Microsoft Entra uygulamasını bir kullanıcı kümesiyle kısıtlama

  • Makale

Microsoft Entra kiracısına kayıtlı uygulamalar, kiracının başarıyla kimlik doğrulaması yapan tüm kullanıcıları tarafından varsayılan olarak kullanılabilir. Uygulamanızı bir kullanıcı kümesiyle kısıtlamak için, uygulamanızı kullanıcı ataması gerektirecek şekilde yapılandırabilirsiniz. Uygulamaya veya hizmetlere erişmeye çalışan kullanıcıların ve hizmetlerin uygulamaya atanmaları gerekir, aksi durumda oturum açamaz veya erişim belirteci alamazlar.

Benzer şekilde, çok kiracılı bir uygulamada, uygulamanın sağlandığı Microsoft Entra kiracısında yer alan tüm kullanıcılar, ilgili kiracılarında başarıyla kimlik doğrulaması yaptıktan sonra uygulamaya erişebilir.

Kiracı yöneticilerinin ve geliştiricilerin genellikle bir uygulamanın belirli bir kullanıcı veya uygulama kümesiyle (hizmetler) kısıtlanması gereken gereksinimleri vardır. Bir uygulamayı belirli bir kullanıcı, uygulama veya güvenlik grubu kümesiyle kısıtlamanın iki yolu vardır:

  • Geliştiriciler Azure rol tabanlı erişim denetimi (Azure RBAC) gibi popüler yetkilendirme desenlerini kullanabilir.
  • Kiracı yöneticileri ve geliştiriciler Microsoft Entra Id'nin yerleşik özelliğini kullanabilir.

Önkoşullar

Desteklenen uygulama yapılandırmaları

Bir uygulamayı kiracıdaki belirli bir kullanıcı, uygulama veya güvenlik grubu kümesiyle kısıtlama seçeneği aşağıdaki uygulama türleriyle çalışır:

  • SAML tabanlı kimlik doğrulaması ile federasyon çoklu oturum açma için yapılandırılmış uygulamalar.
  • Microsoft Entra ön kimlik doğrulamasını kullanan uygulama ara sunucusu uygulamaları.
  • Bir kullanıcı veya yönetici bu uygulamaya onay verdikten sonra OAuth 2.0/OpenID Connect kimlik doğrulamasını kullanan doğrudan Microsoft Entra uygulama platformunda oluşturulan uygulamalar.

Uygulamayı kullanıcı ataması gerektirecek şekilde güncelleştirme

İpucu

Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.

Bir uygulamayı kullanıcı ataması gerektirecek şekilde güncelleştirmek için, Kurumsal uygulamalar'ın altında uygulamanın sahibi olmanız veya en azından Bulut Uygulaması Yöneticisi olmanız gerekir.

  1. Microsoft Entra yönetim merkezinde oturum açın.
  2. Birden çok kiracıya erişiminiz varsa, Dizinler + abonelikler menüsünden uygulama kaydını içeren kiracıya geçmek için üst menüdeki Dizinler + abonelikler filtresini kullanın.
  3. Kimlik>Uygulamaları>Kurumsal uygulamaları'na göz atın ve ardından Tüm uygulamalar'ı seçin.
  4. Atama gerektirecek şekilde yapılandırmak istediğiniz uygulamayı seçin. Belirli bir uygulamayı aramak için pencerenin üst kısmındaki filtreleri kullanın.
  5. Uygulamanın Genel Bakış sayfasındaki Yönet'in altında Özellikler'i seçin.
  6. Atama gerekli mi? ayarını bulun ve Evet olarak ayarlayın.
  7. Üst çubukta Kaydet'i seçin.

Bir uygulama atama gerektirdiğinde, bu uygulama için kullanıcı onayına izin verilmez. Bu, kullanıcıların söz konusu uygulama için onay vermelerine izin verildiğinde de geçerlidir. Atama gerektiren uygulamalara kiracı genelinde yönetici onayı verdiğinizden emin olun.

Erişimi kısıtlamak için uygulamayı kullanıcılara ve gruplara atama

Uygulamanızı kullanıcı atamasını etkinleştirecek şekilde yapılandırdıktan sonra uygulamayı kullanıcılara ve gruplara atayabilirsiniz.

  1. Yönet'in altında Kullanıcılar ve gruplar'ı ve ardından Kullanıcı/grup ekle'yi seçin.
  2. Kullanıcılar'ın altında Seçili Yok'a tıklayın ve birden çok kullanıcı ve grup seçebileceğiniz Kullanıcılar seçici bölmesi açılır.
  3. Kullanıcıları ve grupları eklemeyi tamamladıktan sonra Seç'i seçin.
    1. (İsteğe bağlı) Uygulamanızda uygulama rolleri tanımladıysanız, seçilen kullanıcılara ve gruplara uygulama rolünü atamak için Rol seç seçeneğini kullanabilirsiniz.
  4. Uygulamanın kullanıcılara ve gruplara atamalarını tamamlamak için Ata'yı seçin.
  5. Kullanıcılar ve gruplar sayfasına geri döndüğünüzde, yeni eklenen kullanıcılar ve gruplar güncelleştirilmiş listede görünür.

Diğer hizmetleri (istemci uygulamaları) atayarak uygulamaya (kaynak) erişimi kısıtlama

Kiracınız için uygulamadan uygulamaya kimlik doğrulaması erişiminin güvenliğini sağlamak için bu bölümdeki adımları izleyin.

  1. Kiracınızdaki kaynaklara erişmek için kimlik doğrulaması yapılan hizmetleri bulmak için kiracınızdaki Hizmet Sorumlusu oturum açma günlüklerine gidin.

  2. Kiracınızda erişimi yönetmek istediğiniz hem kaynak hem de istemci uygulamaları için hizmet sorumlusu olup olmadığını kontrol edin.

    Get-MgServicePrincipal `
-Filter "AppId eq '$appId'"

  3. Yoksa uygulama kimliğini kullanarak bir Hizmet Sorumlusu oluşturun:

    New-MgServicePrincipal `
-AppId $appId

  4. İstemci uygulamalarını kaynak uygulamalarına açıkça atayın (bu işlev microsoft Entra yönetim merkezinde değil yalnızca API'de kullanılabilir):

    $clientAppId = “[guid]”
               $clientId = (Get-MgServicePrincipal -Filter "AppId eq '$clientAppId'").Id
New-MgServicePrincipalAppRoleAssignment `
-ServicePrincipalId $clientId `
-PrincipalId $clientId `
-ResourceId (Get-MgServicePrincipal -Filter "AppId eq '$appId'").Id `
-AppRoleId "00000000-0000-0000-0000-000000000000"

  5. Yalnızca açıkça atanan kullanıcı veya hizmetlere erişimi kısıtlamak için kaynak uygulaması için atama gerektir.

    Update-MgServicePrincipal -ServicePrincipalId (Get-MgServicePrincipal -Filter "AppId eq '$appId'").Id -AppRoleAssignmentRequired:$true

Not

Bir uygulama için belirteçlerin verilmesini istemiyorsanız veya bir uygulamanın kiracınızdaki kullanıcılar veya hizmetler tarafından erişmesini engellemek istiyorsanız, uygulama için bir hizmet sorumlusu oluşturun ve uygulama için kullanıcı oturum açmayı devre dışı bırakın.

Ayrıca bkz.

Roller ve güvenlik grupları hakkında daha fazla bilgi için bkz: