Restricción de la aplicación Microsoft Entra a un conjunto de usuarios en un inquilino de Microsoft Entra

  • Artículo

Las aplicaciones registradas en un inquilino de Microsoft Entra están disponibles de forma predeterminada para todos los usuarios del inquilino que se autentican correctamente.

De igual manera, en una aplicación multiinquilino, todos los usuarios del inquilino de Microsoft Entra en el que se aprovisiona la aplicación pueden acceder a ella una vez que se autentiquen correctamente en sus respectivos inquilinos.

Los desarrolladores y administradores de inquilinos tienen con frecuencia el requisito de restringir una aplicación a un determinado conjunto de usuarios o aplicaciones (servicios). Hay dos maneras de restringir una aplicación a un determinado conjunto de usuarios, aplicaciones o grupos de seguridad:

Configuraciones de aplicación admitidas

La opción para restringir una aplicación a un conjunto específico de usuarios, aplicaciones o a los grupos de seguridad de un inquilino funciona con los siguientes tipos de aplicaciones:

  • Aplicaciones configuradas para el inicio de sesión único federado con autenticación basada en SAML.
  • Aplicaciones de Application Proxy que usan la autenticación previa de Microsoft Entra.
  • Aplicaciones integradas directamente en la plataforma de aplicaciones de Microsoft Entra que usan Autenticación OAuth 2.0/OpenID Connect después de que un usuario o administrador haya dado su consentimiento a esa aplicación.

Actualización de la aplicación para permitir la asignación de usuarios

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

Para que una aplicación requiera la asignación de un usuario, debe ser propietario de la aplicación en Aplicaciones Enterprise o, como mínimo, Administrador de aplicaciones en la nube.

  1. Inicie sesión en el centro de administración de Microsoft Entra.
  2. Si tiene acceso a varios inquilinos, use el Directorios y suscripciones filtrar en el menú superior para cambiar al inquilino que contiene el registro de la aplicación desde el menú Directorios y suscripciones.
  3. Vaya a Identidad>Aplicaciones>Enterprise y luego seleccione Todas las aplicaciones.
  4. Seleccione la aplicación que quiera configurar para exigir la asignación. Utilice los filtros de la parte superior de la ventana para buscar una aplicación específica.
  5. En la página Información general de la aplicación, en Administrar, seleccione Propiedades.
  6. Busque el valor ¿Asignación requerida? y establézcalo en . Cuando esta opción se establece en , los usuarios y servicios que intentan acceder a la aplicación o los servicios primero se deben asignar para esta aplicación, o no podrán iniciar sesión ni obtener un token de acceso.
  7. Seleccione Guardar en la barra superior.

Cuando en una aplicación se necesita la asignación, no se permite el consentimiento del usuario para esa aplicación. Esto es así incluso si los usuarios hubieran dado su consentimiento para esa aplicación. Asegúrese de conceder consentimiento de administrador en todo el inquilino a las aplicaciones en las que sea necesaria la asignación.

Asignar la aplicación a usuarios y grupos para restringir el acceso

Una vez que ha configurado la aplicación para permitir la asignación de usuarios, puede continuar y asignar usuarios y grupos a la aplicación.

  1. En Administrar, seleccione Usuarios y grupos y, a continuación, seleccione Agregar usuario/grupo.

  2. Elija el selector Usuarios.

    Se muestra una lista de usuarios y grupos de seguridad junto con un cuadro de texto para buscar un usuario o grupo determinado. Esta pantalla permite seleccionar varios usuarios y grupos en una sola operación.

  3. Cuando haya terminado de seleccionar los usuarios y grupos, elija Seleccionar.

  4. (Opcional) Si ha definido roles de aplicación en la aplicación, puede usar la opción Seleccionar rol para asignar el rol de la aplicación a los usuarios y grupos seleccionados.

  5. Seleccione Asignar para completar las asignaciones de la aplicación a los usuarios y grupos.

  6. Confirme que los usuarios y grupos que agregó se muestran en la lista Usuarios y grupos actualizada.

Restringir el acceso a una aplicación (recurso) mediante la asignación de otros servicios (aplicaciones cliente)

Siga los pasos de esta sección para proteger el acceso de autenticación de aplicación a aplicación para su inquilino.

  1. Vaya a los registros de inicio de sesión de la entidad de servicio en el inquilino para buscar servicios que se autentican para acceder a los recursos del inquilino.
  2. Compruebe el uso del identificador de aplicación si existe una entidad de servicio para las aplicaciones de recursos y cliente en el inquilino que desea administrar. 
    Get-MgServicePrincipal `
-Filter "AppId eq '$appId'"
  3. Cree una entidad de servicio mediante el identificador de aplicación, si no existe: 
    New-MgServicePrincipal `
-AppId $appId
  4. Asigne explícitamente aplicaciones cliente a aplicaciones de recursos (esta funcionalidad solo está disponible en la API y no en el centro de administración de Microsoft Entra): 
    $clientAppId = “[guid]”
               $clientId = (Get-MgServicePrincipal -Filter "AppId eq '$clientAppId'").Id
New-MgServicePrincipalAppRoleAssignment `
-ServicePrincipalId $clientId `
-PrincipalId $clientId `
-ResourceId (Get-MgServicePrincipal -Filter "AppId eq '$appId'").Id `
-AppRoleId "00000000-0000-0000-0000-000000000000"
  5. Requerir asignación para que la aplicación de recursos restrinja el acceso solo a los usuarios o servicios asignados explícitamente. 
    Update-MgServicePrincipal -ServicePrincipalId (Get-MgServicePrincipal -Filter "AppId eq '$appId'").Id -AppRoleAssignmentRequired:$true

    Nota:

    Si no desea que se emita tokens para una aplicación o si desea impedir que usuarios o servicios de su inquilino accedan a una aplicación, cree una entidad de servicio para la aplicación y deshabilite el inicio de sesión de usuario para ella.

Más información

Para más información sobre los roles y los grupos de seguridad, consulte: