Begränsa din Microsoft Entra-app till en uppsättning användare i min Microsoft Entra-klientorganisation

Program som registrerats i en Microsoft Entra-klientorganisation är som standard tillgängliga för alla användare av klientorganisationen som har autentiserats.

På samma sätt kan alla användare i Microsoft Entra-klientorganisationen där programmet har etablerats komma åt programmet när de har autentiserats i sin respektive klientorganisation i ett program med flera klientorganisationer.

Klientadministratörer och utvecklare har ofta krav där ett program måste begränsas till en viss uppsättning användare eller appar (tjänster). Det finns två sätt att begränsa ett program till en viss uppsättning användare, appar eller säkerhetsgrupper:

• Utvecklare kan använda populära auktoriseringsmönster som rollbaserad åtkomstkontroll i Azure (Azure RBAC).
• Klientadministratörer och utvecklare kan använda inbyggd funktion i Microsoft Entra-ID.

Appkonfigurationer som stöds

Alternativet att begränsa en app till en specifik uppsättning användare, appar eller säkerhetsgrupper i en klientorganisation fungerar med följande typer av program:

• Program som konfigurerats för federerad enkel inloggning med SAML-baserad autentisering.
• Programproxyprogram som använder Microsoft Entra-förautentisering.
• Program som bygger direkt på Microsoft Entra-programplattformen som använder OAuth 2.0/OpenID Anslut-autentisering när en användare eller administratör har samtyckt till programmet.

Uppdatera appen för att kräva användartilldelning

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

Om du vill uppdatera ett program för att kräva användartilldelning måste du vara ägare till programmet under Företagsappar eller vara minst molnprogramadministratör.

1. Logga in på administrationscentret för Microsoft Entra.
2. Om du har åtkomst till flera klienter använder du filtret Kataloger + prenumerationer på den översta menyn för att växla till klientorganisationen som innehåller appregistreringen från menyn Kataloger + prenumerationer.
3. Bläddra till Identity>Applications Enterprise-program> och välj sedan Alla program.
4. Välj det program som du vill konfigurera för att kräva tilldelning. Använd filtren överst i fönstret för att söka efter ett visst program.
5. På programmets översiktssida går du till Hantera och väljer Egenskaper.
6. Leta upp inställningen Tilldelning som krävs? och ställ in den på Ja. När det här alternativet är inställt på Ja måste användare och tjänster som försöker komma åt programmet eller tjänsterna först tilldelas för det här programmet, annars kan de inte logga in eller hämta en åtkomsttoken.
7. Välj Spara i det övre fältet.

När ett program kräver tilldelning tillåts inte användarens medgivande för programmet. Det här gäller även om användarmedgivande annars skulle ha tillåtits för appen. Se till att bevilja administratörsmedgivande för hela klientorganisationen för appar som kräver tilldelning.

Tilldela appen till användare och grupper för att begränsa åtkomsten

När du har konfigurerat appen för att aktivera användartilldelning kan du gå vidare och tilldela appen till användare och grupper.

1. Under Hantera väljer du Användare och grupper och väljer sedan Lägg till användare/grupp.

2. Välj väljaren Användare .

   En lista över användare och säkerhetsgrupper visas tillsammans med en textruta för att söka efter och hitta en viss användare eller grupp. På den här skärmen kan du välja flera användare och grupper på en och samma resa.

3. När du är klar med att välja användare och grupper väljer du Välj.

4. (Valfritt) Om du har definierat approller i ditt program kan du använda alternativet Välj roll för att tilldela approllen till de valda användarna och grupperna.

5. Välj Tilldela för att slutföra tilldelningarna av appen till användare och grupper.

6. Bekräfta att de användare och grupper som du har lagt till visas i den uppdaterade listan Användare och grupper .

Begränsa åtkomsten till en app (resurs) genom att tilldela andra tjänster (klientappar)

Följ stegen i det här avsnittet för att skydda app-till-app-autentiseringsåtkomst för din klientorganisation.

1. Gå till inloggningsloggarna för tjänstens huvudnamn i klientorganisationen för att hitta tjänster som autentiserar för att komma åt resurser i din klientorganisation.
2. Kontrollera med app-ID om det finns ett tjänsthuvudnamn för både resurs- och klientappar i din klientorganisation som du vill hantera åtkomst.

   Get-MgServicePrincipal `
   -Filter "AppId eq '$appId'"
   

3. Skapa ett tjänsthuvudnamn med app-ID om det inte finns:

   New-MgServicePrincipal `
   -AppId $appId
   

4. Tilldela uttryckligen klientappar till resursappar (den här funktionen är endast tillgänglig i API och inte i administrationscentret för Microsoft Entra):

   $clientAppId = “[guid]”
                  $clientId = (Get-MgServicePrincipal -Filter "AppId eq '$clientAppId'").Id
   New-MgServicePrincipalAppRoleAssignment `
   -ServicePrincipalId $clientId `
   -PrincipalId $clientId `
   -ResourceId (Get-MgServicePrincipal -Filter "AppId eq '$appId'").Id `
   -AppRoleId "00000000-0000-0000-0000-000000000000"
   

5. Kräv tilldelning för resursprogrammet för att begränsa åtkomsten till de uttryckligen tilldelade användarna eller tjänsterna.

   Update-MgServicePrincipal -ServicePrincipalId (Get-MgServicePrincipal -Filter "AppId eq '$appId'").Id -AppRoleAssignmentRequired:$true
   

   Kommentar

   Om du inte vill att token ska utfärdas för ett program eller om du vill blockera ett program från att kommas åt av användare eller tjänster i klientorganisationen skapar du ett huvudnamn för tjänsten för programmet och inaktiverar användarinloggning för det.

Mer information

Mer information om roller och säkerhetsgrupper finns i:

• Gör så här: Lägga till approller i ditt program
• Använda säkerhetsgrupper och programroller i dina appar (video)
• Microsoft Entra-appmanifest