Qu’est-ce que la gestion des applications dans l’ID Microsoft Entra ?

La gestion des applications dans Microsoft Entra ID est le processus de création, de configuration, de gestion et de supervision d’applications dans le cloud. Lorsqu’une application est inscrite dans un locataire Microsoft Entra, les utilisateurs qui y sont déjà affectés peuvent accéder en toute sécurité. De nombreux types d’applications peuvent être inscrits dans l’ID Microsoft Entra. Pour plus d’informations, consultez Types d’applications pour la plateforme d’identités Microsoft.

Dans cet article, vous allez découvrir ces aspects importants de la gestion du cycle de vie d’une application :

• Développer, ajouter ou connecter : vous prenez différents chemins selon que vous développez votre propre application, à l’aide d’une application préintégrée ou en connectant à une application locale.
• Gérer l'accès : l’accès peut être géré à l’aide de l’authentification unique (SSO), l'assignation de ressources, la définition de la façon dont l’accès est accordé et consenti, et de l’approvisionnement automatisé.
• Configurer les propriétés : configurez les conditions requises pour la connexion à l’application et la façon dont l’application est représentée dans les portails utilisateur.
• Sécuriser l’application : gérez la configuration des autorisations, l’authentification multifacteur, l’accès conditionnel, les jetons et les certificats.
• Gouverner et surveiller : gérez l’interaction et examinez l’activité en utilisant la gestion des autorisations et les ressources de création de rapports et de surveillance.
• Nettoyer – Lorsque votre application n’est plus nécessaire, nettoyez votre locataire en supprimant l’application et son accès.

Développer, ajouter ou se connecter

Il existe plusieurs façons de gérer les applications dans l’ID Microsoft Entra. Le moyen le plus simple de commencer à gérer une application consiste à utiliser une application préintégrate à partir de la galerie Microsoft Entra. Le développement de votre propre application et son inscription dans Microsoft Entra ID est une option, ou vous pouvez continuer à utiliser une application locale.

L’image suivante montre comment ces applications interagissent avec l’ID Microsoft Entra.

Applications préintégrées

De nombreuses applications sont déjà préintégrées (indiquées comme applications cloud dans l’image précédente de cet article) et peuvent être configurées avec un effort minimal. Chaque application de la galerie Microsoft Entra dispose d’un article disponible qui vous montre les étapes requises pour configurer l’application. Pour obtenir un exemple simple de la façon dont une application peut être ajoutée à votre locataire Microsoft Entra à partir de la galerie, consultez Démarrage rapide : Ajouter une application d’entreprise.

Vos propres applications

Si vous développez votre propre application métier, vous pouvez l’inscrire auprès de l’ID Microsoft Entra pour tirer parti des fonctionnalités de sécurité fournies par le locataire. Vous pouvez enregistrer votre application dans enregistrements d’applications, ou vous pouvez l’enregistrer à l’aide du lien Créer votre propre application lors de l’ajout d’une nouvelle application dans applications d'entreprise. Déterminez comment l’authentification est implémentée dans votre application pour l’intégrer à Microsoft Entra ID.

Si vous souhaitez rendre votre application disponible via la galerie, vous pouvez envoyer une demande pour la rendre disponible.

Applications locales

Si vous souhaitez continuer à utiliser une application locale, mais tirer parti de ce qu’offre Microsoft Entra ID, connectez-la à Microsoft Entra ID à l’aide du proxy d’application Microsoft Entra. Le proxy d’application peut être implémenté lorsque vous souhaitez publier des applications locales en externe. Les utilisateurs distants qui ont besoin d’accéder aux applications internes peuvent ensuite y accéder de manière sécurisée.

Gérer l’accès

Pour gérer l'accès pour une application, vous souhaitez répondre aux questions suivantes :

• Comment l’accès est-il accordé et accepté pour l’application ?
• L’application prend-elle en charge l’authentification unique ?
• Quels utilisateurs, groupes et propriétaires doivent être affectés à l’application ?
• Existe-t-il d’autres fournisseurs d’identité qui prennent en charge l’application ?
• Est-il utile d’automatiser l’approvisionnement des identités et des rôles utilisateur ?

Accès et consentement

Vous pouvez gérer les paramètres de consentement utilisateur choisir si les utilisateurs peuvent autoriser une application ou un service à accéder aux profils utilisateur et aux données organisationnelles. Lorsque des applications sont autorisées à accéder, les utilisateurs peuvent se connecter aux applications intégrées à l’ID Microsoft Entra et l’application peut accéder aux données de votre organisation pour fournir des expériences enrichies basées sur les données.

Dans les situations où les utilisateurs ne peuvent pas donner leur consentement aux autorisations demandées par une application, envisagez de configurer le flux de travail de consentement administrateur. Le flux de travail permet aux utilisateurs de fournir une justification et de demander l’examen et l’approbation d’une application par un administrateur. Pour savoir comment configurer le flux de travail de consentement administrateur dans votre environnement Microsoft Entra, consultez Configurer le flux de travail de consentement administrateur.

En tant qu’administrateur, vous pouvez accorder un consentement administrateur au niveau locataire à une application. Le consentement administrateur à l’échelle du locataire est nécessaire lorsqu’une application requiert des autorisations que les utilisateurs réguliers ne sont pas autorisés à accorder. L’octroi du consentement administrateur à l’échelle du locataire permet également aux organisations d’implémenter leurs propres processus de révision. Examinez toujours attentivement les autorisations demandées par l’application avant d’accorder le consentement. Lorsqu’une application reçoit le consentement administrateur à l’échelle du locataire, tous les utilisateurs sont en mesure de se connecter à l’application, sauf si vous le configurez pour exiger une attribution d’utilisateur.

Authentification unique

Envisagez d’implémenter l’authentification unique dans votre application. Vous pouvez configurer manuellement la plupart des applications pour l’authentification unique. Les options les plus populaires dans Microsoft Entra ID sont l’authentification unique basée sur SAML et l’authentification unique OpenID Connect. Avant de commencer, veillez à bien comprendre les conditions requises de l’authentification unique (SSO) et comment planifier un déploiement. Pour plus d’informations sur la configuration de l’authentification unique SAML pour une application d’entreprise dans votre locataire Microsoft Entra, consultez Activer l’authentification unique pour une application à l’aide de l’ID Microsoft Entra.

Affectation de l'utilisateur, du groupe et du propriétaire

Par défaut, tous les utilisateurs peuvent accéder à vos applications d’entreprise sans être affectés à eux. Toutefois, si vous souhaitez affecter l’application à un ensemble d’utilisateurs, configurez l’application pour exiger l’attribution de l’utilisateur et affecter les utilisateurs sélectionnés à l’application. Pour obtenir un exemple simple de création et d’affectation d’un compte d’utilisateur à une application, consultez Démarrage rapide : Créer et affecter un compte d’utilisateur.

Si cette possibilité est incluse dans votre abonnement, affectez des groupes à une application afin de pouvoir déléguer la gestion des accès en cours au propriétaire du groupe.

L’affectation de propriétaires est un moyen simple d’accorder la possibilité de gérer tous les aspects de la configuration Microsoft Entra pour une application. En tant que propriétaire, un utilisateur peut gérer la configuration spécifique à l’organisation de l’application. En guise de meilleure pratique, vous devez surveiller de manière proactive les applications de votre locataire pour vous assurer qu’elles ont au moins deux propriétaires, afin d’éviter la situation des applications sans propriétaire.

Automatiser l’approvisionnement

Approvisionnement des applications fait référence à la création automatique d’identités et de rôles utilisateur dans les applications auxquelles les utilisateurs doivent accéder. Outre la création d’identités utilisateur, l’approvisionnement automatique inclut la maintenance et la suppression des identités utilisateur au fur et à mesure que l’état ou les rôles changent.

Fournisseurs d’identité

Avez-vous un fournisseur d’identité avec lequel vous souhaitez que Microsoft Entra ID interagisse ? home Realm Discovery fournit une configuration qui permet à Microsoft Entra ID de déterminer le fournisseur d’identité avec lequel un utilisateur doit s’authentifier lorsqu’il se connecte.

Portails utilisateur

Microsoft Entra ID fournit des moyens personnalisables de déployer des applications sur des utilisateurs de votre organisation. Par exemple, le portail Mes applications ou le lanceur d’applications Microsoft 365. Mes applications permettent aux utilisateurs de démarrer leur travail et de trouver toutes les applications auxquelles ils ont accès. En tant qu’administrateur d’une application, vous devez planifier la façon dont les utilisateurs de votre organisation utilisent Mes applications.

Configurer les propriétés

Lorsque vous ajoutez une application à votre locataire Microsoft Entra, vous avez la possibilité de configurer des propriétés qui affectent la façon dont les utilisateurs peuvent interagir avec l’application. Vous pouvez activer ou désactiver la possibilité de se connecter et de définir l’application pour exiger l’attribution de l’utilisateur. Vous pouvez également déterminer la visibilité de l’application, le logo qui représente l’application et toutes les notes relatives à l’application. Pour plus d’informations sur les propriétés qui peuvent être configurées, consultez Propriétés d’une application d’entreprise.

Sécuriser l’application

Il existe plusieurs méthodes disponibles pour vous aider à sécuriser vos applications d’entreprise. Par exemple, vous pouvez restreindre l’accès locataire, gérer la visibilité, les données et l'analyse, et éventuellement fournir unaccès hybride. La sécurisation de vos applications d’entreprise implique également la gestion de la configuration des autorisations, de l’authentification multifacteur, de l’accès conditionnel, des jetons et des certificats.

Autorisations

Il est important de les réviser régulièrement et, si nécessaire, de gérer les autorisations accordées à une application ou à un service. Assurez-vous que vous autorisez uniquement l’accès approprié à vos applications en évaluant régulièrement si des activités suspectes existent.

classifications d’autorisations vous permettent d’identifier l’effet des différentes autorisations en fonction des stratégies et évaluations des risques de votre organisation. Par exemple, vous pouvez utiliser des classifications d’autorisations dans les stratégies de consentement pour identifier l’ensemble d’autorisations auxquelles les utilisateurs sont autorisés à donner leur consentement.

Authentification multifacteur et accès conditionnel

L’authentification multifacteur Microsoft Entra permet de protéger l’accès aux données et aux applications, en fournissant une autre couche de sécurité à l’aide d’une deuxième forme d’authentification. Il existe de nombreuses méthodes qui peuvent être utilisées pour une authentification de second facteur. Avant de commencer, planifiez le déploiement de MFA pour votre application dans votre organisation.

Les organisations peuvent activer MFA avec l’accès conditionnel pour que la solution réponde à leurs besoins spécifiques. Les stratégies d’accès conditionnel permettent aux administrateurs d’affecter des contrôles à des applications, actions ou contexte d’authentification spécifiques.

Jetons et certificats

Différents types de jetons de sécurité sont utilisés dans un flux d’authentification dans l’ID Microsoft Entra en fonction du protocole utilisé. Par exemple, jetons SAML sont utilisés pour le protocole SAML, et jetons d’ID et jetons d’accès sont utilisés pour le protocole OpenID Connect. Les jetons sont signés avec le certificat unique généré par l’ID Microsoft Entra et par des algorithmes standard spécifiques.

Vous pouvez fournir davantage de sécurité en chiffrant le jeton. Vous pouvez également gérer les informations d’un jeton, notamment les rôles autorisés pour l’application.

Microsoft Entra ID utilise l’algorithme SHA-256 par défaut pour signer la réponse SAML. Utilisez SHA-256, sauf si l’application nécessite SHA-1. Établissez un processus de gestion de la durée de vie du certificat. La durée de vie maximale d’un certificat de signature est de trois ans. Pour éviter ou réduire la panne en raison d’une expiration de certificat, utilisez des rôles et des listes de distribution de courrier électronique pour vous assurer que les notifications de modification liées au certificat sont étroitement surveillées.

Gouverner et surveiller

Gestion des droits dans Microsoft Entra ID vous permet de gérer l’interaction entre les applications et les administrateurs, les propriétaires de catalogue, les gestionnaires de package d’accès, les approbateurs et les demandeurs.

Votre solution de création de rapports et de supervision Microsoft Entra dépend de vos exigences légales, de sécurité et opérationnelles et de votre environnement et processus existants. Plusieurs journaux d’activité sont conservés dans l’ID Microsoft Entra. Par conséquent, vous devez planifier un déploiement reporting et de supervision pour garantir la meilleure expérience possible pour votre application.

Nettoyer

Vous pouvez nettoyer l’accès aux applications. Par exemple, supprimer l’accès d’un utilisateur. Vous pouvez aussi désactiver la manière dont un utilisateur se connecte. Enfin, vous pouvez supprimer l’application si elle n’est plus nécessaire pour l’organisation. Pour plus d’informations sur la suppression d’une application d’entreprise de votre locataire Microsoft Entra, consultez Démarrage rapide : Supprimer une application d’entreprise.

Procédure pas à pas guidée

Pour obtenir une procédure pas à pas guidée de la plupart des recommandations de cet article, consultez la procédure pas à pas guidée Microsoft 365 Sécuriser vos applications cloud avec l’authentification unique (SSO) guidée.

Étapes suivantes

• Commencez par ajouter votre première application d’entreprise avec le guide de démarrage rapide : Ajoutez une application d’entreprise.