Einschränken einer Microsoft Entra-App auf eine Gruppe von Benutzenden
Anwendungen, die für einen Microsoft Entra-Mandanten registriert sind, sind standardmäßig für alle Benutzer des Mandanten verfügbar, deren Authentifizierung erfolgreich war. Um Ihre Anwendung auf eine Gruppe von Benutzenden einzuschränken, können Sie Ihre Anwendung so konfigurieren, dass eine Benutzerzuweisung erforderlich ist. Benutzende und Dienste, die auf die Anwendung oder Dienste zugreifen möchten, müssen zuerst für diese Anwendung zugewiesen werden, ansonsten können sie sich nicht anmelden oder kein Zugriffstoken erhalten.
Ebenso können in einer mehrinstanzenfähigen Anwendung alle Benutzenden im Microsoft Entra-Mandanten, in dem die Anwendung bereitgestellt wird, auf die Anwendung zugreifen, nachdem sie sich erfolgreich bei ihrem jeweiligen Mandanten authentifiziert haben.
Für Mandantenadministratoren und -entwickler ist es häufig erforderlich, dass eine Anwendung auf eine bestimmte Gruppe von Benutzern oder Apps (Dienste) beschränkt werden muss. Es gibt zwei Möglichkeiten, eine Anwendung auf eine bestimmte Gruppe von Benutzern, Apps oder Sicherheitsgruppen zu beschränken:
- Entwickler*innen können gängige Autorisierungsmuster wie die rollenbasierte Zugriffssteuerung in Azure (Azure RBAC) verwenden.
- Mandantenadministrator*innen und Entwickler*innen können das integrierte Feature von Microsoft Entra ID verwenden.
Voraussetzungen
- Ein Microsoft Entra-Benutzerkonto. Erstellen Sie ein kostenloses Konto, falls Sie noch keines besitzen.
- Eine Anwendung, die in Ihrem Microsoft Entra-Mandanten registriert ist
- Sie müssen die Besitzerin bzw. der Besitzer oder mindestens eine bzw. ein Cloudanwendungsadmin in Ihrem Mandanten sein.
Unterstützte App-Konfigurationen
Die Option zum Beschränken einer App auf eine bestimmte Gruppe von Benutzern, Apps oder Sicherheitsgruppen in einem Mandanten funktioniert für die folgenden Arten von Anwendungen:
- Anwendungen, die für die einmalige Verbundanmeldung mit SAML-basierter Authentifizierung konfiguriert sind.
- Anwendungsproxyanwendungen, die Microsoft Entra-Vorauthentifizierung verwenden.
- Anwendungen, die auf der Microsoft Entra-Anwendungsplattform bei Verwendung der OAuth 2.0/OpenID Connect-Authentifizierung erstellt werden (nachdem ein Benutzer oder Administrator seine Zustimmung für die Anwendung erteilt hat).
Aktualisieren der Anwendung, um eine Benutzerzuweisung zu erfordern
Tipp
Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.
Um eine Anwendung so zu aktualisieren, dass eine Benutzerzuweisung erforderlich ist, müssen Sie im Abschnitt „Unternehmens-Apps“ als Besitzer*in der Anwendung zugewiesen sein oder mindestens über die Rolle Cloudanwendungsadministrator verfügen.
- Melden Sie sich beim Microsoft Entra Admin Center an.
- Wenn Sie Zugriff auf mehrere Mandanten haben, verwenden Sie das Symbol
für Verzeichnisse + Abonnements im oberen Menü, um zum Mandanten zu wechseln, der die App-Registrierung aus dem Menü Verzeichnisse + Abonnements enthält. - Wechseln Sie zu Identität>Anwendungen>Unternehmensanwendungen, und wählen Sie Alle Anwendungen aus.
- Wählen Sie die Anwendung aus, die Sie so konfigurieren möchten, dass eine Zuweisung erforderlich ist. Verwenden Sie oben im Fenster die Filter, um nach einer bestimmten Anwendung zu suchen.
- Wählen Sie auf der Seite Übersicht der Anwendung unter Verwalten die Option Eigenschaften aus.
- Suchen Sie nach der Einstellung Zuweisung erforderlich?, und legen Sie diese auf Ja fest.
- Wählen Sie in der oberen Leiste Speichern aus.
