Ограничение приложения Microsoft Entra до определенной группы пользователей в клиенте Microsoft Entra

  • Статья

Приложения, зарегистрированные в клиенте Microsoft Entra, по умолчанию доступны всем пользователям клиента, прошедшим проверку подлинности.

Аналогичным образом, в мультитенантном приложении все пользователи в клиенте Microsoft Entra, где приложение подготовлено, могут получить доступ к приложению после успешной проверки подлинности в соответствующем клиенте.

Администраторы клиентов и разработчики часто имеют требования, когда приложение должно быть ограничено определенным набором пользователей или приложений (служб). Существует два способа ограничить приложение определенным набором пользователей, приложений или групп безопасности:

Поддерживаемые конфигурации приложения

Возможность ограничить приложение определенным набором пользователей, приложений или групп безопасности в клиенте работает со следующими типами приложений:

  • Приложения, настроенные для федеративного единого входа с проверкой подлинности на основе SAML.
  • Приложения-прокси приложения, использующие предварительную проверку подлинности Microsoft Entra.
  • Приложения, созданные непосредственно на платформе приложений Microsoft Entra, которые используют проверку подлинности OAuth 2.0/OpenID Подключение после того, как пользователь или администратор согласились на это приложение.

Обновление приложения для требования назначения пользователя

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Чтобы обновить приложение, требующее назначения пользователей, необходимо быть владельцем приложения в корпоративных приложениях или быть по крайней мере облачным приложением Администратор istrator.

  1. Войдите в центр администрирования Microsoft Entra.
  2. Если у вас есть доступ к нескольким клиентам, используйте фильтр каталогов и подписок в верхнем меню, чтобы переключиться на клиент, содержащий регистрацию приложения из меню каталогов и подписок.
  3. Перейдите к приложениям Identity>Application>Enterprise, а затем выберите "Все приложения".
  4. Выберите приложение, для которого нужно настроить требование назначения. Используйте фильтры в верхней части окна, чтобы найти конкретное приложение.
  5. На странице обзора приложения в разделе Управление выберите Свойства.
  6. Найдите необходимый параметр назначения? И задайте для него значение "Да". Если для этого параметра задано значение Да, пользователи и службы, которые пытаются получить доступ к приложению или службам, сначала должны быть назначены этому приложению, иначе они не смогут входить в него или получить маркер доступа.
  7. Нажмите кнопку Сохранить на верхней панели.

Если приложению требуется назначение, согласие пользователей для этого приложения не предусмотрено. Это справедливо, даже если в противном случае согласие пользователей для него было бы разрешено. Не забудьте предоставить согласие администратора на уровне клиента приложениям, которым требуется назначение.

Назначение приложения пользователям и группам для ограничения доступа

После того как вы настроили приложение для включения назначения пользователя, вы можете продолжить и назначить приложение пользователям и группам.

  1. В разделе "Управление" выберите "Пользователи" и "Группы ", а затем выберите " Добавить пользователя или группу".

  2. Выберите селектор Пользователи.

    Список пользователей и групп безопасности отображается вместе с текстовым полем для поиска и поиска определенного пользователя или группы. На этом экране можно выбрать сразу несколько пользователей и групп.

  3. После выбора пользователей и групп нажмите Выбрать.

  4. (Необязательно) Если в приложении определены роли приложения, можно использовать параметр Выбор роли, чтобы назначить роль приложения выбранным пользователям и группам.

  5. Выберите Назначить, чтобы завершить назначения приложения пользователям и группам.

  6. Убедитесь, что добавленные пользователи и группы отображаются в обновленном списке Пользователи и группы.

Ограничение доступа к приложению (ресурсу) путем назначения других служб (клиентских приложений)

Выполните действия, описанные в этом разделе, чтобы защитить доступ к проверке подлинности приложений для клиента.

  1. Перейдите к журналам входа субъекта-службы в клиенте, чтобы найти службы проверки подлинности для доступа к ресурсам в клиенте.
  2. Проверьте использование идентификатора приложения, если субъект-служба существует как для ресурсов, так и для клиентских приложений в клиенте, которым требуется управлять доступом. 
    Get-MgServicePrincipal `
-Filter "AppId eq '$appId'"
  3. Создайте субъект-службу с помощью идентификатора приложения, если он не существует: 
    New-MgServicePrincipal `
-AppId $appId
  4. Явным образом назначьте клиентские приложения приложениям ресурсов (эта функция доступна только в API, а не в Центре администрирования Microsoft Entra): 
    $clientAppId = “[guid]”
               $clientId = (Get-MgServicePrincipal -Filter "AppId eq '$clientAppId'").Id
New-MgServicePrincipalAppRoleAssignment `
-ServicePrincipalId $clientId `
-PrincipalId $clientId `
-ResourceId (Get-MgServicePrincipal -Filter "AppId eq '$appId'").Id `
-AppRoleId "00000000-0000-0000-0000-000000000000"
  5. Требовать назначения приложению ресурсов, чтобы ограничить доступ только явным образом назначенным пользователям или службам. 
    Update-MgServicePrincipal -ServicePrincipalId (Get-MgServicePrincipal -Filter "AppId eq '$appId'").Id -AppRoleAssignmentRequired:$true

    Примечание.

    Если вы не хотите, чтобы маркеры были выданы для приложения или если вы хотите заблокировать доступ к приложению пользователям или службам в клиенте, создайте субъект-службу для приложения и отключите для него вход пользователя.

Дополнительные сведения

Дополнительные сведения о ролях и группах безопасности см. в следующих статьях: