Hantera användartilldelning för en app i Azure Active DirectoryManage user assignment for an app in Azure Active Directory

Den här artikeln visar hur du tilldelar användare och grupper till företagsprogram i Azure Active Directory (Azure AD), antingen från Azure Portal eller med hjälp av PowerShell.This article shows you how to assign users, and groups, to enterprise applications in Azure Active Directory (Azure AD), either from within the Azure portal or by using PowerShell. När du tilldelar en användare till ett program visas programmet i användarens Mina appar för enkel åtkomst.When you assign a user to an application, the application appears in the user's My Apps for easy access. Om programmet exponerar roller kan du även tilldela en viss roll till användaren.If the application exposes roles, you can also assign a specific role to the user.

För större kontroll kan vissa typer av företagsprogram konfigureras för att kräva användartilldelning.For greater control, certain types of enterprise applications can be configured to require user assignment.

Viktigt

När du tilldelar en grupp till ett program har endast användare i gruppen åtkomst.When you assign a group to an application, only users in the group will have access. Tilldelningen överlappar inte till kapslade grupper.The assignment does not cascade to nested groups.

Anteckning

Gruppbaserad tilldelning kräver en Azure Active Directory Premium P1- eller P2-version.Group-based assignment requires Azure Active Directory Premium P1 or P2 edition. Gruppbaserad tilldelning stöds endast för säkerhetsgrupper.Group-based assignment is supported for Security groups only. Kapslade gruppmedlemskap Microsoft 365 grupper stöds inte för närvarande.Nested group memberships and Microsoft 365 groups are not currently supported. Fler licensieringskrav för de funktioner som beskrivs i den här artikeln finns Azure Active Directory sidan med priser.For more licensing requirements for the features discussed in this article, see the Azure Active Directory pricing page.

Konfigurera ett program för att kräva användartilldelningConfigure an application to require user assignment

Med följande typer av program kan du välja att kräva att användare tilldelas till programmet innan de kan komma åt det:With the following types of applications, you have the option of requiring users to be assigned to the application before they can access it:

  • Program som konfigurerats för federerad enkel inloggning (SSO) med SAML-baserad autentiseringApplications configured for federated single sign-on (SSO) with SAML-based authentication
  • Programproxy program som använder Azure Active Directory förautentiseringApplication Proxy applications that use Azure Active Directory Pre-Authentication
  • Program som bygger på Azure AD-programplattformen som använder OAuth 2.0/OpenID Connect-autentisering när en användare eller administratör har samtyckt till programmet.Applications built on the Azure AD application platform that use OAuth 2.0 / OpenID Connect Authentication after a user or admin has consented to that application.

När användartilldelning krävs kan endast de användare som du uttryckligen tilldelar till programmet (antingen via direkt användartilldelning eller baserat på gruppmedlemskap) logga in.When user assignment is required, only those users you explicitly assign to the application (either through direct user assignment or based on group membership) will be able to sign in. De kan komma åt appen på Mina appar eller via en direktlänk.They can access the app on their My Apps page or by using a direct link.

När tilldelning inte krävs, antingen eftersom du har angett det här alternativet till Nej eller eftersom programmet använder ett annat SSO-läge, kan alla användare komma åt programmet om de har en direktlänk till programmet eller URL:en för användaråtkomst på programmets egenskapssida.When assignment is not required, either because you've set this option to No or because the application uses another SSO mode, any user will be able to access the application if they have a direct link to the application or the User Access URL in the application’s Properties page.

Den här inställningen påverkar inte om ett program visas på Mina appar.This setting doesn't affect whether or not an application appears on My Apps. Program visas på användarnas Mina appar åtkomstpaneler när du har tilldelat en användare eller grupp till programmet.Applications appear on users' My Apps access panels once you've assigned a user or group to the application. Bakgrundsinformation finns i Hantera åtkomst till appar.For background, see Managing access to apps.

Så här kräver du användartilldelning för ett program:To require user assignment for an application:

  1. Logga in på Azure Portal med ett administratörskonto eller som ägare till programmet.Sign in to the Azure portal with an administrator account or as an owner of the application.
  2. Välj Azure Active Directory.Select Azure Active Directory. I den vänstra navigeringsmenyn väljer du Företagsprogram.In the left navigation menu, select Enterprise applications.
  3. Välj programmet i listan.Select the application from the list. Om du inte ser programmet börjar du skriva dess namn i sökrutan.If you don't see the application, start typing its name in the search box. Du kan också använda filterkontrollerna för att välja programtyp, status eller synlighet och sedan välja Tillämpa.Or use the filter controls to select the application type, status, or visibility, and then select Apply.
  4. I den vänstra navigeringsmenyn väljer du Egenskaper.In the left navigation menu, select Properties.
  5. Kontrollera att växlingsknappen Användartilldelning krävs? är inställd på Ja.Make sure the User assignment required? toggle is set to Yes.

    Anteckning

    Om växlingsknappen Användartilldelning krävs? inte är tillgänglig kan du använda PowerShell för att ange egenskapen appRoleAssignmentRequired för tjänstens huvudnamn.If the User assignment required? toggle isn't available, you can use PowerShell to set the appRoleAssignmentRequired property on the service principal.

  6. Välj knappen Spara överst på skärmen.Select the Save button at the top of the screen.

Tilldela eller ta bort tilldelning av användare och grupper för en app med hjälp av Azure PortalAssign or unassign users, and groups, for an app using the Azure portal

Information om hur du tilldelar eller tar bort tilldelning av en användare eller grupp med hjälp av Azure Portal finns i Snabbstartsserie om programhantering.To learn how to assign, or unassign, a user or group using the Azure portal, see the Quickstart Series on Application Management.

Tilldela eller ta bort tilldelning av användare och grupper för en app med hjälp av Graph APIAssign or unassign users, and groups, for an app using the Graph API

Du kan använda Graph API för att tilldela eller ta bort tilldelning av användare och grupper för en app.You can use the Graph API to assign or unassign users, and groups, for an app. Mer information finns i Approlltilldelningar.To learn more, see App role assignments.

Tilldela användare och grupper till en app med hjälp av PowerShellAssign users, and groups, to an app using PowerShell

  1. Öppna en upphöjd Windows PowerShell kommandotolk.Open an elevated Windows PowerShell command prompt.

    Anteckning

    Du måste installera AzureAD-modulen (använd kommandot Install-Module -Name AzureAD ).You need to install the AzureAD module (use the command Install-Module -Name AzureAD). Om du uppmanas att installera en NuGet-modul eller den nya Azure Active Directory V2 PowerShell-modulen skriver du Y och trycker på RETUR.If prompted to install a NuGet module or the new Azure Active Directory V2 PowerShell module, type Y and press ENTER.

  2. Kör Connect-AzureAD och logga in med ett globalt administratörsanvändarkonto.Run Connect-AzureAD and sign in with a Global Admin user account.

  3. Använd följande skript för att tilldela en användare och roll till ett program:Use the following script to assign a user and role to an application:

    # Assign the values to the variables
    $username = "<Your user's UPN>"
    $app_name = "<Your App's display name>"
    $app_role_name = "<App role display name>"
    
    # Get the user to assign, and the service principal for the app to assign to
    $user = Get-AzureADUser -ObjectId "$username"
    $sp = Get-AzureADServicePrincipal -Filter "displayName eq '$app_name'"
    $appRole = $sp.AppRoles | Where-Object { $_.DisplayName -eq $app_role_name }
    
    # Assign the user to the app role
    New-AzureADUserAppRoleAssignment -ObjectId $user.ObjectId -PrincipalId $user.ObjectId -ResourceId $sp.ObjectId -Id $appRole.Id
    

Mer information om hur du tilldelar en användare till en programroll finns i dokumentationen för New-AzureADUserAppRoleAssignment.For more information about how to assign a user to an application role, see the documentation for New-AzureADUserAppRoleAssignment.

Om du vill tilldela en grupp till en företagsapp måste du Get-AzureADUser ersätta med och med Get-AzureADGroup New-AzureADUserAppRoleAssignment New-AzureADGroupAppRoleAssignment .To assign a group to an enterprise app, you must replace Get-AzureADUser with Get-AzureADGroup and replace New-AzureADUserAppRoleAssignment with New-AzureADGroupAppRoleAssignment.

Mer information om hur du tilldelar en grupp till en programroll finns i dokumentationen för New-AzureADGroupAppRoleAssignment.For more information about how to assign a group to an application role, see the documentation for New-AzureADGroupAppRoleAssignment.

ExempelExample

I det här exemplet tilldelas användaren Britta Simon till Microsoft Workplace Analytics-programmet med hjälp av PowerShell.This example assigns the user Britta Simon to the Microsoft Workplace Analytics application using PowerShell.

  1. I PowerShell tilldelar du motsvarande värden till variablerna $username, $app_name och $app_role_name.In PowerShell, assign the corresponding values to the variables $username, $app_name and $app_role_name.

    # Assign the values to the variables
    $username = "britta.simon@contoso.com"
    $app_name = "Workplace Analytics"
    
  2. I det här exemplet vet vi inte vad som är det exakta namnet på den programroll som vi vill tilldela till Britta Simon.In this example, we don't know what is the exact name of the application role we want to assign to Britta Simon. Kör följande kommandon för att hämta användaren ($user) och tjänstens huvudnamn ($sp) med hjälp av användarens UPN och visningsnamnen för tjänstens huvudnamn.Run the following commands to get the user ($user) and the service principal ($sp) using the user UPN and the service principal display names.

    # Get the user to assign, and the service principal for the app to assign to
    $user = Get-AzureADUser -ObjectId "$username"
    $sp = Get-AzureADServicePrincipal -Filter "displayName eq '$app_name'"
    
  3. Kör kommandot för $sp.AppRoles att visa de roller som är tillgängliga för Workplace Analytics-programmet.Run the command $sp.AppRoles to display the roles available for the Workplace Analytics application. I det här exemplet vill vi tilldela Britta Simon rollen Analytiker (begränsad åtkomst).In this example, we want to assign Britta Simon the Analyst (Limited access) Role. Visar de roller som är tillgängliga för en användare som använder workplace analytics-rollenShows the roles available to a user using Workplace Analytics Role

  4. Tilldela rollnamnet till $app_role_name variabeln .Assign the role name to the $app_role_name variable.

    # Assign the values to the variables
    $app_role_name = "Analyst (Limited access)"
    $appRole = $sp.AppRoles | Where-Object { $_.DisplayName -eq $app_role_name }
    
  5. Kör följande kommando för att tilldela användaren till approllen:Run the following command to assign the user to the app role:

    # Assign the user to the app role
    New-AzureADUserAppRoleAssignment -ObjectId $user.ObjectId -PrincipalId $user.ObjectId -ResourceId $sp.ObjectId -Id $appRole.Id
    

Ta bort tilldelning av användare och grupper från en app med hjälp av PowerShellUnassign users, and groups, from an app using PowerShell

  1. Öppna en upphöjd Windows PowerShell kommandotolk.Open an elevated Windows PowerShell command prompt.

    Anteckning

    Du måste installera AzureAD-modulen (använd kommandot Install-Module -Name AzureAD ).You need to install the AzureAD module (use the command Install-Module -Name AzureAD). Om du uppmanas att installera en NuGet-modul eller den nya Azure Active Directory V2 PowerShell-modulen skriver du Y och trycker på RETUR.If prompted to install a NuGet module or the new Azure Active Directory V2 PowerShell module, type Y and press ENTER.

  2. Kör Connect-AzureAD och logga in med ett globalt administratörsanvändarkonto.Run Connect-AzureAD and sign in with a Global Admin user account.

  3. Använd följande skript för att ta bort en användare och roll från ett program:Use the following script to remove a user and role from an application:

    # Store the proper parameters
    $user = get-azureaduser -ObjectId <objectId>
    $spo = Get-AzureADServicePrincipal -ObjectId <objectId>
    
    #Get the ID of role assignment 
    $assignments = Get-AzureADServiceAppRoleAssignment -ObjectId $spo.ObjectId | Where {$_.PrincipalDisplayName -eq $user.DisplayName}
    
    #if you run the following, it will show you what is assigned what
    $assignments | Select *
    
    #To remove the App role assignment run the following command.
    Remove-AzureADServiceAppRoleAssignment -ObjectId $spo.ObjectId -AppRoleAssignmentId $assignments[assignment #].ObjectId
    

Nästa stegNext steps