Wenn eine Anwendung eine Zuweisung erfordert, ist die Benutzereinwilligung für diese Anwendung nicht zulässig. Dies gilt auch dann, wenn die Benutzereinwilligung für diese App andernfalls zugelassen worden wäre. Vergewissern Sie sich, dass Sie für Apps, die eine Zuweisung erfordern, eine mandantenweite Administratoreinwilligung erteilen.
Zuweisen der App zu Benutzern und Gruppen zum Beschränken des Zugriffs
Nachdem Sie Ihre App für die Aktivierung der Benutzerzuweisung konfiguriert haben, können Sie damit beginnen, die App Benutzern und Gruppen zuzuweisen.
- Wählen Sie unter Verwalten die Option Benutzer und Gruppen und dann Benutzer/Gruppe hinzufügen aus.
- Wählen Sie unter Benutzer die Option Keine ausgewählt aus, und der Auswahlbereich Benutzer öffnet sich, in dem Sie mehrere Benutzende und Gruppen auswählen können.
- Wenn Sie die Benutzenden und Gruppen ausgewählt haben, wählen Sie Auswählen aus.
- (Optional) Wenn Sie App-Rollen in Ihrer Anwendung definiert haben, können mit der Option Rolle auswählen die App-Rolle ausgewählten Benutzern und Gruppen zuweisen.
- Wählen Sie Zuweisen aus, um die Zuweisungen der App an Benutzer und Gruppen abzuschließen.
- Wenn Sie zur Seite Benutzende und Gruppen zurückkehren, werden die neu hinzugefügten Benutzenden und Gruppen in der aktualisierten Liste angezeigt.
Beschränken des Zugriffs auf eine App (Ressource) durch Zuweisen anderer Dienste (Client-Apps)
Führen Sie die Schritte in diesem Abschnitt aus, um den Authentifizierungszugriff zwischen Apps für Ihren Mandanten zu sichern.
Navigieren Sie zu den Protokollen für die Anmeldung über Dienstprinzipale in Ihrem Mandanten, um nach Diensten zu suchen, die sich für den Zugriff auf Ressourcen in Ihrem Mandanten authentifizieren.
Überprüfen Sie mithilfe der App-ID, ob ein Dienstprinzipal für Ressourcen- und Client-Apps in Ihrem Mandanten vorhanden ist, für die Sie den Zugriff verwalten möchten.
Get-MgServicePrincipal ` -Filter "AppId eq '$appId'"Erstellen Sie einen Dienstprinzipal mithilfe der App-ID, falls dieser nicht vorhanden ist:
New-MgServicePrincipal ` -AppId $appIdWeisen Sie Client-Apps explizit Ressourcen-Apps zu (diese Funktionalität ist nur in der API und nicht im Microsoft Entra Admin Center verfügbar):
$clientAppId = “[guid]” $clientId = (Get-MgServicePrincipal -Filter "AppId eq '$clientAppId'").Id New-MgServicePrincipalAppRoleAssignment ` -ServicePrincipalId $clientId ` -PrincipalId $clientId ` -ResourceId (Get-MgServicePrincipal -Filter "AppId eq '$appId'").Id ` -AppRoleId "00000000-0000-0000-0000-000000000000"Fordern Sie eine Zuweisung für die Ressourcenanwendung an, um den Zugriff nur auf die explizit zugewiesenen Benutzer oder Dienste zu beschränken.
Update-MgServicePrincipal -ServicePrincipalId (Get-MgServicePrincipal -Filter "AppId eq '$appId'").Id -AppRoleAssignmentRequired:$true
Hinweis
Wenn Sie nicht möchten, dass Token für eine Anwendung ausgestellt werden, oder wenn Sie verhindern möchten, dass Benutzer oder Dienste in Ihrem Mandanten auf eine Anwendung zugreifen, erstellen Sie einen Dienstprinzipal für die Anwendung, und deaktivieren Sie die Benutzeranmeldung dafür.
Siehe auch
Weitere Informationen zu Rollen und Sicherheitsgruppen finden Sie unter:
- Vorgehensweise: Hinzufügen von App-Rollen in Ihrer Anwendung
- Using Security Groups and Application Roles in your apps (Video) (Verwenden von Sicherheitsgruppen und Anwendungsrollen in Ihren Apps (Video))
- Microsoft Entra-App-Manifest