

Zodra u uw app hebt geconfigureerd om gebruikerstoewijzing in te schakelen, kunt u de app toewijzen aan gebruikers en groepen.

  1. Selecteer onder Beheren de gebruikers en groepen en selecteer vervolgens Gebruiker/groep toevoegen.
  2. Selecteer Onder Gebruikers de optie Geen geselecteerd en het deelvenster Gebruikerskiezer wordt geopend, waar u meerdere gebruikers en groepen kunt selecteren.
  3. Wanneer u klaar bent met het toevoegen van de gebruikers en groepen, selecteert u Selecteren.
    1. (Optioneel) Als u app-rollen in uw toepassing hebt gedefinieerd, kunt u de optie Rol selecteren gebruiken om de app-rol toe te wijzen aan de geselecteerde gebruikers en groepen.
  4. Selecteer Toewijzen om de toewijzingen van de app aan de gebruikers en groepen te voltooien.
  5. Wanneer u terugkeert naar de pagina Gebruikers en groepen , worden de zojuist toegevoegde gebruikers en groepen weergegeven in de bijgewerkte lijst.

Toegang tot een app (resource) beperken door andere services (client-apps) toe te wijzen

Volg de stappen in deze sectie om toegang tot app-naar-app-verificatie voor uw tenant te beveiligen.

  1. Navigeer naar aanmeldingslogboeken van de service-principal in uw tenant om services te vinden die verifiëren voor toegang tot resources in uw tenant.

  2. Controleer het gebruik van de app-id als er een service-principal bestaat voor zowel resource- als client-apps in uw tenant die u toegang wilt beheren.

    Get-MgServicePrincipal `
    -Filter "AppId eq '$appId'"
    
  3. Maak een service-principal met behulp van de app-id als deze niet bestaat:

    New-MgServicePrincipal `
    -AppId $appId
    
  4. Client-apps expliciet toewijzen aan resource-apps (deze functionaliteit is alleen beschikbaar in API en niet in het Microsoft Entra-beheercentrum):

    $clientAppId = “[guid]”
                   $clientId = (Get-MgServicePrincipal -Filter "AppId eq '$clientAppId'").Id
    New-MgServicePrincipalAppRoleAssignment `
    -ServicePrincipalId $clientId `
    -PrincipalId $clientId `
    -ResourceId (Get-MgServicePrincipal -Filter "AppId eq '$appId'").Id `
    -AppRoleId "00000000-0000-0000-0000-000000000000"
    
  5. Toewijzing vereisen voor de resourcetoepassing om de toegang alleen te beperken tot de expliciet toegewezen gebruikers of services.

    Update-MgServicePrincipal -ServicePrincipalId (Get-MgServicePrincipal -Filter "AppId eq '$appId'").Id -AppRoleAssignmentRequired:$true
    

Notitie

Als u niet wilt dat tokens worden uitgegeven voor een toepassing of als u wilt blokkeren dat een toepassing wordt geopend door gebruikers of services in uw tenant, maakt u een service-principal voor de toepassing en schakelt u de aanmelding van gebruikers hiervoor uit.

Zie ook

Zie voor meer informatie over rollen en beveiligingsgroepen: