Omezení aplikace Microsoft Entra na sadu uživatelů v tenantovi Microsoft Entra

Aplikace zaregistrované v tenantovi Microsoft Entra jsou ve výchozím nastavení dostupné všem uživatelům tenanta, kteří se úspěšně ověřují.

Podobně v aplikaci s více tenanty mají všichni uživatelé v tenantovi Microsoft Entra, kde je aplikace zřízena, přístup k aplikaci po úspěšném ověření v příslušném tenantovi.

Správci tenantů a vývojáři často mají požadavky, kdy musí být aplikace omezena na určitou sadu uživatelů nebo aplikací (služeb). Existují dva způsoby, jak omezit aplikaci na určitou sadu uživatelů, aplikací nebo skupin zabezpečení:

• Vývojáři můžou používat oblíbené způsoby autorizace, jako je řízení přístupu na základě role v Azure (Azure RBAC).
• Správci tenantů a vývojáři můžou používat integrovanou funkci ID Microsoft Entra.

Podporované konfigurace aplikací

Možnost omezit aplikaci na konkrétní sadu uživatelů, aplikací nebo skupin zabezpečení v tenantovi funguje s následujícími typy aplikací:

• Aplikace nakonfigurované pro federované jednotné přihlašování s ověřováním založeným na SAML
• Aplikace proxy aplikací, které používají předběžné ověření Microsoft Entra.
• Aplikace vytvořené přímo na aplikační platformě Microsoft Entra, které používají ověřování OAuth 2.0/OpenID Připojení po souhlasu uživatele nebo správce s danou aplikací.

Aktualizujte aplikaci tak, aby vyžadovala přiřazení uživatele.

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Pokud chcete aktualizovat aplikaci tak, aby vyžadovala přiřazení uživatele, musíte být vlastníkem aplikace v rámci podnikových aplikací nebo být alespoň cloudovou aplikací Správa istrator.

1. Přihlaste se do Centra pro správu Microsoft Entra.
2. Pokud máte přístup k více tenantům, pomocí filtruAdresáře a předplatná v horní nabídce přepněte do tenanta, který obsahuje registraci aplikace z nabídky Adresáře a předplatná.
3. Přejděte k podnikovým aplikacím identit>a>pak vyberte Všechny aplikace.
4. Vyberte aplikaci, kterou chcete nakonfigurovat tak, aby vyžadovala přiřazení. Pomocí filtrů v horní části okna vyhledejte konkrétní aplikaci.
5. Na stránce Přehled aplikace v části Spravovat vyberte Vlastnosti.
6. Vyhledejte požadované nastavení Přiřazení a nastavte ho na Ano. Pokud je tato možnost nastavená na Ano, uživatelé a služby, které se pokoušejí o přístup k aplikaci nebo službám, musí být nejprve přiřazeny pro tuto aplikaci, jinak se nebudou moct přihlásit nebo získat přístupový token.
7. Na horním panelu vyberte Uložit .

Pokud aplikace vyžaduje přiřazení, souhlas uživatele pro danou aplikaci není povolený. To platí i v případě, že by jinak byl souhlas uživatelů s touto aplikací povolený. Nezapomeňte udělit souhlas správce v rámci celého tenanta aplikacím, které vyžadují přiřazení.

Přiřazení aplikace uživatelům a skupinám za účelem omezení přístupu

Jakmile nakonfigurujete aplikaci tak, aby povolovala přiřazení uživatelů, můžete aplikaci přiřadit uživatelům a skupinám.

1. V části Spravovat vyberte Uživatelé a skupiny a pak vyberte Přidat uživatele nebo skupinu.

2. Vyberte selektor Uživatelé.

   Zobrazí se seznam uživatelů a skupin zabezpečení spolu s textovým polem pro vyhledávání a vyhledání určitého uživatele nebo skupiny. Tato obrazovka umožňuje vybrat více uživatelů a skupin na jednom místě.

3. Až vyberete uživatele a skupiny, vyberte Vybrat.

4. (Volitelné) Pokud jste ve své aplikaci definovali role aplikací, můžete pomocí možnosti Vybrat roli přiřadit roli aplikace vybraným uživatelům a skupinám.

5. Výběrem možnosti Přiřadit dokončíte přiřazení aplikace uživatelům a skupinám.

6. Ověřte, že se přidaní uživatelé a skupiny zobrazují v aktualizovaném seznamu Uživatelé a skupiny .

Omezení přístupu k aplikaci (prostředku) přiřazením jiných služeb (klientských aplikací)

Postupujte podle kroků v této části a zabezpečte přístup k ověřování aplikací pro vašeho tenanta.

1. Přejděte do protokolů přihlášení instančního objektu ve vašem tenantovi a vyhledejte služby ověřující přístup k prostředkům ve vašem tenantovi.
2. Pomocí ID aplikace zkontrolujte, jestli existuje instanční objekt pro prostředky i klientské aplikace ve vašem tenantovi, ke kterému chcete spravovat přístup.

   Get-MgServicePrincipal `
   -Filter "AppId eq '$appId'"
   

3. Vytvořte instanční objekt pomocí ID aplikace, pokud neexistuje:

   New-MgServicePrincipal `
   -AppId $appId
   

4. Explicitní přiřazení klientských aplikací k aplikacím prostředků (tato funkce je dostupná jenom v rozhraní API a ne v Centru pro správu Microsoft Entra):

   $clientAppId = “[guid]”
                  $clientId = (Get-MgServicePrincipal -Filter "AppId eq '$clientAppId'").Id
   New-MgServicePrincipalAppRoleAssignment `
   -ServicePrincipalId $clientId `
   -PrincipalId $clientId `
   -ResourceId (Get-MgServicePrincipal -Filter "AppId eq '$appId'").Id `
   -AppRoleId "00000000-0000-0000-0000-000000000000"
   

5. Vyžadovat přiřazení pro aplikaci prostředků k omezení přístupu pouze k explicitně přiřazeným uživatelům nebo službám.

   Update-MgServicePrincipal -ServicePrincipalId (Get-MgServicePrincipal -Filter "AppId eq '$appId'").Id -AppRoleAssignmentRequired:$true
   

   Poznámka:

   Pokud nechcete, aby se tokeny vystavovaly pro aplikaci nebo pokud chcete blokovat přístup k aplikaci uživateli nebo službami ve vašem tenantovi, vytvořte instanční objekt pro aplikaci a zakažte pro ni přihlášení uživatele.

Více informací

Další informace o rolíchach

• Postupy: Přidání rolí aplikací do aplikace
• Použití skupin zabezpečení a rolí aplikací v aplikacích (video)
• Manifest aplikace Microsoft Entra