Verwalten des Zugriffs auf eine Anwendung
Die Integration einer App in das Identitätssystem Ihrer Organisation bringt Herausforderungen bei der Zugriffsverwaltung, der Nutzungsauswertung und der Berichterstellung. IT-Admins oder Helpdeskmitarbeitende müssen in der Regel den App-Zugriff überwachen. Die Zugriffszuweisung kann auf ein allgemeines oder abteilungsspezifisches IT-Team fallen, aber im Idealfall sollten Entscheidungsträger von Unternehmen einbezogen werden, bevor die IT den Prozess abgeschlossen hat.
Andere Organisationen investieren in die Integration in ein vorhandenes automatisiertes Identitäts- und Zugriffsverwaltungssystem wie rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) oder attributbasierte Zugriffssteuerung (Attribute-Based Access Control, ABAC). Sowohl die Integration als auch die Entwicklung der Regeln sind häufig spezifisch und kostspielig. Auch die Überwachung oder Berichterstattung stellt bei beiden Verwaltungsansätzen eine eigene Investition dar, die komplex und teuer ist.
Wie kann Microsoft Entra ID helfen?
Microsoft Entra ID unterstützt die weitreichende Zugriffsverwaltung für konfigurierte Anwendungen, sodass Organisationen mühelos geeignete Zugriffsrichtlinien einrichten können, die von Anwendungsfällen mit automatischer, attributbasierter Zuweisung (ABAC- oder RBAC-Szenarios) über Delegierung bis hin zur Verwaltung durch den Administrator reichen. Mit Microsoft Entra ID lassen sich ohne Aufwand komplexe Richtlinien einrichten, bei denen für eine gegebene Anwendung mehrere Verwaltungsmodelle kombiniert werden, und einmal definierte Verwaltungsregeln lassen sich sogar auf weitere Anwendungen mit demselben Benutzerkreis ausweiten.
Bei Microsoft Entra ID ist die Berichterstellung über Nutzung und Zuweisung vollständig integriert, sodass Administratoren Berichte über den Zuweisungszustand, Zuweisungsfehler und sogar die Nutzung leicht anfertigen können.
Zuweisen von Benutzern und Gruppen zu einer App
Die Anwendungszuweisung von Microsoft Entra konzentriert sich auf zwei primäre Zuordnungsmodi:
Einzelne Zuweisung Ein IT-Administrator mit Verzeichnis-Cloudanwendungsadministratorberechtigungen kann einzelne Benutzerkonten auswählen und ihm Zugriff auf die Anwendung gewähren.
Gruppenbasierte Zuweisung (erfordert Microsoft Entra ID P1 oder P2) Ein IT-Administrator mit Verzeichnis-Cloudanwendungsberechtigungen kann der Anwendung eine Gruppe zuweisen. Die Zugriffsmöglichkeit bestimmter Benutzer ergibt sich daraus, ob diese zum Zeitpunkt des Zugriffs auf die Anwendung Mitglied der festgelegten Gruppe sind. Mit anderen Worten: Ein Administrierender kann eine Zuweisungsregel erstellen, die besagt, dass „jedes aktuelle Mitglied der zugewiesenen Gruppe Zugriff auf die Anwendung hat“. Mit dieser Zuweisungsoption können Administrierende von allen Microsoft Entra-Gruppenverwaltungsoptionen profitieren, einschließlich attributbasierter Gruppen mit dynamischer Mitgliedschafts, externer Systemgruppen (z. B. lokales Active Directory oder Workday) oder vom einem Administrierenden verwalteter oder selbstverwalteter Gruppen. Eine einzelne Gruppe kann problemlos mehreren Apps zugewiesen werden, sodass sichergestellt wird, dass Anwendungen mit Zuweisungsaffinität dieselben Zuweisungsregeln verwenden, um die Verwaltungskomplexität insgesamt zu verringern.
Hinweis
Mitgliedschaften in geschachtelten Gruppen werden derzeit für die gruppenbasierte Zuweisung zu Anwendungen nicht unterstützt.
Durch Einsatz dieser beiden Zuweisungsmodi können Administratoren jeden gewünschten Ansatz zur Zuweisungsverwaltung realisieren.
Anfordern der Benutzerzuweisung für eine App
Bei bestimmten Anwendungstypen haben Sie die Möglichkeit, die Zuweisung von Benutzern zur App als Anforderung festzulegen. Dadurch können sich außer den Benutzern, die Sie der Anwendung explizit zuweisen, keine Benutzer anmelden. Bei folgenden Anwendungstypen wird diese Option unterstützt:
- Anwendungen, die für das einmalige Anmelden (SSO) im Verbund mit SAML-basierter Authentifizierung konfiguriert sind
- Anwendungsproxyanwendungen, die Microsoft Entra-Vorauthentifizierung verwenden
- Anwendungen, die auf der Microsoft Entra-Anwendungsplattform bei Verwendung der OAuth 2.0/OpenID Connect-Authentifizierung erstellt werden (nachdem eine Benutzerin bzw. ein Benutzer oder Admin die Zustimmung für die Anwendung erteilt hat). Bestimmte Unternehmensanwendungen bieten mehr Kontrolle darüber, wer sich anmelden darf.
Wenn eine Benutzerzuweisung erforderlich ist, können sich nur die Benutzer anmelden, die Sie der Anwendung zuweisen (durch direkte Benutzerzuweisung oder basierend auf der Gruppenmitgliedschaft). Sie können im Portal „Meine Apps“ oder über einen direkten Link auf die App zugreifen.
Wenn die Benutzerzuweisung nicht erforderlich ist, wird die App nicht zugewiesenen Benutzern nicht in „Meine Apps“ angezeigt. Sie können sich jedoch weiterhin bei der Anwendung selbst anmelden (auch als SP-initiierte Anmeldung bezeichnet) oder auf der Seite Eigenschaften der Anwendung die Benutzerzugriffs-URL verwenden (auch als IDP-initiierte Anmeldung bezeichnet). Weitere Informationen zum Anfordern von Benutzerzuweisungskonfigurationen finden Sie unter Konfigurieren einer Anwendung.
Diese Einstellung hat keine Auswirkung darauf, ob eine Anwendung in Meine Apps angezeigt wird. Anwendungen werden Benutzenden im „Meine Apps“-Portal angezeigt, sobald Sie der Anwendung eine Benutzerin, einen Benutzer oder eine Gruppe zuweisen.
Hinweis
Wenn eine Anwendung eine Zuweisung erfordert, ist die Benutzereinwilligung für diese Anwendung nicht zulässig. Dies gilt auch dann, wenn die Benutzereinwilligung für diese App andernfalls zugelassen worden wäre. Vergewissern Sie sich, dass Sie für Apps, die eine Zuweisung erfordern, eine mandantenweite Administratoreinwilligung erteilen.
Bei einigen Anwendungen ist die Option zum Anfordern der Benutzerzuweisung in den Anwendungseigenschaften nicht verfügbar. In diesen Fällen können Sie mit PowerShell die Eigenschaft „appRoleAssignmentRequired“ auf dem Dienstprinzipal festlegen.
Festlegen der Benutzerumgebung für den Zugriff auf Apps
Microsoft Entra ID bietet mehrere anpassbare Möglichkeiten zum Bereitstellen von Anwendungen für Endbenutzer in Ihrer Organisation:
- Microsoft Entra Meine Apps
- Microsoft 365-Anwendungsstartprogramm
- Direkte Anmeldung bei Verbund-Apps (service-pr)
- Deep-Links zu verbundenen, kennwortbasierten oder vorhandene Apps
Sie können festlegen, ob Benutzer, die einer Unternehmens-App zugewiesen sind, diese in „Meine Apps“ und im Microsoft 365-Anwendungsstartprogramm sehen können.
Beispiel: Komplexe Anwendungszuweisung mit Microsoft Entra ID
Betrachten Sie eine Anwendung wie Salesforce. In vielen Organisationen wird Salesforce in erster Linie von den Marketing- und Vertriebsteams verwendet. Häufig haben Mitglieder des Marketingteams umfassende Berechtigungen für den Zugriff auf Salesforce, während Mitglieder des Vertriebsteams nur beschränkten Zugriff haben. In vielen Fällen hat ein großer Personenkreis von Information-Workern eingeschränkten Zugriff auf die Anwendung. Ausnahmen von dieser Regel kommen erschwerend hinzu. Häufig ist es Sache der Marketing- oder Vertriebsleitung, Benutzern Zugriff zu gewähren oder ihre Rollen unabhängig von allgemeinen Regeln zu ändern.
Mit Microsoft Entra ID können Anwendungen wie Salesforce beispielsweise für einmaliges Anmelden (SSO) und automatisierte Bereitstellung vorkonfiguriert werden. Sobald die Anwendung konfiguriert ist, kann der Administrator die einmalige Aktion zum Erstellen und Zuweisen der entsprechenden Gruppen übernehmen. In diesem Beispiel kann ein Administrator die folgenden Zuweisungen vornehmen:
Dynamische Gruppen lassen sich durch Verwendung von Attributen wie Abteilung oder Rolle derart definieren, dass sie alle Mitglieder der Vertriebs- und Marketingteams abbilden:
- Alle Mitglieder von Marketinggruppen würden in diesem Fall der Rolle „Marketing“ in Salesforce zugewiesen.
- Alle Mitglieder von Vertriebsteamgruppen würden der Rolle „Vertrieb“ in Salesforce zugewiesen werden. In einem Verfeinerungsschritt könnten mehrere Gruppen verwendet werden, die regionale, anderen Salesforce-Gruppen zugewiesene Vertriebsteams darstellen.
Zum Aktivieren des Ausnahmemechanismus könnte für jede Rolle eine Self-Service-Gruppe erstellt werden. Die Gruppe „Salesforce Marketingausnahme“ kann beispielsweise als Self-Service-Gruppe erstellt werden. Diese Gruppe kann der Salesforce-Marketingrolle zugewiesen und das Leadershipteam der Marketingabteilung als deren Besitzer festgelegt werden. Mitglieder des Leadershipteams der Marketingabteilung könnten somit Benutzer hinzufügen oder entfernen, eine Beitrittsrichtlinie einrichten oder sogar einzelne Beitrittsanfragen genehmigen oder verweigern. Dieser Mechanismus wird auch durch ein für Information-Worker angemessenes Verfahren begünstigt, bei dem keine spezielle Schulung für Besitzer oder Mitglieder erforderlich ist.
In diesem Fall werden alle zugewiesenen Benutzer automatisch für Salesforce bereitgestellt. Da sie unterschiedlichen Gruppen hinzugefügt werden, werden die Rollenzuweisungen in Salesforce aktualisiert. Die Benutzer können Salesforce über „Meine Apps“, Office-Webclients oder durch Aufrufen der Salesforce-Anmeldeseite innerhalb der Organisation ermitteln und darauf zugreifen. Administratoren können mithilfe von Microsoft Entra-ID-Berichten den Nutzungs- und Zuweisungsstatus leicht anzeigen.
Administratoren können den bedingten Zugriff von Microsoft Entra einsetzen, um Zugriffsrichtlinien für bestimmte Rollen festzulegen. In diesen Richtlinien kann enthalten sein, ob der Zugriff von außerhalb der Unternehmensumgebung erlaubt ist, und sogar, ob für den Zugriff die mehrstufige Authentifizierung oder bestimmte Geräteanforderungen für verschiedene Anwendungsfälle zur Anwendung kommen.
Zugriff auf Microsoft-Anwendungen
Microsoft-Anwendungen (z. B. Exchange, SharePoint, Yammer usw.) werden etwas anders zugewiesen und verwaltet als nicht-Microsoft-SaaS-Anwendungen oder andere Anwendungen, die Sie für einmaliges Anmelden mit Microsoft Entra ID integrieren.
Es gibt drei Hauptmethoden, über die ein Benutzer Zugriff auf eine von Microsoft veröffentlichte Anwendung erhalten kann.
Für Anwendungen in Microsoft 365 oder anderen kostenpflichtigen Sammlungen erhalten Benutzer Zugriff über eine Lizenzzuweisung direkt in ihrem Benutzerkonto oder über eine Gruppe mithilfe der Funktion für gruppenbasierte Lizenzzuweisung.
Bei Anwendungen, die Microsoft oder andere kostenlos für alle Benutzerinnen und Benutzer veröffentlicht, erhalten diese möglicherweise Zugriff über die Benutzerzustimmung. Die Benutzer melden sich mit ihrem Geschäfts-, Schul- oder Unikonto von Microsoft Entra ID bei der Anwendung an, um dieser den Zugriff auf eine begrenzte Menge von Daten in ihrem Konto zu gewähren.
Bei Anwendungen, die Microsoft oder andere kostenlos für alle Benutzerinnen und Benutzer veröffentlicht, können diese auch Zugriff über eine Administratorzustimmung erhalten. Dies bedeutet, dass ein Admin festgestellt hat, dass die Anwendung von jedem in der Organisation verwendet werden kann, sodass er sich bei der Anwendung mit der Rolle Privilegierter Rollenadministrator anmeldet und allen Benutzerinnen und Benutzern in der Organisation Zugriff gewährt.
Bei einigen Anwendungen werden diese Methoden kombiniert. Bestimmte Microsoft-Anwendungen gehören beispielsweise zu einem Microsoft 365-Abonnement, erfordern aber trotzdem eine Einwilligung.
Benutzer können über ihre Office 365-Portale auf Microsoft 365-Anwendungen zugreifen. Über den Schalter Office 365-Sichtbarkeit in den Benutzereinstellungen Ihres Verzeichnisses können Sie Microsoft 365-Anwendungen auch in „Meine Apps“ anzeigen oder ausblenden.
Ebenso wie bei Unternehmens-Apps können Sie Benutzer über das Microsoft Entra Admin Center oder mithilfe von PowerShell zu bestimmten Microsoft-Anwendungen zuweisen.
Verhindern des Anwendungszugriffs über lokale Konten
Microsoft Entra ID ermöglicht es Ihrer Organisation, Single Sign-On einzurichten, um zu beschützen, wie sich Benutzer bei Anwendungen mit bedingtem Zugriff, Multi-Faktor-Authentifizierung usw. authentifizieren. Einige Anwendungen haben in der Vergangenheit ihren eigenen lokalen Benutzerspeicher und ermöglichen es Benutzern, sich bei der Anwendung mit lokalen Anmeldedaten oder einer anwendungsspezifischen Backup-Authentifizierungsmethode anzumelden, anstatt Single Sign-On zu verwenden. Diese Anwendungsfunktionen können missbraucht werden und Benutzern das Beibehalten des Zugriffs auf Anwendungen ermöglichen, auch wenn sie der Anwendung in der Microsoft Entra ID nicht mehr zugewiesen wurden oder sich nicht mehr bei der Microsoft Entra ID anmelden können, und Angreifern erlauben, die Anwendung zu kompromittieren, ohne dass sie in den Microsoft Entra ID-Protokollen angezeigt werden. Um sicherzustellen, dass die Anmeldung bei diesen Anwendungen durch die Microsoft Entra ID geschützt ist:
- Ermitteln Sie, welche Anwendungen, die mit Ihrem Verzeichnis für die Single Sign-On-Anmeldung verbunden sind, es Endbenutzern ermöglichen, die Single-Sign-On-Anmeldung mit einem lokalen Anmeldeinformationsnachweis oder einer Backup-Authentifizierungsmethode zu umgehen. Sie müssen die vom Anbieter der Anwendung bereitgestellte Dokumentation durchsehen, um zu verstehen, ob dies möglich ist und welche Einstellungen zur Verfügung stehen. Deaktivieren Sie dann in diesen Anwendungen die Einstellungen, mit denen Endbenutzer SSO umgehen können. Testen Sie die Endbenutzerumgebung, indem Sie einen Browser in InPrivate öffnen, eine Verbindung mit der Anmeldeseite der Anwendungen herstellen, die Identität eines Benutzers in Ihrem Mandanten bereitstellen und überprüfen, ob es keine andere Möglichkeit gibt, sich über Microsoft Entra anzumelden.
- Wenn Ihre Anwendung eine API zum Verwalten von Benutzer-Passwörtern bereitstellt, entfernen Sie die lokalen Passwörter, oder legen Sie ein eindeutiges Passwort für jeden Benutzer mithilfe der APIs fest. Dadurch wird verhindert, dass sich Endbenutzer mit lokalen Anmeldeinformationen bei der Anwendung anmelden.
- Wenn Ihre Anwendung eine API zum Verwalten von Benutzern bereitstellt, konfigurieren Sie die Microsoft Entra-Benutzerbereitstellung für diese Anwendung, um Benutzerkonten zu deaktivieren oder zu löschen, wenn Benutzer nicht mehr im Bereich der Anwendung oder des Mandanten sind.