Microsoft Entra uygulamanızı Microsoft Entra kiracısındaki bir kullanıcı kümesiyle kısıtlama

Microsoft Entra kiracısına kayıtlı uygulamalar, kiracının başarıyla kimlik doğrulaması yapan tüm kullanıcıları tarafından varsayılan olarak kullanılabilir.

Benzer şekilde, çok kiracılı bir uygulamada, uygulamanın sağlandığı Microsoft Entra kiracısında yer alan tüm kullanıcılar, ilgili kiracılarında başarıyla kimlik doğrulaması yaptıktan sonra uygulamaya erişebilir.

Kiracı yöneticilerinin ve geliştiricilerin genellikle bir uygulamanın belirli bir kullanıcı veya uygulama kümesiyle (hizmetler) kısıtlanması gereken gereksinimleri vardır. Bir uygulamayı belirli bir kullanıcı, uygulama veya güvenlik grubu kümesiyle kısıtlamanın iki yolu vardır:

• Geliştiriciler Azure rol tabanlı erişim denetimi (Azure RBAC) gibi popüler yetkilendirme desenlerini kullanabilir.
• Kiracı yöneticileri ve geliştiriciler Microsoft Entra Id'nin yerleşik özelliğini kullanabilir.

Desteklenen uygulama yapılandırmaları

Bir uygulamayı kiracıdaki belirli bir kullanıcı, uygulama veya güvenlik grubu kümesiyle kısıtlama seçeneği aşağıdaki uygulama türleriyle çalışır:

• SAML tabanlı kimlik doğrulaması ile federasyon çoklu oturum açma için yapılandırılmış uygulamalar.
• Microsoft Entra ön kimlik doğrulamasını kullanan uygulama ara sunucusu uygulamaları.
• OAuth 2.0/OpenID Bağlan kimlik doğrulamasını bir kullanıcı veya yönetici bu uygulamaya onay verdikten sonra doğrudan Microsoft Entra uygulama platformunda oluşturulan uygulamalar.

Uygulamayı kullanıcı ataması gerektirecek şekilde güncelleştirme

Bahşiş

Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.

Bir uygulamayı kullanıcı ataması gerektirecek şekilde güncelleştirmek için, Kurumsal uygulamalar'ın altında uygulamanın sahibi olmanız veya en azından bir Bulut Uygulaması Yönetici istrator olmanız gerekir.

1. Microsoft Entra yönetim merkezinde oturum açın.
2. Birden çok kiracıya erişiminiz varsa, Dizinler + abonelikler menüsünden uygulama kaydını içeren kiracıya geçmek için üst menüdeki Dizinler + abonelikler filtresini kullanın.
3. Kimlik>Uygulamaları>Kurumsal uygulamaları'na göz atın ve ardından Tüm uygulamalar'ı seçin.
4. Atama gerektirecek şekilde yapılandırmak istediğiniz uygulamayı seçin. Belirli bir uygulamayı aramak için pencerenin üst kısmındaki filtreleri kullanın.
5. Uygulamanın Genel Bakış sayfasındaki Yönet'in altında Özellikler'i seçin.
6. Atama gerekli mi? ayarını bulun ve Evet olarak ayarlayın. Bu seçenek Evet olarak ayarlandığında, uygulamaya veya hizmetlere erişmeye çalışan kullanıcılar ve hizmetler önce bu uygulama için atanmalıdır, aksi durumda oturum açamaz veya erişim belirteci alamazlar.
7. Üst çubukta Kaydet'i seçin.

Bir uygulama atama gerektirdiğinde, bu uygulama için kullanıcı onayına izin verilmez. Bu, kullanıcıların söz konusu uygulama için onay vermelerine izin verildiğinde de geçerlidir. Atama gerektiren uygulamalara kiracı genelinde yönetici onayı verdiğinizden emin olun.

Erişimi kısıtlamak için uygulamayı kullanıcılara ve gruplara atama

Uygulamanızı kullanıcı atamasını etkinleştirecek şekilde yapılandırdıktan sonra uygulamayı kullanıcılara ve gruplara atayabilirsiniz.

1. Yönet'in altında Kullanıcılar ve gruplar'ı ve ardından Kullanıcı/grup ekle'yi seçin.

2. Kullanıcılar seçicisini seçin.

   Belirli bir kullanıcı veya grubu aramak ve bulmak için bir metin kutusuyla birlikte kullanıcı ve güvenlik gruplarının listesi gösterilir. Bu ekran, tek seferde birden çok kullanıcı ve grup seçmenize olanak tanır.

3. Kullanıcıları ve grupları seçmeyi bitirdikten sonra Seç'i seçin.

4. (İsteğe bağlı) Uygulamanızda uygulama rolleri tanımladıysanız, seçilen kullanıcılara ve gruplara uygulama rolünü atamak için Rol seç seçeneğini kullanabilirsiniz.

5. Uygulamanın kullanıcılara ve gruplara atamalarını tamamlamak için Ata'yı seçin.

6. Eklediğiniz kullanıcıların ve grupların güncelleştirilmiş Kullanıcılar ve gruplar listesinde gösterildiğini onaylayın.

Diğer hizmetleri (istemci uygulamaları) atayarak uygulamaya (kaynak) erişimi kısıtlama

Kiracınız için uygulamadan uygulamaya kimlik doğrulaması erişiminin güvenliğini sağlamak için bu bölümdeki adımları izleyin.

1. Kiracınızdaki kaynaklara erişmek için kimlik doğrulaması yapılan hizmetleri bulmak için kiracınızdaki Hizmet Sorumlusu oturum açma günlüklerine gidin.
2. Kiracınızda erişimi yönetmek istediğiniz hem kaynak hem de istemci uygulamaları için hizmet sorumlusu olup olmadığını kontrol edin.

   Get-MgServicePrincipal `
   -Filter "AppId eq '$appId'"
   

3. Yoksa uygulama kimliğini kullanarak bir Hizmet Sorumlusu oluşturun:

   New-MgServicePrincipal `
   -AppId $appId
   

4. İstemci uygulamalarını kaynak uygulamalarına açıkça atayın (bu işlev microsoft Entra yönetim merkezinde değil yalnızca API'de kullanılabilir):

   $clientAppId = “[guid]”
                  $clientId = (Get-MgServicePrincipal -Filter "AppId eq '$clientAppId'").Id
   New-MgServicePrincipalAppRoleAssignment `
   -ServicePrincipalId $clientId `
   -PrincipalId $clientId `
   -ResourceId (Get-MgServicePrincipal -Filter "AppId eq '$appId'").Id `
   -AppRoleId "00000000-0000-0000-0000-000000000000"
   

5. Yalnızca açıkça atanan kullanıcı veya hizmetlere erişimi kısıtlamak için kaynak uygulaması için atama gerektir.

   Update-MgServicePrincipal -ServicePrincipalId (Get-MgServicePrincipal -Filter "AppId eq '$appId'").Id -AppRoleAssignmentRequired:$true
   

   Dekont

   Bir uygulama için belirteçlerin verilmesini istemiyorsanız veya bir uygulamanın kiracınızdaki kullanıcılar veya hizmetler tarafından erişmesini engellemek istiyorsanız, uygulama için bir hizmet sorumlusu oluşturun ve uygulama için kullanıcı oturum açmayı devre dışı bırakın.

Daha fazla bilgi

Roller ve güvenlik grupları hakkında daha fazla bilgi için bkz:

• Nasıl yapılır: Uygulamanıza uygulama rolleri ekleme
• Uygulamalarınızda Güvenlik Gruplarını ve Uygulama Rollerini Kullanma (Video)
• Microsoft Entra uygulama bildirimi