Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Приложения, зарегистрированные в клиенте Microsoft Entra, по умолчанию доступны всем пользователям клиента, прошедшим проверку подлинности. Чтобы ограничить приложение набором пользователей, можно настроить приложение для требования назначения пользователей. Пользователям и службам, пытающимся получить доступ к приложению или службам, необходимо назначить приложению, или они не смогут войти или получить маркер доступа.
Аналогичным образом, в мультитенантном приложении все пользователи в клиенте Microsoft Entra, где приложение подготовлено, могут получить доступ к приложению после успешной проверки подлинности в соответствующем клиенте.
Администраторы клиентов и разработчики часто имеют требования, когда приложение должно быть ограничено определенным набором пользователей или приложений (служб). Существует два способа ограничить приложение определенным набором пользователей, приложений или групп безопасности:
- Разработчики могут использовать популярные шаблоны авторизации, такие как Управление доступом на основе ролей в Azure (Azure RBAC).
- Администраторы клиентов и разработчики могут использовать встроенную функцию идентификатора Microsoft Entra.
Необходимые компоненты
- Учетная запись пользователя Microsoft Entra. Если у вас еще нет учетной записи, создайте бесплатную учетную запись.
- Приложение, зарегистрированное в клиенте Microsoft Entra
- Вы должны быть владельцем приложения или быть по крайней мере администратором облачных приложений в клиенте.
Поддерживаемые конфигурации приложения
Возможность ограничить приложение определенным набором пользователей, приложений или групп безопасности в клиенте работает со следующими типами приложений:
- Приложения, настроенные для федеративного единого входа с проверкой подлинности на основе SAML.
- Приложения-прокси приложения, использующие предварительную проверку подлинности Microsoft Entra.
- Приложения, созданные непосредственно на платформе приложений Microsoft Entra, которые используют проверку подлинности OAuth 2.0/OpenID Connect после согласия пользователя или администратора на это приложение.
Обновление приложения для требования назначения пользователя
Чтобы обновить приложение, требующее назначения пользователей, необходимо быть владельцем приложения в корпоративных приложениях или быть по крайней мере администратором облачных приложений.
- Войдите в центр администрирования Microsoft Entra.
- Если у вас есть доступ к нескольким клиентам, используйте
фильтр каталогов и подписок в верхнем меню, чтобы переключиться на клиент, содержащий регистрацию приложения из меню каталогов и подписок. - Перейдите к Entra ID>корпоративные приложения, а затем выберите Все приложения.
- Выберите приложение, для которого нужно настроить требование назначения. Используйте фильтры в верхней части окна, чтобы найти конкретное приложение.
- На странице обзора приложения в разделе Управление выберите Свойства.
- Найдите необходимый параметр назначения? И задайте для него значение "Да".
- Нажмите кнопку Сохранить на верхней панели.
Если приложению требуется назначение, согласие пользователей для этого приложения не предусмотрено. Это справедливо, даже если в противном случае согласие пользователей для него было бы разрешено. Не забудьте предоставить согласие администратора на уровне клиента приложениям, которым требуется назначение.
Примечание.
Если пользователь является глобальным администратором, требование назначения пользователей не будет применимо. Глобальный администратор — это высоко привилегированная роль, которая позволяет получить доступ ко всем административным функциям в идентификаторе Microsoft Entra и повысить их доступ для управления всеми подписками и группами управления Azure.
Назначение приложения пользователям и группам для ограничения доступа
После того как вы настроили приложение для включения назначения пользователя, вы можете продолжить и назначить приложение пользователям и группам.
- В разделе "Управление" выберите "Пользователи" и "Группы ", а затем выберите " Добавить пользователя или группу".
- В разделе "Пользователи" выберите "Не выбрано" и откроется область выбора "Пользователи", где можно выбрать несколько пользователей и групп.
- После добавления пользователей и групп нажмите кнопку "Выбрать".
- (Необязательно) Если в приложении определены роли приложения, можно использовать параметр Выбор роли, чтобы назначить роль приложения выбранным пользователям и группам.
- Выберите Назначить, чтобы завершить назначения приложения пользователям и группам.
- При возвращении на страницу "Пользователи и группы " добавленные пользователи и группы отображаются в обновленном списке.
Ограничение доступа к приложению (ресурсу) путем назначения других служб (клиентских приложений)
Выполните действия, описанные в этом разделе, чтобы защитить доступ к проверке подлинности приложений для клиента.
Перейдите к журналам входа субъекта-службы в клиенте, чтобы найти службы проверки подлинности для доступа к ресурсам в клиенте.
Проверьте использование идентификатора приложения, если субъект-служба существует как для ресурсов, так и для клиентских приложений в клиенте, которым требуется управлять доступом.
Get-MgServicePrincipal ` -Filter "AppId eq '$appId'"Создайте субъект-службу с помощью идентификатора приложения, если он не существует:
New-MgServicePrincipal ` -AppId $appIdЯвным образом назначьте клиентские приложения приложениям ресурсов (эта функция доступна только в API, а не в Центре администрирования Microsoft Entra):
$clientAppId = “[guid]” $clientId = (Get-MgServicePrincipal -Filter "AppId eq '$clientAppId'").Id New-MgServicePrincipalAppRoleAssignment ` -ServicePrincipalId $clientId ` -PrincipalId $clientId ` -ResourceId (Get-MgServicePrincipal -Filter "AppId eq '$appId'").Id ` -AppRoleId "00000000-0000-0000-0000-000000000000"Требовать назначения приложению ресурсов, чтобы ограничить доступ только явным образом назначенным пользователям или службам.
Update-MgServicePrincipal -ServicePrincipalId (Get-MgServicePrincipal -Filter "AppId eq '$appId'").Id -AppRoleAssignmentRequired:$true
Примечание.
Если вы не хотите, чтобы маркеры были выданы для приложения или если вы хотите заблокировать доступ к приложению пользователям или службам в клиенте, создайте субъект-службу для приложения и отключите для него вход пользователя.
См. также
Дополнительные сведения о ролях и группах безопасности см. в следующих статьях:
- Практическое руководство. Добавление ролей в приложение
- August 9: Using application roles and security groups in your apps (Video) (9 августа. Использование ролей приложения и групп безопасности в приложениях (видео))
- Манифест приложения Microsoft Entra