A Microsoft Entra-alkalmazás korlátozása egy Microsoft Entra-bérleményben lévő felhasználók számára
A Microsoft Entra-bérlőben regisztrált alkalmazások alapértelmezés szerint a sikeres hitelesítést végző bérlő összes felhasználója számára elérhetők.
Hasonlóképpen, egy több-bérlős alkalmazásban a Microsoft Entra-bérlő azon felhasználói, ahol az alkalmazás ki van építve, hozzáférhetnek az alkalmazáshoz, miután sikeresen hitelesítést végeztek a megfelelő bérlőjükben.
A bérlői rendszergazdák és fejlesztők gyakran rendelkeznek olyan követelményekkel, amelyek esetén az alkalmazásokat bizonyos felhasználókra vagy alkalmazásokra (szolgáltatásokra) kell korlátozni. Az alkalmazásokat kétféleképpen korlátozhatja bizonyos felhasználókra, alkalmazásokra vagy biztonsági csoportokra:
- A fejlesztők olyan népszerű engedélyezési mintákat használhatnak, mint az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC).
- A bérlői rendszergazdák és fejlesztők használhatják a Microsoft Entra ID beépített funkcióját.
Támogatott alkalmazáskonfigurációk
Az alkalmazások bérlői felhasználókra, alkalmazásokra vagy biztonsági csoportokra való korlátozásának lehetősége a következő típusú alkalmazásokkal működik:
- SamL-alapú hitelesítéssel összevont egyszeri bejelentkezéshez konfigurált alkalmazások.
- Microsoft Entra előhitelesítést használó alkalmazásproxy-alkalmazások.
- Közvetlenül az OAuth 2.0/OpenID-hitelesítést használó Microsoft Entra alkalmazásplatformra épülő alkalmazások Csatlakozás hitelesítést, miután egy felhasználó vagy rendszergazda hozzájárult az alkalmazáshoz.
Az alkalmazás frissítése felhasználói hozzárendelés megkövetelése érdekében
Tipp.
A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.
Ha frissíteni szeretne egy alkalmazást, hogy felhasználói hozzárendelést igényeljen, az alkalmazás tulajdonosának kell lennie a Nagyvállalati alkalmazások területen, vagy legalább egy felhőalapú alkalmazásnak Rendszergazda istratornak kell lennie.
- Sign in to the Microsoft Entra admin center.
- Ha több bérlőhöz van hozzáférése, a felső menü Címtárak + előfizetések szűrőjévelváltson arra a bérlőre, amely tartalmazza az alkalmazásregisztrációt a Könyvtárak + előfizetések menüből.
- Keresse meg az Identity>Applications>Enterprise-alkalmazásokat, majd válassza a Minden alkalmazás lehetőséget.
- Válassza ki azt az alkalmazást, amelyet a hozzárendelés megköveteléséhez konfigurálni szeretne. Az ablak tetején található szűrőkkel kereshet egy adott alkalmazást.
- Az alkalmazás Áttekintés lapján, a Kezelés területen válassza a Tulajdonságok lehetőséget.
- Keresse meg a szükséges hozzárendelési beállítást? és állítsa igen értékre. Ha ez a beállítás Igen értékre van állítva, az alkalmazáshoz vagy szolgáltatásokhoz hozzáférni próbáló felhasználókat és szolgáltatásokat először hozzá kell rendelni ehhez az alkalmazáshoz, vagy nem tudnak bejelentkezni vagy hozzáférési jogkivonatot beszerezni.
- Válassza a Felső sáv Mentés elemét .
Ha egy alkalmazás hozzárendelést igényel, az alkalmazás felhasználói hozzájárulása nem engedélyezett. This is true even if users consent for that app would have otherwise been allowed. Be sure to grant tenant-wide admin consent to apps that require assignment.
Az alkalmazás hozzárendelése felhasználókhoz és csoportokhoz a hozzáférés korlátozásához
Miután konfigurálta az alkalmazást a felhasználói hozzárendelés engedélyezésére, továbbléphet, és hozzárendelheti az alkalmazást a felhasználókhoz és csoportokhoz.
A Kezelés csoportban válassza a Felhasználók és csoportok, majd a Felhasználó/csoport hozzáadása lehetőséget.
Válassza ki a Felhasználók választót.
Megjelenik a felhasználók és a biztonsági csoportok listája, valamint egy szövegmező, amely egy adott felhasználó vagy csoport keresésére és megkeresésére használható. Ezen a képernyőn egyszerre több felhasználót és csoportot is kijelölhet.
Ha végzett a felhasználók és csoportok kiválasztásával, válassza a Kiválasztás lehetőséget.
(Nem kötelező) Ha alkalmazásszerepköröket definiált az alkalmazásban, a Szerepkör kiválasztása lehetőséggel hozzárendelheti az alkalmazásszerepkört a kiválasztott felhasználókhoz és csoportokhoz.
Válassza a Hozzárendelés lehetőséget az alkalmazás felhasználókhoz és csoportokhoz való hozzárendeléséhez.
Győződjön meg arról, hogy a hozzáadott felhasználók és csoportok megjelennek a frissített Felhasználók és csoportok listában.
Az alkalmazáshoz (erőforráshoz) való hozzáférés korlátozása más szolgáltatások (ügyfélalkalmazások) hozzárendelésével
Az ebben a szakaszban ismertetett lépéseket követve biztonságossá teheti a bérlő alkalmazásközi hitelesítéshez való hozzáférését.
- Lépjen a bérlő szolgáltatásnév bejelentkezési naplóira, és keresse meg a bérlő erőforrásaihoz való hozzáféréshez hitelesítő szolgáltatásokat.
- Ellenőrizze az alkalmazásazonosítót, hogy létezik-e szolgáltatásnév a bérlő azon erőforrás- és ügyfélalkalmazásai számára, amelyekhez a hozzáférést kezelni szeretné.
Get-MgServicePrincipal ` -Filter "AppId eq '$appId'"
- Szolgáltatásnév létrehozása alkalmazásazonosítóval, ha az nem létezik:
New-MgServicePrincipal ` -AppId $appId
- Ügyfélalkalmazások explicit hozzárendelése erőforrás-alkalmazásokhoz (ez a funkció csak az API-ban érhető el, a Microsoft Entra felügyeleti központban nem):
$clientAppId = “[guid]” $clientId = (Get-MgServicePrincipal -Filter "AppId eq '$clientAppId'").Id New-MgServicePrincipalAppRoleAssignment ` -ServicePrincipalId $clientId ` -PrincipalId $clientId ` -ResourceId (Get-MgServicePrincipal -Filter "AppId eq '$appId'").Id ` -AppRoleId "00000000-0000-0000-0000-000000000000"
- Az erőforrásalkalmazás hozzárendelésének megkövetelése csak a kifejezetten hozzárendelt felhasználókhoz vagy szolgáltatásokhoz való hozzáférés korlátozásához.
Update-MgServicePrincipal -ServicePrincipalId (Get-MgServicePrincipal -Filter "AppId eq '$appId'").Id -AppRoleAssignmentRequired:$true
Megjegyzés:
Ha nem szeretné, hogy jogkivonatok legyenek kibocsátva egy alkalmazáshoz, vagy ha meg szeretné akadályozni, hogy egy alkalmazáshoz a bérlő felhasználói vagy szolgáltatásai hozzáférjenek, hozzon létre egy egyszerű szolgáltatást az alkalmazáshoz, és tiltsa le a felhasználói bejelentkezést .
További információ
A szerepkörökről és a biztonsági csoportokról a következő témakörben talál további információt: