Compartir a través de

Restricción de una aplicación Microsoft Entra a un conjunto de usuarios

Las aplicaciones registradas en un inquilino de Microsoft Entra están disponibles de forma predeterminada para todos los usuarios del inquilino que se autentican correctamente. Para restringir la aplicación a un conjunto de usuarios, puede configurar la aplicación para requerir la asignación de usuarios. Los usuarios y servicios que intentan acceder a la aplicación o los servicios primero se deben asignar para esta aplicación, o no podrán iniciar sesión ni obtener un token de acceso.

Del mismo modo, en una aplicación multiinquilino , todos los usuarios del inquilino de Microsoft Entra donde se aprovisiona la aplicación pueden acceder a la aplicación una vez que se autentiquen correctamente en su inquilino respectivo.

Los desarrolladores y administradores de inquilinos tienen con frecuencia el requisito de restringir una aplicación a un determinado conjunto de usuarios o aplicaciones (servicios). Hay dos maneras de restringir una aplicación a un determinado conjunto de usuarios, aplicaciones o grupos de seguridad:

Requisitos previos

Configuraciones de aplicación admitidas

La opción para restringir una aplicación a un conjunto específico de usuarios, aplicaciones o a los grupos de seguridad de un inquilino funciona con los siguientes tipos de aplicaciones:

  • Aplicaciones configuradas para el inicio de sesión único federado con autenticación basada en SAML.
  • Aplicaciones de Application Proxy que usan la autenticación previa de Microsoft Entra.
  • Aplicaciones integradas directamente en la plataforma de aplicaciones de Microsoft Entra que usan Autenticación OAuth 2.0/OpenID Connect después de que un usuario o administrador haya dado su consentimiento a esa aplicación.

Actualización de la aplicación para permitir la asignación de usuarios

Para actualizar una aplicación para requerir la asignación de usuarios, debe ser propietario de la aplicación en Aplicaciones empresariales o ser al menos un administrador de aplicaciones en la nube.

  1. Inicie sesión en el Centro de administración de Microsoft Entra.
  2. Si tiene acceso a varios inquilinos, use el filtro Directorios y suscripciones en el menú superior para cambiar al inquilino que contiene el registro de la aplicación desde el menú Directorios y suscripciones.
  3. Vaya a Entra ID>Aplicaciones empresariales y, a continuación, seleccione Todas las aplicaciones.
  4. Selecciona la aplicación que quieras configurar para exigir la asignación. Utiliza los filtros de la parte superior de la ventana para buscar una aplicación específica.
  5. En la página Información general de la aplicación, en Administrar, seleccione Propiedades.
  6. Busque la configuración Asignación necesaria y establézcala en .
  7. Seleccione Guardar en la barra superior.

Cuando en una aplicación se necesita la asignación, no se permite el consentimiento del usuario para esa aplicación. Esto es así incluso si los usuarios hubieran dado su consentimiento para esa aplicación. Asegúrese de conceder el consentimiento del administrador a nivel de inquilino para las aplicaciones que requieren asignación.

Asignar la aplicación a usuarios y grupos para restringir el acceso

Una vez que hayas configurado la aplicación para permitir la asignación de usuarios, puedes continuar y asignar usuarios y grupos a la aplicación.

  1. En Administrar, seleccione Usuarios y grupos y , a continuación, seleccione Agregar usuario o grupo.
  2. En Usuarios, seleccione Ninguno seleccionado y se abrirá el panel Selector usuarios , donde puede seleccionar varios usuarios y grupos.
  3. Una vez que haya terminado de agregar los usuarios y grupos, seleccione Seleccionar.
    1. (Opcional) Si ha definido roles de aplicación en la aplicación, puede usar la opción Seleccionar rol para asignar el rol de aplicación a los usuarios y grupos seleccionados.
  4. Seleccione Asignar para completar las asignaciones de la aplicación a los usuarios y grupos.
  5. Al volver a la página Usuarios y grupos , los usuarios y grupos recién agregados aparecen en la lista actualizada.

Restringir el acceso a una aplicación (recurso) mediante la asignación de otros servicios (aplicaciones cliente)

Sigue los pasos de esta sección para proteger el acceso de autenticación de aplicación a aplicación para tu inquilino.

  1. Ve a los registros de inicio de sesión de la entidad de servicio en el inquilino para buscar servicios que se autentican para acceder a los recursos del inquilino.

  2. Comprueba el uso del identificador de aplicación si existe una entidad de servicio para las aplicaciones de recursos y cliente en el inquilino que deseas administrar.

    Get-MgServicePrincipal `
-Filter "AppId eq '$appId'"

  3. Crea una entidad de servicio mediante el identificador de aplicación, si no existe:

    New-MgServicePrincipal `
-AppId $appId

  4. Asigna explícitamente aplicaciones cliente a aplicaciones de recursos (esta funcionalidad solo está disponible en la API y no en el centro de administración de Microsoft Entra):

    $clientAppId = “[guid]”
               $clientId = (Get-MgServicePrincipal -Filter "AppId eq '$clientAppId'").Id
New-MgServicePrincipalAppRoleAssignment `
-ServicePrincipalId $clientId `
-PrincipalId $clientId `
-ResourceId (Get-MgServicePrincipal -Filter "AppId eq '$appId'").Id `
-AppRoleId "00000000-0000-0000-0000-000000000000"

  5. Requerir asignación para que la aplicación de recursos restrinja el acceso solo a los usuarios o servicios asignados explícitamente.

    Update-MgServicePrincipal -ServicePrincipalId (Get-MgServicePrincipal -Filter "AppId eq '$appId'").Id -AppRoleAssignmentRequired:$true

Nota:

Si no quiere que se emita tokens para una aplicación o si desea impedir que usuarios o servicios de su inquilino accedan a una aplicación, cree una entidad de servicio para la aplicación y deshabilite el inicio de sesión del usuario para ella.

Consulte también

Para más información sobre los roles y los grupos de seguridad, consulte: