Freigeben über

Tutorial: Verwalten von Anwendungszugriff und Sicherheit

  • Artikel

Der IT-Administrator bei Fabrikam hat eine Anwendung aus dem Microsoft Entra-Anwendungskatalog hinzugefügt und konfiguriert. Er muss nun die Funktionen kennen, die zum Verwalten des Zugriffs auf die Anwendung verfügbar sind, und sicherstellen, dass die Anwendung sicher ist. Anhand der Informationen in diesem Tutorial lernen Administratoren Folgendes:

  • Erteilen der Zustimmung für die Anwendung im Namen aller Benutzer
  • Aktivieren der Multi-Faktor-Authentifizierung, um die Anmeldung sicherer zu machen
  • Kommunizieren eines Nutzungsbegriffs für Benutzer der Anwendung
  • Erstellen einer Sammlung im „Meine Apps“-Portal

Voraussetzungen

  • Ein Azure-Konto mit einem aktiven Abonnement. Sie können kostenlos ein Konto erstellen.
  • Eine der folgenden Rollen: Administrator für privilegierte Rollen, Cloudanwendungsadministrator oder Anwendungsadministrator.
  • Eine Unternehmensanwendung, die in Ihrem Microsoft Entra-Mandanten konfiguriert wurde.
  • Mindestens ein Benutzerkonto wurde der Anwendung hinzugefügt und zugewiesen. Weitere Informationen finden Sie unter Schnellstart: Erstellen und Zuweisen eines Benutzerkontos.

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

Die Anwendung, die der Administrator dem Mandanten hinzugefügt hat, soll so eingerichtet werden, dass alle Benutzer in der Organisation sie verwenden können und nicht einzeln die Zustimmung zur Verwendung anfordern müssen. Damit keine Benutzereinwilligung erforderlich ist, kann er die Einwilligung für die Anwendung für alle Benutzer in der Organisation erteilen. Weitere Informationen finden Sie unter Übersicht über Einwilligung und Berechtigungen.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
  2. Browsen Sie zu Identität>Anwendungen>Unternehmensanwendungen.
  3. Wählen Sie die Anwendung aus, der Sie eine mandantenweite Administratoreinwilligung erteilen möchten.
  4. Wählen Sie unter Sicherheit die Option Berechtigungen aus.
  5. Überprüfen Sie sorgfältig die Berechtigungen, die die Anwendung anfordert. Erteilen Sie die Administratoreinwilligung, wenn Sie mit den angeforderten Berechtigungen der Anwendung einverstanden sind.

Erstellen der Richtlinie für bedingten Zugriff

Der Administrator möchte sicherstellen, dass sich nur die Personen, die er der Anwendung zuweist, sicher anmelden können. Hierzu kann er eine Richtlinie für bedingten Zugriff für eine Gruppe von Benutzern konfigurieren, die die Multi-Faktor-Authentifizierung erzwingt. Weitere Informationen finden Sie unter Was ist bedingter Zugriff?.

Erstellen einer Gruppe

Es ist für einen Administrator einfacher, den Zugriff auf die Anwendung zu verwalten, indem er alle Benutzer der Anwendung einer Gruppe zuweist. Der Administrator kann dann den Zugriff auf Gruppenebene verwalten.

  1. Wählen Sie im linken Menü der Mandantenübersicht Gruppen>Alle Gruppen aus.
  2. Wählen Sie im oberen Bereich die Option Neue Gruppe aus.
  3. Geben Sie MFA-Test-Group als Namen der Gruppe ein.
  4. Wählen Sie „Keine Mitglieder ausgewählt“ und dann das Benutzerkonto aus, das Sie der Anwendung zugewiesen haben.
  5. Klicken Sie auf Erstellen.

Erstellen einer Richtlinie für bedingten Zugriff für die Gruppe

  1. Wählen Sie im linken Menü der Mandantenübersicht Schutz aus.
  2. Wählen Sie Bedingter Zugriff, + Neue Richtlinie und dann Neue Richtlinie erstellen aus.
  3. Geben Sie einen Namen für die Richtlinie ein (beispielsweise MFA Pilot).
  4. Wählen Sie unter Zuweisungen die Option Benutzer- oder Workloadidentitäten aus.
  5. Wählen Sie auf der Registerkarte EinschließenBenutzer und Gruppen auswählen und dann Benutzer und Gruppen aus.
  6. Suchen Sie nach der MFA-Test-Group, die Sie zuvor erstellt haben, wählen Sie sie aus, und wählen Sie dann Auswählen aus.
  7. Wählen Sie noch nicht Erstellen aus. Sie fügen der Richtlinie im nächsten Abschnitt MFA hinzu.

Konfigurieren der mehrstufigen Authentifizierung

In diesem Tutorial kann der Administrator die grundlegenden Schritte zum Konfigurieren der Anwendung finden, aber er sollte vor dem Start einen Plan für MFA erstellen. Weitere Informationen finden Sie unter Planen einer Bereitstellung von Microsoft Entra-Multi-Faktor-Authentifizierung.

  1. Wählen Sie unter Cloud-Apps oder Aktionen die Option Keine Cloud-Apps, Aktionen oder Authentifizierungskontexte ausgewählt aus. Wählen Sie für dieses Tutorial auf der Registerkarte Einschließen die Option Ressourcen auswählen aus.
  2. Suchen Sie nach Ihrer Anwendung, wählen Sie sie aus, und wählen Sie dann Auswählen aus.
  3. Wählen Sie unter Zugriffssteuerungen und Erteilen die Option 0 Steuerelemente ausgewählt aus.
  4. Aktivieren Sie das Kontrollkästchen Multi-Faktor-Authentifizierung erforderlich, und wählen Sie anschließend Auswählen aus.
  5. Legen Sie Richtlinie aktivieren auf Ein fest.
  6. Wählen Sie Erstellen aus, um die Richtlinie für bedingten Zugriff anzuwenden.

Testen der Multi-Faktor-Authentifizierung

  1. Öffnen Sie ein neues Browserfenster im InPrivate- oder Inkognitomodus, und navigieren Sie zur URL der Anwendung.
  2. Melden Sie sich mit dem Benutzerkonto an, das Sie der Anwendung zugewiesen haben. Sie müssen sich für die Multi-Faktor-Authentifizierung in Microsoft Entra registrieren und diese verwenden. Befolgen Sie die angezeigten Anweisungen, um den Prozess abzuschließen und zu verifizieren, dass Sie sich beim Microsoft Entra Admin Center anmelden können.
  3. Schließen Sie das Browserfenster.

Erstellen einer Nutzungsbedingungenanweisung

Juan möchte sicherstellen, dass bestimmte Geschäftsbedingungen den Benutzern bekannt sind, bevor sie mit der Verwendung der Anwendung beginnen. Weitere Informationen finden Sie unter Nutzungsbedingungen von Microsoft Entra.

  1. Erstellen Sie in Microsoft Word ein neues Dokument.
  2. Geben Sie „Meine Nutzungsbedingungen“ ein, und speichern Sie das Dokument unter mytou.pdf auf Ihrem Computer.
  3. Wählen Sie unter Verwalten im Menü Bedingter Zugriff die Option Nutzungsbedingungen aus.
  4. Wählen Sie im obersten Menü die Option + Neue Bedingungen.
  5. Geben Sie im Textfeld Name den Text Meine Nutzungsbedingungen ein.
  6. Geben Sie im Textfeld Anzeigename den Text Meine Nutzungsbedingungen ein.
  7. Laden Sie Ihre Nutzungsbedingungen als PDF-Datei hoch.
  8. Wählen Sie unter Sprache die Option Englisch aus.
  9. Wählen Sie für Benutzer müssen die Nutzungsbedingungen erweitern die Option Ein aus.
  10. Wählen Sie für Mit Richtlinienvorlagen für bedingten Zugriff erzwingen die Option Benutzerdefinierte Richtlinie aus.
  11. Klicken Sie auf Erstellen.

Hinzufügen der Nutzungsbedingungen zur Richtlinie

  1. Wählen Sie im linken Menü der Mandantenübersicht Schutz aus.
  2. Wählen Sie Bedingter Zugriff und dann Richtlinien aus. Wählen Sie in der Liste der Richtlinien die Richtlinie MFA-Pilot aus.
  3. Wählen Sie unter Zugriffssteuerungen und Erteilen den Link „Steuerelemente ausgewählt“ aus.
  4. Wählen Sie Meine Nutzungsbedingungen aus.
  5. Wählen Sie Alle ausgewählten Kontrollen anfordern und dann Ausgewählt aus.
  6. Wählen Sie Speichern aus.

Erstellen einer Sammlung im „Meine Apps“-Portal

Mit dem „Meine Apps“-Portal können Administratoren und Benutzer die in der Organisation verwendeten Anwendungen verwalten. Weitere Informationen finden Sie unter Endbenutzererfahrungen für Anwendungen.

Hinweis

Anwendungen werden erst dann im Portal „Meine Apps“ eines Benutzers angezeigt, nachdem der Benutzer der Anwendung zugewiesen wurde und die Anwendung so konfiguriert ist, dass sie für Benutzer sichtbar ist. Unter Konfigurieren von Eigenschaften einer Unternehmensanwendung erfahren Sie, wie Sie die Anwendung für Benutzer sichtbar machen.

Standardmäßig werden alle Anwendungen auf einer einzelnen Seite aufgelistet. Sie können jedoch mithilfe von Auflistungen verwandte Anwendungen gruppieren und sie auf einer separaten Registerkarte präsentieren, damit sie leichter zu finden sind. So können Sie mit Auflistungen beispielsweise logische Gruppierungen von Anwendungen für bestimmte Positionen, Aufgaben, Projekte usw. erstellen. In diesem Abschnitt erstellen Sie eine Sammlung und weisen sie Benutzern und Gruppen zu.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
  2. Browsen Sie zu Identität>Anwendungen>Unternehmensanwendungen.
  3. Wählen Sie unter Verwalten die Optionen App-Startprogamme>Sammlungen aus.
  4. Wählen Sie Neue Sammlung aus. Geben Sie auf der Seite „Neue Sammlung“ einen Namen für die Sammlung ein (Sie sollten nicht „Sammlung“ im Namen verwenden). Geben Sie dann eine Beschreibung ein.
  5. Wählen Sie die Registerkarte Anwendungen aus. Wählen Sie + Anwendung hinzufügen und dann auf der Seite Anwendungen hinzufügen alle Anwendungen aus, die Sie der Sammlung hinzufügen möchten, oder verwenden Sie das Feld Suchen, um nach Anwendungen zu suchen.
  6. Wenn Sie das Hinzufügen von Anwendungen beendet haben, wählen Sie Hinzufügen aus. Die Liste der ausgewählten Anwendungen wird angezeigt. Mithilfe der Pfeile können Sie die Reihenfolge der Anwendungen in der Liste ändern.
  7. Wählen Sie die Registerkarte Besitzer aus. Wählen Sie + Benutzer und Gruppen hinzufügen aus, und wählen Sie dann auf der Seite Benutzer und Gruppen hinzufügen die Benutzer oder Gruppen aus, denen Sie den Besitz zuweisen möchten. Wenn Sie mit der Auswahl der Benutzer und Gruppen fertig sind, wählen Sie Auswählen aus.
  8. Wählen Sie die Registerkarte Benutzer und Gruppen. Wählen Sie + Benutzer und Gruppen hinzufügen aus, und wählen Sie dann auf der Seite Benutzer und Gruppen hinzufügen die Benutzer oder Gruppen aus, denen Sie die Sammlung zuweisen möchten. Oder verwenden Sie das Feld Suchen, um nach Benutzern oder Gruppen zu suchen. Wenn Sie mit der Auswahl der Benutzer und Gruppen fertig sind, wählen Sie Auswählen aus.
  9. Klicken Sie auf Review + Create (Überprüfen und erstellen) und dann auf Create (Erstellen). Die Eigenschaften für die neue Sammlung werden angezeigt.

Überprüfen der Sammlung im Portal „Meine Apps“

  1. Öffnen Sie ein neues Browserfenster im InPrivate- oder Inkognitomodus, und navigieren Sie zum Portal Meine Apps.
  2. Melden Sie sich mit dem Benutzerkonto an, das Sie der Anwendung zugewiesen haben.
  3. Überprüfen Sie, ob die erstellte Sammlung im Portal „Meine Apps“ angezeigt wird.
  4. Schließen Sie das Browserfenster.

Bereinigen von Ressourcen

Sie können die Ressourcen für die zukünftige Verwendung beibehalten. Wenn Sie die in diesem Tutorial erstellten Ressourcen nicht mehr verwenden möchten, löschen Sie sie mit den folgenden Schritten.

Löschen der Anwendung

  1. Wählen Sie im Menü auf der linken Seite die Option Unternehmensanwendungen aus. Der Bereich Alle Anwendungen wird geöffnet und zeigt eine Liste der Anwendungen in Ihrem Microsoft Entra-Mandanten an. Suchen Sie nach der Anwendung, die Sie löschen möchten, und wählen Sie diese aus.
  2. Wählen Sie im Menü auf der linken Seite im Abschnitt Verwalten die Option Eigenschaften aus.
  3. Wählen Sie zunächst oben im Bereich Eigenschaften die Option Löschen und dann Ja aus, um zu bestätigen, dass die Anwendung aus Ihrem Microsoft Entra-Mandanten gelöscht werden soll.

Löschen der Richtlinie für bedingten Zugriff

  1. Wählen Sie Unternehmensanwendungen.
  2. Wählen Sie unter Schutz die Option Bedingter Zugriff aus.
  3. Suchen Sie nach MFA Pilot, und wählen Sie diese Option aus.
  4. Wählen Sie am oberen Rand des Bereichs die Option Löschen aus.

Die Gruppe löschen.

  1. Wählen Sie Identität>Gruppen aus.
  2. Suchen Sie auf der Seite Alle Gruppen nach der Gruppe MFA-Test-Group, und wählen Sie sie aus.
  3. Wählen Sie auf der Übersichtsseite die Option Löschen aus.

Nächste Schritte

Informationen dazu, wie Sie sicherstellen können, dass Ihre Anwendung fehlerfrei ist und ordnungsgemäß verwendet wird, finden Sie unter:

Steuern und Überwachen Ihrer Anwendung