Restringir o aplicativo Microsoft Entra a um conjunto de usuários

Os aplicativos registrados em um locatário do Microsoft Entra estão, por padrão, disponíveis para todos os usuários do locatário que se autenticar com sucesso. Para restringir seu aplicativo a um conjunto de usuários, você pode configurá-lo para exigir a atribuição de usuário. Os usuários e os serviços que tentarem acessar o aplicativo ou os serviços precisarão ser atribuídos a esse aplicativo ou não poderão se conectar nem obter um token de acesso.

Da mesma forma, no caso de um aplicativo multilocatário, todos os usuários no locatário do Microsoft Entra em que esse aplicativo é provisionado conseguirão acessá-lo após a autenticação bem-sucedida em seu respectivo locatário.

Os administradores e desenvolvedores de locatários geralmente têm requisitos em que um aplicativo deve ser restrito a um determinado conjunto de usuários ou aplicativos (serviços). Há duas maneiras de restringir um aplicativo a um determinado conjunto de usuários, aplicativos ou grupos de segurança:

Pré-requisitos

Configurações de aplicativo com suporte

A opção de restringir um aplicativo para um conjunto específico de usuários, aplicativos ou grupos de segurança em um locatário funciona com os seguintes tipos de aplicativos:

  • Aplicativos configurados para logon único federado com autenticação baseada em SAML.
  • Aplicativos de proxy de aplicativo que usam a pré-autenticação do Microsoft Entra.
  • Aplicativos criados na plataforma de aplicativos do Microsoft Entra que usam a autenticação OAuth 2.0/OpenID Connect depois que um usuário ou administrador autoriza o aplicativo.

Atualizar o aplicativo para exigir a atribuição de usuário

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

Para atualizar um aplicativo de modo a exigir a atribuição de usuários, você deve ser o proprietário do aplicativo em Aplicativos empresariais ou ser, pelo menos, um Administrador de Aplicativos de Nuvem.

  1. Entre no Centro de administração do Microsoft Entra.
  2. Se você tem acesso a vários locatários, use o ícone Configurações no menu superior para alternar para o locatário que contém o registro de aplicativo do menu Diretórios + assinaturas.
  3. Navegue até Identidade>Aplicativos>Aplicativos empresariais e selecione Todos os aplicativos.
  4. Escolha o aplicativo que deseja configurar para exigir a atribuição. Use os filtros na parte superior da janela para pesquisar um aplicativo específico.
  5. Na página de Visão geral do aplicativo, em Gerenciar, selecione Propriedades.
  6. Localize a configuração Atribuição obrigatória? e defina-a como Sim.
  7. Selecione Salvar na barra superior.

Quando um aplicativo exige atribuição, o consentimento do usuário não é permitido para esse aplicativo. Isso é verdadeiro mesmo que o consentimento do usuário para esse aplicativo tenha sido permitido de outra forma. Lembre-se de conceder consentimento do administrador em todo o locatário aos aplicativos que exigem atribuição.

Atribua o aplicativo a usuários e grupos para restringir o acesso

Depois de configurar seu aplicativo para habilitar a atribuição de usuários, prossiga e atribua usuários e grupos ao aplicativo.

  1. Em Gerenciar, selecione os Usuários e grupos e selecione Adicionar usuário/grupo.
  2. Em Usuários, selecione Nenhum selecionado. O painel seletor Usuários será aberto, onde você poderá selecionar vários usuários e grupos.
  3. Ao terminar a seleção de usuários e grupos, escolha Selecionar.
    1. (Opcional) Se você tiver definido funções de aplicativo no seu aplicativo, use a opção Selecionar função para atribuir a função do aplicativo aos usuários e aos grupos selecionados.
  4. Selecione Atribuir para concluir as atribuições do aplicativo aos usuários e aos grupos.
  5. Ao retornar à página Usuários e grupos, os usuários e grupos recém-adicionados aparecem na lista atualizada.

Restrinja o acesso a um aplicativo (recurso) atribuindo outros serviços (aplicativos cliente)

Siga as etapas nesta seção para proteger o acesso por autenticação de aplicativo para o aplicativo do seu locatário.

  1. Navegue até os logs de entrada da Entidade de Serviço no seu locatário para encontrar serviços de autenticação para acessar recursos no seu locatário.

  2. Verifique usando a ID do aplicativo se existir uma Entidade de Serviço para aplicativos cliente e de recursos no locatário que você deseja gerenciar o acesso.

    Get-MgServicePrincipal `
    -Filter "AppId eq '$appId'"
    
  3. Crie uma Entidade de Serviço usando a ID do aplicativo, se ela não existir:

    New-MgServicePrincipal `
    -AppId $appId
    
  4. Atribua explicitamente aplicativos cliente a aplicativos de recursos (essa funcionalidade está disponível somente na API e não no centro de administração do Micosoft Entra):

    $clientAppId = “[guid]”
                   $clientId = (Get-MgServicePrincipal -Filter "AppId eq '$clientAppId'").Id
    New-MgServicePrincipalAppRoleAssignment `
    -ServicePrincipalId $clientId `
    -PrincipalId $clientId `
    -ResourceId (Get-MgServicePrincipal -Filter "AppId eq '$appId'").Id `
    -AppRoleId "00000000-0000-0000-0000-000000000000"
    
  5. Exigir atribuição para que o aplicativo de recursos restrinja o acesso apenas aos usuários ou serviços explicitamente atribuídos.

    Update-MgServicePrincipal -ServicePrincipalId (Get-MgServicePrincipal -Filter "AppId eq '$appId'").Id -AppRoleAssignmentRequired:$true
    

Observação

Se você não quiser que os tokens sejam emitidos para um aplicativo ou se quiser impedir que um aplicativo seja acessado por usuários ou serviços no seu locatário, crie uma entidade de serviço para o aplicativo e desabilite a entrada do usuário para ele.

Confira também

Para obter mais informações sobre funções e grupos de segurança, consulte: