Поделиться через

Ограничить приложение Microsoft Entra набором пользователей

  • Статья

Приложения, зарегистрированные в клиенте Microsoft Entra, по умолчанию доступны всем пользователям клиента, прошедшим проверку подлинности. Чтобы ограничить приложение набором пользователей, можно настроить приложение, чтобы требовать назначения пользователей. Пользователям и службам, пытающимся получить доступ к приложению или службам, необходимо назначить приложению, или они не смогут войти или получить маркер доступа.

Аналогичным образом, в мультитенантном приложении все пользователи в клиенте Microsoft Entra, где приложение подготовлено, могут получить доступ к приложению после успешной проверки подлинности в соответствующем клиенте.

Администраторы клиентов и разработчики часто имеют требования, когда приложение должно быть ограничено определенным набором пользователей или приложений (служб). Существует два способа ограничить приложение определенным набором пользователей, приложений или групп безопасности:

Необходимые компоненты

  • Учетная запись пользователя Microsoft Entra. Если у вас еще нет учетной записи, создайте бесплатную учетную запись.
  • Приложение, зарегистрированное в клиенте Microsoft Entra
  • Вы должны быть владельцем приложения или быть по крайней мере администратором облачных приложений в клиенте.

Поддерживаемые конфигурации приложения

Возможность ограничить приложение определенным набором пользователей, приложений или групп безопасности в клиенте работает со следующими типами приложений:

  • Приложения, настроенные для федеративного единого входа с проверкой подлинности на основе SAML.
  • Приложения-прокси приложения, использующие предварительную проверку подлинности Microsoft Entra.
  • Приложения, созданные непосредственно на платформе приложений Microsoft Entra, которые используют проверку подлинности OAuth 2.0/OpenID Connect после согласия пользователя или администратора на это приложение.

Обновление приложения для требования назначения пользователя

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Чтобы обновить приложение, требующее назначения пользователей, необходимо быть владельцем приложения в корпоративных приложениях или быть по крайней мере администратором облачных приложений.

  1. Войдите в центр администрирования Microsoft Entra.
  2. Если у вас есть доступ к нескольким клиентам, используйте фильтр каталогов и подписок в верхнем меню, чтобы переключиться на клиент, содержащий регистрацию приложения из меню каталогов и подписок.
  3. Перейдите к приложениям Identity>Application>Enterprise, а затем выберите "Все приложения".
  4. Выберите приложение, для которого нужно настроить требование назначения. Используйте фильтры в верхней части окна, чтобы найти конкретное приложение.
  5. На странице обзора приложения в разделе Управление выберите Свойства.
  6. Найдите необходимый параметр назначения? И задайте для него значение "Да".
  7. Нажмите кнопку Сохранить на верхней панели.

Если приложению требуется назначение, согласие пользователей для этого приложения не предусмотрено. Это справедливо, даже если в противном случае согласие пользователей для него было бы разрешено. Не забудьте предоставить согласие администратора на уровне клиента приложениям, которым требуется назначение.

Назначение приложения пользователям и группам для ограничения доступа

После того как вы настроили приложение для включения назначения пользователя, вы можете продолжить и назначить приложение пользователям и группам.

  1. В разделе "Управление" выберите "Пользователи" и "Группы ", а затем выберите " Добавить пользователя или группу".
  2. В разделе "Пользователи" выберите "Не выбрано" и откроется область выбора "Пользователи", где можно выбрать несколько пользователей и групп.
  3. После добавления пользователей и групп нажмите кнопку "Выбрать".
    1. (Необязательно) Если в приложении определены роли приложения, можно использовать параметр Выбор роли, чтобы назначить роль приложения выбранным пользователям и группам.
  4. Выберите Назначить, чтобы завершить назначения приложения пользователям и группам.
  5. При возвращении на страницу "Пользователи и группы " добавленные пользователи и группы отображаются в обновленном списке.

Ограничение доступа к приложению (ресурсу) путем назначения других служб (клиентских приложений)

Выполните действия, описанные в этом разделе, чтобы защитить доступ к проверке подлинности приложений для клиента.

  1. Перейдите к журналам входа субъекта-службы в клиенте, чтобы найти службы проверки подлинности для доступа к ресурсам в клиенте.

  2. Проверьте использование идентификатора приложения, если субъект-служба существует как для ресурсов, так и для клиентских приложений в клиенте, которым требуется управлять доступом.

    Get-MgServicePrincipal `
-Filter "AppId eq '$appId'"

  3. Создайте субъект-службу с помощью идентификатора приложения, если он не существует:

    New-MgServicePrincipal `
-AppId $appId

  4. Явным образом назначьте клиентские приложения приложениям ресурсов (эта функция доступна только в API, а не в Центре администрирования Microsoft Entra):

    $clientAppId = “[guid]”
               $clientId = (Get-MgServicePrincipal -Filter "AppId eq '$clientAppId'").Id
New-MgServicePrincipalAppRoleAssignment `
-ServicePrincipalId $clientId `
-PrincipalId $clientId `
-ResourceId (Get-MgServicePrincipal -Filter "AppId eq '$appId'").Id `
-AppRoleId "00000000-0000-0000-0000-000000000000"

  5. Требовать назначения приложению ресурсов, чтобы ограничить доступ только явным образом назначенным пользователям или службам.

    Update-MgServicePrincipal -ServicePrincipalId (Get-MgServicePrincipal -Filter "AppId eq '$appId'").Id -AppRoleAssignmentRequired:$true

Примечание.

Если вы не хотите, чтобы маркеры были выданы для приложения или если вы хотите заблокировать доступ к приложению пользователям или службам в клиенте, создайте субъект-службу для приложения и отключите для него вход пользователя.

См. также

Дополнительные сведения о ролях и группах безопасности см. в следующих статьях: