A Microsoft Entra-alkalmazás korlátozása egy Microsoft Entra-bérleményben lévő felhasználók számára

A Microsoft Entra-bérlőben regisztrált alkalmazások alapértelmezés szerint a sikeres hitelesítést végző bérlő összes felhasználója számára elérhetők.

Hasonlóképpen, egy több-bérlős alkalmazásban a Microsoft Entra-bérlő azon felhasználói, ahol az alkalmazás ki van építve, hozzáférhetnek az alkalmazáshoz, miután sikeresen hitelesítést végeztek a megfelelő bérlőjükben.

A bérlői rendszergazdák és fejlesztők gyakran rendelkeznek olyan követelményekkel, amelyek esetén az alkalmazásokat bizonyos felhasználókra vagy alkalmazásokra (szolgáltatásokra) kell korlátozni. Az alkalmazásokat kétféleképpen korlátozhatja bizonyos felhasználókra, alkalmazásokra vagy biztonsági csoportokra:

• A fejlesztők olyan népszerű engedélyezési mintákat használhatnak, mint az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC).
• A bérlői rendszergazdák és fejlesztők használhatják a Microsoft Entra ID beépített funkcióját.

Támogatott alkalmazáskonfigurációk

Az alkalmazások bérlői felhasználókra, alkalmazásokra vagy biztonsági csoportokra való korlátozásának lehetősége a következő típusú alkalmazásokkal működik:

• SamL-alapú hitelesítéssel összevont egyszeri bejelentkezéshez konfigurált alkalmazások.
• Microsoft Entra előhitelesítést használó alkalmazásproxy-alkalmazások.
• Közvetlenül az OAuth 2.0/OpenID-hitelesítést használó Microsoft Entra alkalmazásplatformra épülő alkalmazások Csatlakozás hitelesítést, miután egy felhasználó vagy rendszergazda hozzájárult az alkalmazáshoz.

Az alkalmazás frissítése felhasználói hozzárendelés megkövetelése érdekében

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

Ha frissíteni szeretne egy alkalmazást, hogy felhasználói hozzárendelést igényeljen, az alkalmazás tulajdonosának kell lennie a Nagyvállalati alkalmazások területen, vagy legalább egy felhőalapú alkalmazásnak Rendszergazda istratornak kell lennie.

1. Sign in to the Microsoft Entra admin center.
2. Ha több bérlőhöz van hozzáférése, a felső menü Címtárak + előfizetések szűrőjévelváltson arra a bérlőre, amely tartalmazza az alkalmazásregisztrációt a Könyvtárak + előfizetések menüből.
3. Keresse meg az Identity>Applications>Enterprise-alkalmazásokat, majd válassza a Minden alkalmazás lehetőséget.
4. Válassza ki azt az alkalmazást, amelyet a hozzárendelés megköveteléséhez konfigurálni szeretne. Az ablak tetején található szűrőkkel kereshet egy adott alkalmazást.
5. Az alkalmazás Áttekintés lapján, a Kezelés területen válassza a Tulajdonságok lehetőséget.
6. Keresse meg a szükséges hozzárendelési beállítást? és állítsa igen értékre. Ha ez a beállítás Igen értékre van állítva, az alkalmazáshoz vagy szolgáltatásokhoz hozzáférni próbáló felhasználókat és szolgáltatásokat először hozzá kell rendelni ehhez az alkalmazáshoz, vagy nem tudnak bejelentkezni vagy hozzáférési jogkivonatot beszerezni.
7. Válassza a Felső sáv Mentés elemét .

Ha egy alkalmazás hozzárendelést igényel, az alkalmazás felhasználói hozzájárulása nem engedélyezett. This is true even if users consent for that app would have otherwise been allowed. Be sure to grant tenant-wide admin consent to apps that require assignment.

Az alkalmazás hozzárendelése felhasználókhoz és csoportokhoz a hozzáférés korlátozásához

Miután konfigurálta az alkalmazást a felhasználói hozzárendelés engedélyezésére, továbbléphet, és hozzárendelheti az alkalmazást a felhasználókhoz és csoportokhoz.

1. A Kezelés csoportban válassza a Felhasználók és csoportok, majd a Felhasználó/csoport hozzáadása lehetőséget.

2. Válassza ki a Felhasználók választót.

   Megjelenik a felhasználók és a biztonsági csoportok listája, valamint egy szövegmező, amely egy adott felhasználó vagy csoport keresésére és megkeresésére használható. Ezen a képernyőn egyszerre több felhasználót és csoportot is kijelölhet.

3. Ha végzett a felhasználók és csoportok kiválasztásával, válassza a Kiválasztás lehetőséget.

4. (Nem kötelező) Ha alkalmazásszerepköröket definiált az alkalmazásban, a Szerepkör kiválasztása lehetőséggel hozzárendelheti az alkalmazásszerepkört a kiválasztott felhasználókhoz és csoportokhoz.

5. Válassza a Hozzárendelés lehetőséget az alkalmazás felhasználókhoz és csoportokhoz való hozzárendeléséhez.

6. Győződjön meg arról, hogy a hozzáadott felhasználók és csoportok megjelennek a frissített Felhasználók és csoportok listában.

Az alkalmazáshoz (erőforráshoz) való hozzáférés korlátozása más szolgáltatások (ügyfélalkalmazások) hozzárendelésével

Az ebben a szakaszban ismertetett lépéseket követve biztonságossá teheti a bérlő alkalmazásközi hitelesítéshez való hozzáférését.

1. Lépjen a bérlő szolgáltatásnév bejelentkezési naplóira, és keresse meg a bérlő erőforrásaihoz való hozzáféréshez hitelesítő szolgáltatásokat.
2. Ellenőrizze az alkalmazásazonosítót, hogy létezik-e szolgáltatásnév a bérlő azon erőforrás- és ügyfélalkalmazásai számára, amelyekhez a hozzáférést kezelni szeretné.

   Get-MgServicePrincipal `
   -Filter "AppId eq '$appId'"
   

3. Szolgáltatásnév létrehozása alkalmazásazonosítóval, ha az nem létezik:

   New-MgServicePrincipal `
   -AppId $appId
   

4. Ügyfélalkalmazások explicit hozzárendelése erőforrás-alkalmazásokhoz (ez a funkció csak az API-ban érhető el, a Microsoft Entra felügyeleti központban nem):

   $clientAppId = “[guid]”
                  $clientId = (Get-MgServicePrincipal -Filter "AppId eq '$clientAppId'").Id
   New-MgServicePrincipalAppRoleAssignment `
   -ServicePrincipalId $clientId `
   -PrincipalId $clientId `
   -ResourceId (Get-MgServicePrincipal -Filter "AppId eq '$appId'").Id `
   -AppRoleId "00000000-0000-0000-0000-000000000000"
   

5. Az erőforrásalkalmazás hozzárendelésének megkövetelése csak a kifejezetten hozzárendelt felhasználókhoz vagy szolgáltatásokhoz való hozzáférés korlátozásához.

   Update-MgServicePrincipal -ServicePrincipalId (Get-MgServicePrincipal -Filter "AppId eq '$appId'").Id -AppRoleAssignmentRequired:$true
   

   Megjegyzés:

   Ha nem szeretné, hogy jogkivonatok legyenek kibocsátva egy alkalmazáshoz, vagy ha meg szeretné akadályozni, hogy egy alkalmazáshoz a bérlő felhasználói vagy szolgáltatásai hozzáférjenek, hozzon létre egy egyszerű szolgáltatást az alkalmazáshoz, és tiltsa le a felhasználói bejelentkezést .

További információ

A szerepkörökről és a biztonsági csoportokról a következő témakörben talál további információt:

• Útmutató: Alkalmazásszerepkörök hozzáadása az alkalmazásban
• Biztonsági csoportok és alkalmazásszerepkörök használata az alkalmazásokban (videó)
• Microsoft Entra alkalmazás manifesztje