Restringir um aplicativo Microsoft Entra a um conjunto de usuários

Os aplicativos registrados em um locatário do Microsoft Entra estão, por padrão, disponíveis para todos os usuários do locatário que se autenticarem com êxito. Para restringir seu aplicativo a um conjunto de usuários, você pode configurá-lo para exigir atribuição de usuário. Os usuários e serviços que tentam acessar o aplicativo ou serviços precisam ser atribuídos ao aplicativo, ou eles não poderão entrar ou obter um token de acesso.

Da mesma forma, em um aplicativo multilocatário , todos os usuários no locatário do Microsoft Entra onde o aplicativo é provisionado podem acessar o aplicativo depois de se autenticarem com êxito em seu respetivo locatário.

Os administradores e desenvolvedores de locatários geralmente têm requisitos em que um aplicativo deve ser restrito a um determinado conjunto de usuários ou aplicativos (serviços). Há duas maneiras de restringir um aplicativo a um determinado conjunto de usuários, aplicativos ou grupos de segurança:

Pré-requisitos

Configurações de aplicativos suportadas

A opção de restringir um aplicativo a um conjunto específico de usuários, aplicativos ou grupos de segurança em um locatário funciona com os seguintes tipos de aplicativos:

  • Aplicativos configurados para logon único federado com autenticação baseada em SAML.
  • Aplicativos de proxy de aplicativo que usam a pré-autenticação do Microsoft Entra.
  • Aplicativos criados diretamente na plataforma de aplicativos Microsoft Entra que usam a autenticação OAuth 2.0/OpenID Connect depois que um usuário ou administrador consentiu com esse aplicativo.

Atualizar o aplicativo para exigir atribuição de usuário

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

Para atualizar um aplicativo para exigir atribuição de usuário, você deve ser proprietário do aplicativo em Aplicativos corporativos ou ser, pelo menos, um administrador de aplicativos na nuvem.

  1. Inicie sessão no centro de administração do Microsoft Entra.
  2. Se você tiver acesso a vários locatários, use o filtro Diretórios + assinaturas no menu superior para alternar para o locatário que contém o registro do aplicativo no menu Diretórios + assinaturas.
  3. Navegue até Aplicativos de identidade>>Aplicativos corporativos e selecione Todos os aplicativos.
  4. Selecione o aplicativo que você deseja configurar para exigir atribuição. Use os filtros na parte superior da janela para procurar um aplicativo específico.
  5. Na página Visão geral do aplicativo, em Gerenciar, selecione Propriedades.
  6. Localize a configuração Atribuição necessária? e defina-a como Sim.
  7. Selecione Salvar na barra superior.

Quando um aplicativo requer atribuição, o consentimento do usuário para esse aplicativo não é permitido. Isto aplica-se mesmo que o consentimento do utilizador seja permitido. Confirme que concede consentimento administrativo a todos os inquilinos para as aplicações que exigem atribuição.

Atribuir o aplicativo a usuários e grupos para restringir o acesso

Depois de configurar seu aplicativo para habilitar a atribuição de usuário, você pode ir em frente e atribuir o aplicativo a usuários e grupos.

  1. Em Gerir, selecione os Utilizadores e grupos e, em seguida, selecione Adicionar utilizador/grupo.
  2. Em Usuários, selecione Nenhum Selecionado e o painel seletor Usuários será aberto, onde você poderá selecionar vários usuários e grupos.
  3. Quando terminar de adicionar os usuários e grupos, selecione Selecionar.
    1. (Opcional) Se você tiver definido funções de aplicativo em seu aplicativo, poderá usar a opção Selecionar função para atribuir a função de aplicativo aos usuários e grupos selecionados.
  4. Selecione Atribuir para concluir as atribuições do aplicativo para os usuários e grupos.
  5. Ao retornar à página Usuários e grupos , os usuários e grupos recém-adicionados aparecem na lista atualizada.

Restringir o acesso a um aplicativo (recurso) atribuindo outros serviços (aplicativos cliente)

Siga as etapas nesta seção para proteger o acesso de autenticação de aplicativo para aplicativo para seu locatário.

  1. Navegue até Logs de entrada da Entidade de Serviço em seu locatário para encontrar serviços de autenticação para acessar recursos em seu locatário.

  2. Verifique usando a ID do aplicativo se existe uma entidade de serviço para aplicativos de recurso e cliente em seu locatário que você deseja gerenciar o acesso.

    Get-MgServicePrincipal `
    -Filter "AppId eq '$appId'"
    
  3. Crie uma entidade de serviço usando a ID do aplicativo, se ela não existir:

    New-MgServicePrincipal `
    -AppId $appId
    
  4. Atribua explicitamente aplicativos cliente a aplicativos de recursos (essa funcionalidade está disponível somente na API e não no centro de administração do Microsoft Entra):

    $clientAppId = “[guid]”
                   $clientId = (Get-MgServicePrincipal -Filter "AppId eq '$clientAppId'").Id
    New-MgServicePrincipalAppRoleAssignment `
    -ServicePrincipalId $clientId `
    -PrincipalId $clientId `
    -ResourceId (Get-MgServicePrincipal -Filter "AppId eq '$appId'").Id `
    -AppRoleId "00000000-0000-0000-0000-000000000000"
    
  5. Exigir atribuição para o aplicativo de recurso para restringir o acesso apenas aos usuários ou serviços atribuídos explicitamente.

    Update-MgServicePrincipal -ServicePrincipalId (Get-MgServicePrincipal -Filter "AppId eq '$appId'").Id -AppRoleAssignmentRequired:$true
    

Nota

Se você não quiser que tokens sejam emitidos para um aplicativo ou se quiser impedir que um aplicativo seja acessado por usuários ou serviços em seu locatário, crie uma entidade de serviço para o aplicativo e desabilite o login do usuário para ele.

Consulte também

Para obter mais informações sobre funções e grupos de segurança, consulte: