Restringir seu aplicativo Microsoft Entra a um conjunto de usuários em um locatário Microsoft Entra
Os aplicativos registrados em um locatário do Microsoft Entra estão, por padrão, disponíveis para todos os usuários do locatário que se autenticar com sucesso.
Da mesma forma, no caso de um aplicativo multilocatário, todos os usuários no locatário do Microsoft Entra em que esse aplicativo é provisionado conseguirão acessá-lo após a autenticação bem-sucedida em seu respectivo locatário.
Os administradores e desenvolvedores de locatários geralmente têm requisitos em que um aplicativo deve ser restrito a um determinado conjunto de usuários ou aplicativos (serviços). Há duas maneiras de restringir um aplicativo a um determinado conjunto de usuários, aplicativos ou grupos de segurança:
- Os desenvolvedores podem usar padrões de autorização populares, como o Controle de acesso baseado em função do Azure (Azure RBAC).
- Os administradores de locatários e desenvolvedores podem usar o recurso integrado do Microsoft Entra ID.
Configurações de aplicativo com suporte
A opção de restringir um aplicativo para um conjunto específico de usuários, aplicativos ou grupos de segurança em um locatário funciona com os seguintes tipos de aplicativos:
- Aplicativos configurados para logon único federado com autenticação baseada em SAML.
- Aplicativos de proxy de aplicativo que usam a pré-autenticação do Microsoft Entra.
- Aplicativos criados na plataforma de aplicativos do Microsoft Entra que usam a autenticação OAuth 2.0/OpenID Connect depois que um usuário ou administrador autoriza o aplicativo.
Atualizar o aplicativo para exigir a atribuição de usuário
Dica
As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.
Para atualizar um aplicativo de modo a exigir a atribuição de usuários, você deve ser o proprietário do aplicativo em Aplicativos empresariais ou ser, pelo menos, um Administrador de Aplicativos de Nuvem.
- Entre no Centro de administração do Microsoft Entra.
- Se você tem acesso a vários locatários, use o ícone Configurações
no menu superior para alternar para o locatário que contém o registro de aplicativo do menu Diretórios + assinaturas. - Navegue até Identidade>Aplicativos>Aplicativos empresariais e selecione Todos os aplicativos.
- Escolha o aplicativo que deseja configurar para exigir a atribuição. Use os filtros na parte superior da janela para pesquisar um aplicativo específico.
- Na página de Visão geral do aplicativo, em Gerenciar, selecione Propriedades.
- Localize a configuração Atribuição obrigatória? e defina-a como Sim. Quando essa opção estiver definida como Sim, os usuários e os serviços que tentarem acessar o aplicativo ou os serviços primeiro precisarão ser atribuídos a esse aplicativo ou não poderão se conectar nem obter um token de acesso.
- Selecione Salvar na barra superior.
Quando um aplicativo exige atribuição, o consentimento do usuário não é permitido para esse aplicativo. Isso é verdadeiro mesmo que o consentimento do usuário para esse aplicativo tenha sido permitido de outra forma. Lembre-se de conceder consentimento do administrador em todo o locatário aos aplicativos que exigem atribuição.
Atribua o aplicativo a usuários e grupos para restringir o acesso
Depois de configurar seu aplicativo para habilitar a atribuição de usuários, prossiga e atribua usuários e grupos ao aplicativo.
Em Gerenciar, selecione os Usuários e grupos e selecione Adicionar usuário/grupo.
Selecione o seletor Usuários.
Uma lista de usuários e grupos de segurança é mostrada junto com uma caixa de texto para pesquisar e localizar um determinado usuário ou grupo. Esta tela permite que você escolha vários usuários e grupos de uma só vez.
Ao terminar a seleção de usuários e grupos, escolha Selecionar.
(Opcional) Se você tiver definido funções de aplicativo no seu aplicativo, use a opção Selecionar função para atribuir a função do aplicativo aos usuários e aos grupos selecionados.
Selecione Atribuir para concluir as atribuições do aplicativo aos usuários e aos grupos.
Confirme que os usuários e grupos que você adicionou estão aparecendo na lista atualizada de Usuários e grupos.
Restrinja o acesso a um aplicativo (recurso) atribuindo outros serviços (aplicativos cliente)
Siga as etapas nesta seção para proteger o acesso por autenticação de aplicativo para o aplicativo do seu locatário.
- Navegue até os logs de entrada da Entidade de Serviço no seu locatário para encontrar serviços de autenticação para acessar recursos no seu locatário.
- Verifique usando a ID do aplicativo se existir uma Entidade de Serviço para aplicativos cliente e de recursos no locatário que você deseja gerenciar o acesso.
Get-MgServicePrincipal ` -Filter "AppId eq '$appId'" - Crie uma Entidade de Serviço usando a ID do aplicativo, se ela não existir:
New-MgServicePrincipal ` -AppId $appId - Atribuir explicitamente aplicativos cliente a aplicativos de recursos (essa funcionalidade está disponível apenas na API e não no Centro de administração do Microsoft Entra):
$clientAppId = “[guid]” $clientId = (Get-MgServicePrincipal -Filter "AppId eq '$clientAppId'").Id New-MgServicePrincipalAppRoleAssignment ` -ServicePrincipalId $clientId ` -PrincipalId $clientId ` -ResourceId (Get-MgServicePrincipal -Filter "AppId eq '$appId'").Id ` -AppRoleId "00000000-0000-0000-0000-000000000000" - Exigir atribuição para que o aplicativo de recursos restrinja o acesso apenas aos usuários ou serviços explicitamente atribuídos.
Update-MgServicePrincipal -ServicePrincipalId (Get-MgServicePrincipal -Filter "AppId eq '$appId'").Id -AppRoleAssignmentRequired:$trueObservação
Se você não quiser que os tokens sejam emitidos para um aplicativo ou se quiser impedir que um aplicativo seja acessado por usuários ou serviços no seu locatário, crie uma entidade de serviço para o aplicativo e desabilite a entrada do usuário para ele.
Mais informações
Para obter mais informações sobre funções e grupos de segurança, consulte: