Begränsa en Microsoft Entra-app till en uppsättning användare

Program som registrerats i en Microsoft Entra-klientorganisation är som standard tillgängliga för alla användare av klientorganisationen som har autentiserats. Om du vill begränsa programmet till en uppsättning användare kan du konfigurera programmet så att det kräver användartilldelning. Användare och tjänster som försöker komma åt programmet eller tjänsterna måste tilldelas till programmet, eller så kan de inte logga in eller hämta en åtkomsttoken.

På samma sätt kan alla användare i Microsoft Entra-klientorganisationen där programmet har etablerats komma åt programmet när de har autentiserats i sin respektive klientorganisation.

Klientadministratörer och utvecklare har ofta krav där ett program måste begränsas till en viss uppsättning användare eller appar (tjänster). Det finns två sätt att begränsa ett program till en viss uppsättning användare, appar eller säkerhetsgrupper:

• Utvecklare kan använda populära auktoriseringsmönster som rollbaserad åtkomstkontroll i Azure (Azure RBAC).
• Klientadministratörer och utvecklare kan använda inbyggd funktion i Microsoft Entra-ID.

Förutsättningar

• Ett Microsoft Entra-användarkonto. Om du inte redan har ett skapar du ett konto kostnadsfritt.
• Ett program som är registrerat i din Microsoft Entra-klientorganisation
• Du måste vara programägare eller vara minst molnprogramadministratör i din klientorganisation.

Appkonfigurationer som stöds

Alternativet att begränsa en app till en specifik uppsättning användare, appar eller säkerhetsgrupper i en klientorganisation fungerar med följande typer av program:

• Program som konfigurerats för federerad enkel inloggning med SAML-baserad autentisering.
• Programproxyprogram som använder Microsoft Entra-förautentisering.
• Program som bygger direkt på Microsoft Entra-programplattformen som använder OAuth 2.0/OpenID Connect-autentisering när en användare eller administratör har samtyckt till programmet.

Uppdatera appen för att kräva användartilldelning

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

Om du vill uppdatera ett program för att kräva användartilldelning måste du vara ägare till programmet under Företagsappar eller vara minst molnprogramadministratör.

1. Logga in på administrationscentret för Microsoft Entra.
2. Om du har åtkomst till flera klienter använder du filtret Kataloger + prenumerationer på den översta menyn för att växla till klientorganisationen som innehåller appregistreringen från menyn Kataloger + prenumerationer.
3. Bläddra till Identity>Applications Enterprise-program> och välj sedan Alla program.
4. Välj det program som du vill konfigurera för att kräva tilldelning. Använd filtren överst i fönstret för att söka efter ett visst program.
5. På programmets översiktssida går du till Hantera och väljer Egenskaper.
6. Leta upp inställningen Tilldelning som krävs? och ställ in den på Ja.
7. Välj Spara i det övre fältet.

När ett program kräver tilldelning tillåts inte användarens medgivande för programmet. Det här gäller även om användarmedgivande annars skulle ha tillåtits för appen. Se till att bevilja administratörsmedgivande för hela klientorganisationen för appar som kräver tilldelning.

Tilldela appen till användare och grupper för att begränsa åtkomsten

När du har konfigurerat appen för att aktivera användartilldelning kan du gå vidare och tilldela appen till användare och grupper.

1. Under Hantera väljer du Användare och grupper och väljer sedan Lägg till användare/grupp.
2. Under Användare väljer du Ingen vald och fönstret Användares väljare öppnas, där du kan välja flera användare och grupper.
3. När du är klar med att lägga till användare och grupper väljer du Välj.
   1. (Valfritt) Om du har definierat approller i ditt program kan du använda alternativet Välj roll för att tilldela approllen till de valda användarna och grupperna.
4. Välj Tilldela för att slutföra tilldelningarna av appen till användare och grupper.
5. När du återgår till sidan Användare och grupper visas de nyligen tillagda användarna och grupperna i den uppdaterade listan.

Begränsa åtkomsten till en app (resurs) genom att tilldela andra tjänster (klientappar)

Följ stegen i det här avsnittet för att skydda app-till-app-autentiseringsåtkomst för din klientorganisation.

1. Gå till inloggningsloggarna för tjänstens huvudnamn i klientorganisationen för att hitta tjänster som autentiserar för att komma åt resurser i din klientorganisation.

2. Kontrollera med app-ID om det finns ett tjänsthuvudnamn för både resurs- och klientappar i din klientorganisation som du vill hantera åtkomst.

   Get-MgServicePrincipal `
   -Filter "AppId eq '$appId'"
   

3. Skapa ett tjänsthuvudnamn med app-ID om det inte finns:

   New-MgServicePrincipal `
   -AppId $appId
   

4. Tilldela uttryckligen klientappar till resursappar (den här funktionen är endast tillgänglig i API och inte i administrationscentret för Microsoft Entra):

   $clientAppId = “[guid]”
                  $clientId = (Get-MgServicePrincipal -Filter "AppId eq '$clientAppId'").Id
   New-MgServicePrincipalAppRoleAssignment `
   -ServicePrincipalId $clientId `
   -PrincipalId $clientId `
   -ResourceId (Get-MgServicePrincipal -Filter "AppId eq '$appId'").Id `
   -AppRoleId "00000000-0000-0000-0000-000000000000"
   

5. Kräv tilldelning för resursprogrammet för att begränsa åtkomsten till de uttryckligen tilldelade användarna eller tjänsterna.

   Update-MgServicePrincipal -ServicePrincipalId (Get-MgServicePrincipal -Filter "AppId eq '$appId'").Id -AppRoleAssignmentRequired:$true
   

Kommentar

Om du inte vill att token ska utfärdas för ett program eller om du vill blockera ett program från att kommas åt av användare eller tjänster i klientorganisationen skapar du ett huvudnamn för tjänsten för programmet och inaktiverar användarinloggning för det.

Se även

Mer information om roller och säkerhetsgrupper finns i:

• Gör så här: Lägga till approller i ditt program
• Använda säkerhetsgrupper och programroller i dina appar (video)
• Microsoft Entra-appmanifest