Ogranicz usługę Microsoft Entra do zestawu użytkowników w mojej dzierżawie usługi Microsoft Entra ID
Aplikacje zarejestrowane w dzierżawie usługi Microsoft Entra są domyślnie dostępne dla wszystkich użytkowników dzierżawy, którzy pomyślnie się uwierzytelniają.
Podobnie w aplikacji wielodostępnej wszyscy użytkownicy w dzierżawie firmy Microsoft Entra, w której aplikacja jest aprowizowana, mogą uzyskiwać dostęp do aplikacji po pomyślnym uwierzytelnieniu w odpowiedniej dzierżawie.
Administratorzy dzierżawy i deweloperzy często mają wymagania, w których aplikacja musi być ograniczona do określonego zestawu użytkowników lub aplikacji (usług). Istnieją dwa sposoby ograniczenia aplikacji do określonego zestawu użytkowników, aplikacji lub grup zabezpieczeń:
- Deweloperzy mogą używać popularnych wzorców autoryzacji, takich jak kontrola dostępu oparta na rolach (RBAC) platformy Azure.
- Administratorzy dzierżawy i deweloperzy mogą używać wbudowanej funkcji identyfikatora Entra firmy Microsoft.
Obsługiwane konfiguracje aplikacji
Opcja ograniczenia aplikacji do określonego zestawu użytkowników, aplikacji lub grup zabezpieczeń w dzierżawie działa z następującymi typami aplikacji:
- Aplikacje skonfigurowane do federacyjnego logowania jednokrotnego z uwierzytelnianiem opartym na protokole SAML.
- Aplikacje serwera proxy aplikacji korzystające z wstępnego uwierzytelniania firmy Microsoft.
- Aplikacje utworzone bezpośrednio na platformie aplikacji Microsoft Entra korzystające z protokołu OAuth 2.0/OpenID Połączenie uwierzytelniania po tym, jak użytkownik lub administrator wyraził zgodę na korzystanie z tej aplikacji.
Aktualizowanie aplikacji w celu wymagania przypisania użytkownika
Napiwek
Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.
Aby zaktualizować aplikację w celu wymagania przypisania użytkownika, musisz być właścicielem aplikacji w obszarze Aplikacje dla przedsiębiorstw lub być co najmniej aplikacją w chmurze Administracja istrator.
- Zaloguj się do centrum administracyjnego usługi Microsoft Entra.
- Jeśli masz dostęp do wielu dzierżaw, użyj filtru
Katalogi i subskrypcje w górnym menu, aby przełączyć się do dzierżawy zawierającej rejestrację aplikacji z menu Katalogi i subskrypcje.
- Przejdź do pozycji Aplikacje dla przedsiębiorstw tożsamości>>, a następnie wybierz pozycję Wszystkie aplikacje.
- Wybierz aplikację, którą chcesz skonfigurować, aby wymagać przypisania. Użyj filtrów w górnej części okna, aby wyszukać określoną aplikację.
- Na stronie Przegląd aplikacji w obszarze Zarządzanie wybierz pozycję Właściwości.
- Znajdź ustawienie Wymagane przypisanie? i ustaw je na Wartość Tak. Jeśli ta opcja ma wartość Tak, użytkownicy i usługi próbujące uzyskać dostęp do aplikacji lub usług muszą najpierw zostać przypisani dla tej aplikacji lub nie będą mogli się zalogować ani uzyskać tokenu dostępu.
- Wybierz pozycję Zapisz na górnym pasku.
Gdy aplikacja wymaga przypisania, zgoda użytkownika dla tej aplikacji jest niedozwolona. Jest tak nawet w przypadkach, w których zgoda użytkownika na aplikację byłaby dozwolona. Pamiętaj, aby udzielić zgody administratora dla całej dzierżawy na aplikacje wymagające przypisania.
Przypisywanie aplikacji do użytkowników i grup w celu ograniczenia dostępu
Po skonfigurowaniu aplikacji w celu włączenia przypisania użytkownika możesz teraz przypisać aplikację do użytkowników i grup.
W obszarze Zarządzanie wybierz pozycję Użytkownicy i grupy, a następnie wybierz pozycję Dodaj użytkownika/grupę.
Wybierz selektor Użytkownicy.
Lista użytkowników i grup zabezpieczeń jest wyświetlana wraz z polem tekstowym umożliwiającym wyszukiwanie i lokalizowanie określonego użytkownika lub grupy. Ten ekran umożliwia wybranie wielu użytkowników i grup w jednym miejscu.
Po zakończeniu wybierania użytkowników i grup wybierz pozycję Wybierz.
(Opcjonalnie) Jeśli role aplikacji zostały zdefiniowane w aplikacji, możesz użyć opcji Wybierz rolę , aby przypisać rolę aplikacji do wybranych użytkowników i grup.
Wybierz pozycję Przypisz , aby ukończyć przypisania aplikacji do użytkowników i grup.
Upewnij się, że dodani użytkownicy i grupy są wyświetlane na zaktualizowanej liście Użytkownicy i grupy .
Ograniczanie dostępu do aplikacji (zasobu) przez przypisanie innych usług (aplikacji klienckich)
Wykonaj kroki opisane w tej sekcji, aby zabezpieczyć dostęp uwierzytelniania aplikacji do aplikacji dla dzierżawy.
- Przejdź do dzienników logowania jednostki usługi w dzierżawie, aby znaleźć usługi uwierzytelniające się w celu uzyskania dostępu do zasobów w dzierżawie.
- Sprawdź przy użyciu identyfikatora aplikacji, czy jednostka usługi istnieje zarówno dla aplikacji zasobów, jak i aplikacji klienckich w dzierżawie, którą chcesz zarządzać dostępem.
Get-MgServicePrincipal ` -Filter "AppId eq '$appId'"
- Utwórz jednostkę usługi przy użyciu identyfikatora aplikacji, jeśli nie istnieje:
New-MgServicePrincipal ` -AppId $appId
- Jawnie przypisz aplikacje klienckie do aplikacji zasobów (ta funkcja jest dostępna tylko w interfejsie API, a nie w centrum administracyjnym firmy Microsoft Entra):
$clientAppId = “[guid]” $clientId = (Get-MgServicePrincipal -Filter "AppId eq '$clientAppId'").Id New-MgServicePrincipalAppRoleAssignment ` -ServicePrincipalId $clientId ` -PrincipalId $clientId ` -ResourceId (Get-MgServicePrincipal -Filter "AppId eq '$appId'").Id ` -AppRoleId "00000000-0000-0000-0000-000000000000"
- Wymagaj przypisania aplikacji zasobów, aby ograniczyć dostęp tylko do jawnie przypisanych użytkowników lub usług.
Update-MgServicePrincipal -ServicePrincipalId (Get-MgServicePrincipal -Filter "AppId eq '$appId'").Id -AppRoleAssignmentRequired:$true
Uwaga
Jeśli nie chcesz, aby tokeny były wystawiane dla aplikacji lub jeśli chcesz zablokować dostęp do aplikacji przez użytkowników lub usługi w dzierżawie, utwórz jednostkę usługi dla aplikacji i wyłącz dla niej logowanie użytkownika.
Więcej informacji
Aby uzyskać więcej informacji na temat ról i grup zabezpieczeń, zobacz:
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla