Limitare un'app Microsoft Entra a un set di utenti

  • Articolo

Per impostazione predefinita, le applicazioni registrate in un tenant di Microsoft Entra sono disponibili per tutti gli utenti del tenant che eseguono correttamente l'autenticazione. Per limitare l'applicazione a un set di utenti, è possibile configurare l'applicazione per richiedere l'assegnazione dell'utente. Gli utenti e i servizi che tentano di accedere all'applicazione o ai servizi devono essere assegnati all'applicazione oppure non potranno accedere o ottenere un token di accesso.

Analogamente, in un'applicazione multi-tenant , tutti gli utenti nel tenant di Microsoft Entra in cui viene effettuato il provisioning dell'applicazione possono accedere all'applicazione dopo l'autenticazione nel rispettivo tenant.

Gli sviluppatori e gli amministratori di tenant devono spesso soddisfare l'esigenza di limitare un'applicazione a un determinato set di utenti o app (servizi). Esistono due modi per limitare un'applicazione a un determinato set di utenti, app o gruppi di sicurezza:

Prerequisiti

Configurazioni di app supportate

La possibilità di limitare un'app a un set specifico di utenti, app o gruppi di sicurezza in un tenant può essere adottata con i tipi di applicazione seguenti:

  • Applicazioni configurate per l'accesso Single Sign-On federato con autenticazione basata su SAML.
  • Applicazioni Application Proxy che usano la preautenticazione di Microsoft Entra.
  • Applicazioni create direttamente sulla piattaforma applicativa Microsoft Entra che usano l'autenticazione OAuth 2.0/OpenID Connect dopo che un utente o un amministratore ha fornito il consenso per tale applicazione.

Aggiornare l'app per richiedere l'assegnazione degli utenti

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale di partenza.

Per aggiornare un'applicazione per richiedere l'assegnazione dell'utente, è necessario essere proprietari dell'applicazione in App aziendali o essere almeno un Amministratore applicazione cloud.

  1. Accedi all'Interfaccia di amministrazione di Microsoft Entra.
  2. Se si ha accesso a più tenant, usare il filtro Directory e sottoscrizioni nel menu in alto per passare al tenant contenente la registrazione dell’app dal menu Directory e sottoscrizioni.
  3. Passare a Identità>Applicazioni>Applicazioni aziendali, quindi selezionare Tutte le applicazioni.
  4. Selezionare l'applicazione per cui si vuole configurare la richiesta dell’assegnazione. Usare i filtri nella parte superiore della finestra per cercare un'applicazione specifica.
  5. Nella pagina Panoramica dell'applicazione, in Gestisci, selezionare Proprietà.
  6. Trovare l'impostazione Assegnazione obbligatoria e impostarla su .
  7. Selezionare Salva nella barra superiore.

Quando un'applicazione richiede l'assegnazione, il consenso utente per tale applicazione non è consentito. Questo vale anche se il consenso utente per tale app sarebbe stato altrimenti consentito. Assicurarsi di concedere il consenso amministratore a livello di tenant alle app che richiedono l'assegnazione.

Assegnare l'app a utenti e gruppi per limitare l'accesso

Dopo aver configurato l'app per abilitare l'assegnazione degli utenti, è possibile ora assegnare l'app agli utenti e ai gruppi desiderati.

  1. In Gestisci selezionare Utenti e gruppi, quindi selezionare Aggiungi utenti/gruppi.
  2. In Utenti selezionare Nessuno selezionato e si apre il riquadro Selettore Utenti, in cui è possibile selezionare più utenti e gruppi.
  3. Al termine dell'aggiunta di utenti e gruppi, selezionare Seleziona.
    1. (Facoltativo) Se nell'applicazione sono stati definiti ruoli dell'app, è possibile usare l'opzione Seleziona ruolo per assegnare il ruolo dell'app agli utenti e ai gruppi selezionati.
  4. Selezionare Assegna per completare le assegnazioni dell'app a utenti e gruppi.
  5. Tornare alla pagina Utenti e gruppi , gli utenti e i gruppi appena aggiunti vengono visualizzati nell'elenco aggiornato.

Limitare l'accesso a un'app (risorsa) assegnando altri servizi (app client)

Seguire i passaggi descritti in questa sezione per proteggere l'accesso all'autenticazione da app a app per il tenant.

  1. Passare ai log di accesso dell'entità servizio nel tenant per trovare i servizi che eseguono l'autenticazione per accedere alle risorse nel tenant.

  2. Controllare l'uso dell'ID app se esiste un'entità servizio per le app sia per le risorse che per le app client nel tenant a cui si vuole gestire l'accesso.

    Get-MgServicePrincipal `
-Filter "AppId eq '$appId'"

  3. Creare un'entità servizio usando l'ID app, se non esiste:

    New-MgServicePrincipal `
-AppId $appId

  4. Assegnare in modo esplicito le app client alle app per le risorse (questa funzionalità è disponibile solo nell'API e non nell'interfaccia di amministrazione di Microsoft Entra):

    $clientAppId = “[guid]”
               $clientId = (Get-MgServicePrincipal -Filter "AppId eq '$clientAppId'").Id
New-MgServicePrincipalAppRoleAssignment `
-ServicePrincipalId $clientId `
-PrincipalId $clientId `
-ResourceId (Get-MgServicePrincipal -Filter "AppId eq '$appId'").Id `
-AppRoleId "00000000-0000-0000-0000-000000000000"

  5. Richiedere l'assegnazione per l'applicazione di risorse per limitare l'accesso solo agli utenti o ai servizi assegnati in modo esplicito.

    Update-MgServicePrincipal -ServicePrincipalId (Get-MgServicePrincipal -Filter "AppId eq '$appId'").Id -AppRoleAssignmentRequired:$true

Nota

Se non si vuole che i token vengano rilasciati per un'applicazione o se si vuole impedire l'accesso a un'applicazione da parte di utenti o servizi nel tenant, creare un'entità servizio per l'applicazione e disabilitare l'accesso utente.

Vedi anche

Per altre informazioni sui ruoli e sui gruppi di sicurezza, vedere: