Udostępnij za pośrednictwem

Ograniczanie aplikacji Microsoft Entra do zestawu użytkowników

  • Artykuł

Aplikacje zarejestrowane w dzierżawie usługi Microsoft Entra są domyślnie dostępne dla wszystkich użytkowników dzierżawy, którzy pomyślnie się uwierzytelniają. Aby ograniczyć aplikację do zestawu użytkowników, możesz skonfigurować aplikację tak, aby wymagała przypisania użytkownika. Użytkownicy i usługi próbujące uzyskać dostęp do aplikacji lub usług muszą być przypisani do aplikacji lub nie będą mogli się zalogować ani uzyskać tokenu dostępu.

Podobnie w aplikacji wielodostępnej wszyscy użytkownicy w dzierżawie firmy Microsoft Entra, w której aplikacja jest aprowizowana, mogą uzyskiwać dostęp do aplikacji po pomyślnym uwierzytelnieniu w odpowiedniej dzierżawie.

Administratorzy dzierżawy i deweloperzy często mają wymagania, w których aplikacja musi być ograniczona do określonego zestawu użytkowników lub aplikacji (usług). Istnieją dwa sposoby ograniczenia aplikacji do określonego zestawu użytkowników, aplikacji lub grup zabezpieczeń:

  • Deweloperzy mogą używać popularnych wzorców autoryzacji, takich jak kontrola dostępu oparta na rolach (RBAC) platformy Azure.
  • Administratorzy dzierżawy i deweloperzy mogą używać wbudowanej funkcji identyfikatora Entra firmy Microsoft.

Wymagania wstępne

Obsługiwane konfiguracje aplikacji

Opcja ograniczenia aplikacji do określonego zestawu użytkowników, aplikacji lub grup zabezpieczeń w dzierżawie działa z następującymi typami aplikacji:

  • Aplikacje skonfigurowane do federacyjnego logowania jednokrotnego z uwierzytelnianiem opartym na protokole SAML.
  • Aplikacje serwera proxy aplikacji korzystające z wstępnego uwierzytelniania firmy Microsoft.
  • Aplikacje utworzone bezpośrednio na platformie aplikacji Microsoft Entra korzystające z uwierzytelniania OAuth 2.0/OpenID Connect po tym, jak użytkownik lub administrator wyraził zgodę na korzystanie z tej aplikacji.

Aktualizowanie aplikacji w celu wymagania przypisania użytkownika

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Aby zaktualizować aplikację w celu wymagania przypisania użytkownika, musisz być właścicielem aplikacji w obszarze Aplikacje dla przedsiębiorstw lub być co najmniej administratorem aplikacji w chmurze.

  1. Zaloguj się do centrum administracyjnego usługi Microsoft Entra.
  2. Jeśli masz dostęp do wielu dzierżaw, użyj filtru Katalogi i subskrypcje w górnym menu, aby przełączyć się do dzierżawy zawierającej rejestrację aplikacji z menu Katalogi i subskrypcje.
  3. Przejdź do pozycji Aplikacje dla przedsiębiorstw tożsamości>>, a następnie wybierz pozycję Wszystkie aplikacje.
  4. Wybierz aplikację, którą chcesz skonfigurować, aby wymagać przypisania. Użyj filtrów w górnej części okna, aby wyszukać określoną aplikację.
  5. Na stronie Przegląd aplikacji w obszarze Zarządzanie wybierz pozycję Właściwości.
  6. Znajdź ustawienie Wymagane przypisanie? i ustaw je na Wartość Tak.
  7. Wybierz pozycję Zapisz na górnym pasku.

Gdy aplikacja wymaga przypisania, zgoda użytkownika dla tej aplikacji jest niedozwolona. Jest tak nawet w przypadkach, w których zgoda użytkownika na aplikację byłaby dozwolona. Pamiętaj, aby udzielić zgody administratora dla całej dzierżawy na aplikacje wymagające przypisania.

Przypisywanie aplikacji do użytkowników i grup w celu ograniczenia dostępu

Po skonfigurowaniu aplikacji w celu włączenia przypisania użytkownika możesz teraz przypisać aplikację do użytkowników i grup.

  1. W obszarze Zarządzanie wybierz pozycję Użytkownicy i grupy, a następnie wybierz pozycję Dodaj użytkownika/grupę.
  2. W obszarze Użytkownicy wybierz pozycję Brak wybrane, a zostanie otwarte okienko selektora Użytkownicy, w którym można wybrać wielu użytkowników i grupy.
  3. Po zakończeniu dodawania użytkowników i grup wybierz pozycję Wybierz.
    1. (Opcjonalnie) Jeśli role aplikacji zostały zdefiniowane w aplikacji, możesz użyć opcji Wybierz rolę , aby przypisać rolę aplikacji do wybranych użytkowników i grup.
  4. Wybierz pozycję Przypisz , aby ukończyć przypisania aplikacji do użytkowników i grup.
  5. Po powrocie do strony Użytkownicy i grupy nowo dodani użytkownicy i grupy są wyświetlani na zaktualizowanej liście.

Ograniczanie dostępu do aplikacji (zasobu) przez przypisanie innych usług (aplikacji klienckich)

Wykonaj kroki opisane w tej sekcji, aby zabezpieczyć dostęp uwierzytelniania aplikacji do aplikacji dla dzierżawy.

  1. Przejdź do dzienników logowania jednostki usługi w dzierżawie, aby znaleźć usługi uwierzytelniające się w celu uzyskania dostępu do zasobów w dzierżawie.

  2. Sprawdź przy użyciu identyfikatora aplikacji, czy jednostka usługi istnieje zarówno dla aplikacji zasobów, jak i aplikacji klienckich w dzierżawie, którą chcesz zarządzać dostępem.

    Get-MgServicePrincipal `
-Filter "AppId eq '$appId'"

  3. Utwórz jednostkę usługi przy użyciu identyfikatora aplikacji, jeśli nie istnieje:

    New-MgServicePrincipal `
-AppId $appId

  4. Jawnie przypisz aplikacje klienckie do aplikacji zasobów (ta funkcja jest dostępna tylko w interfejsie API, a nie w centrum administracyjnym firmy Microsoft Entra):

    $clientAppId = “[guid]”
               $clientId = (Get-MgServicePrincipal -Filter "AppId eq '$clientAppId'").Id
New-MgServicePrincipalAppRoleAssignment `
-ServicePrincipalId $clientId `
-PrincipalId $clientId `
-ResourceId (Get-MgServicePrincipal -Filter "AppId eq '$appId'").Id `
-AppRoleId "00000000-0000-0000-0000-000000000000"

  5. Wymagaj przypisania aplikacji zasobów, aby ograniczyć dostęp tylko do jawnie przypisanych użytkowników lub usług.

    Update-MgServicePrincipal -ServicePrincipalId (Get-MgServicePrincipal -Filter "AppId eq '$appId'").Id -AppRoleAssignmentRequired:$true

Uwaga

Jeśli nie chcesz, aby tokeny były wystawiane dla aplikacji lub jeśli chcesz zablokować dostęp do aplikacji przez użytkowników lub usługi w dzierżawie, utwórz jednostkę usługi dla aplikacji i wyłącz dla niej logowanie użytkownika.

Zobacz też

Aby uzyskać więcej informacji na temat ról i grup zabezpieczeń, zobacz: