Ogranicz usługę Microsoft Entra do zestawu użytkowników w mojej dzierżawie usługi Microsoft Entra ID

Artykuł
10/24/2023

Aplikacje zarejestrowane w dzierżawie usługi Microsoft Entra są domyślnie dostępne dla wszystkich użytkowników dzierżawy, którzy pomyślnie się uwierzytelniają.

Podobnie w aplikacji wielodostępnej wszyscy użytkownicy w dzierżawie firmy Microsoft Entra, w której aplikacja jest aprowizowana, mogą uzyskiwać dostęp do aplikacji po pomyślnym uwierzytelnieniu w odpowiedniej dzierżawie.

Administratorzy dzierżawy i deweloperzy często mają wymagania, w których aplikacja musi być ograniczona do określonego zestawu użytkowników lub aplikacji (usług). Istnieją dwa sposoby ograniczenia aplikacji do określonego zestawu użytkowników, aplikacji lub grup zabezpieczeń:

Deweloperzy mogą używać popularnych wzorców autoryzacji, takich jak kontrola dostępu oparta na rolach (RBAC) platformy Azure.
Administratorzy dzierżawy i deweloperzy mogą używać wbudowanej funkcji identyfikatora Entra firmy Microsoft.

Obsługiwane konfiguracje aplikacji

Opcja ograniczenia aplikacji do określonego zestawu użytkowników, aplikacji lub grup zabezpieczeń w dzierżawie działa z następującymi typami aplikacji:

Aplikacje skonfigurowane do federacyjnego logowania jednokrotnego z uwierzytelnianiem opartym na protokole SAML.
Aplikacje serwera proxy aplikacji korzystające z wstępnego uwierzytelniania firmy Microsoft.
Aplikacje utworzone bezpośrednio na platformie aplikacji Microsoft Entra korzystające z protokołu OAuth 2.0/OpenID Połączenie uwierzytelniania po tym, jak użytkownik lub administrator wyraził zgodę na korzystanie z tej aplikacji.

Aktualizowanie aplikacji w celu wymagania przypisania użytkownika

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Aby zaktualizować aplikację w celu wymagania przypisania użytkownika, musisz być właścicielem aplikacji w obszarze Aplikacje dla przedsiębiorstw lub być co najmniej aplikacją w chmurze Administracja istrator.

Zaloguj się do centrum administracyjnego usługi Microsoft Entra.
Jeśli masz dostęp do wielu dzierżaw, użyj filtru Katalogi i subskrypcje w górnym menu, aby przełączyć się do dzierżawy zawierającej rejestrację aplikacji z menu Katalogi i subskrypcje.
Przejdź do pozycji Aplikacje dla przedsiębiorstw tożsamości>>, a następnie wybierz pozycję Wszystkie aplikacje.
Wybierz aplikację, którą chcesz skonfigurować, aby wymagać przypisania. Użyj filtrów w górnej części okna, aby wyszukać określoną aplikację.
Na stronie Przegląd aplikacji w obszarze Zarządzanie wybierz pozycję Właściwości.
Znajdź ustawienie Wymagane przypisanie? i ustaw je na Wartość Tak. Jeśli ta opcja ma wartość Tak, użytkownicy i usługi próbujące uzyskać dostęp do aplikacji lub usług muszą najpierw zostać przypisani dla tej aplikacji lub nie będą mogli się zalogować ani uzyskać tokenu dostępu.
Wybierz pozycję Zapisz na górnym pasku.

Gdy aplikacja wymaga przypisania, zgoda użytkownika dla tej aplikacji jest niedozwolona. Jest tak nawet w przypadkach, w których zgoda użytkownika na aplikację byłaby dozwolona. Pamiętaj, aby udzielić zgody administratora dla całej dzierżawy na aplikacje wymagające przypisania.

Przypisywanie aplikacji do użytkowników i grup w celu ograniczenia dostępu

Po skonfigurowaniu aplikacji w celu włączenia przypisania użytkownika możesz teraz przypisać aplikację do użytkowników i grup.

W obszarze Zarządzanie wybierz pozycję Użytkownicy i grupy, a następnie wybierz pozycję Dodaj użytkownika/grupę.
Wybierz selektor Użytkownicy.

Lista użytkowników i grup zabezpieczeń jest wyświetlana wraz z polem tekstowym umożliwiającym wyszukiwanie i lokalizowanie określonego użytkownika lub grupy. Ten ekran umożliwia wybranie wielu użytkowników i grup w jednym miejscu.
Po zakończeniu wybierania użytkowników i grup wybierz pozycję Wybierz.
(Opcjonalnie) Jeśli role aplikacji zostały zdefiniowane w aplikacji, możesz użyć opcji Wybierz rolę , aby przypisać rolę aplikacji do wybranych użytkowników i grup.
Wybierz pozycję Przypisz , aby ukończyć przypisania aplikacji do użytkowników i grup.
Upewnij się, że dodani użytkownicy i grupy są wyświetlane na zaktualizowanej liście Użytkownicy i grupy .

Ograniczanie dostępu do aplikacji (zasobu) przez przypisanie innych usług (aplikacji klienckich)

Wykonaj kroki opisane w tej sekcji, aby zabezpieczyć dostęp uwierzytelniania aplikacji do aplikacji dla dzierżawy.

Przejdź do dzienników logowania jednostki usługi w dzierżawie, aby znaleźć usługi uwierzytelniające się w celu uzyskania dostępu do zasobów w dzierżawie.
Sprawdź przy użyciu identyfikatora aplikacji, czy jednostka usługi istnieje zarówno dla aplikacji zasobów, jak i aplikacji klienckich w dzierżawie, którą chcesz zarządzać dostępem.
```
Get-MgServicePrincipal `
-Filter "AppId eq '$appId'"
```
Utwórz jednostkę usługi przy użyciu identyfikatora aplikacji, jeśli nie istnieje:
```
New-MgServicePrincipal `
-AppId $appId
```

Jawnie przypisz aplikacje klienckie do aplikacji zasobów (ta funkcja jest dostępna tylko w interfejsie API, a nie w centrum administracyjnym firmy Microsoft Entra):

$clientAppId = “[guid]”
               $clientId = (Get-MgServicePrincipal -Filter "AppId eq '$clientAppId'").Id
New-MgServicePrincipalAppRoleAssignment `
-ServicePrincipalId $clientId `
-PrincipalId $clientId `
-ResourceId (Get-MgServicePrincipal -Filter "AppId eq '$appId'").Id `
-AppRoleId "00000000-0000-0000-0000-000000000000"

Wymagaj przypisania aplikacji zasobów, aby ograniczyć dostęp tylko do jawnie przypisanych użytkowników lub usług.
```
Update-MgServicePrincipal -ServicePrincipalId (Get-MgServicePrincipal -Filter "AppId eq '$appId'").Id -AppRoleAssignmentRequired:$true
```
Uwaga

Jeśli nie chcesz, aby tokeny były wystawiane dla aplikacji lub jeśli chcesz zablokować dostęp do aplikacji przez użytkowników lub usługi w dzierżawie, utwórz jednostkę usługi dla aplikacji i wyłącz dla niej logowanie użytkownika.

Więcej informacji

Aby uzyskać więcej informacji na temat ról i grup zabezpieczeń, zobacz:

Udostępnij za pośrednictwem