Co to jest zarządzanie aplikacjami w identyfikatorze Entra firmy Microsoft?
Zarządzanie aplikacjami w usłudze Microsoft Entra ID to proces tworzenia, konfigurowania i monitorowania aplikacji oraz zarządzania nimi w chmurze. Gdy aplikacja jest zarejestrowana w dzierżawie Microsoft Entra, użytkownicy, którzy są już do niej przypisani, mogą uzyskać do niej bezpieczny dostęp. Wiele typów aplikacji można zarejestrować w identyfikatorze Entra firmy Microsoft. Aby uzyskać więcej informacji, zobacz Typy aplikacji dla platformy tożsamości firmy Microsoft.
W tym artykule poznasz te ważne aspekty zarządzania cyklem życia aplikacji:
- Tworzenie, dodawanie lub łączenie — różne ścieżki są zależne od tego, czy tworzysz własną aplikację, korzystasz ze wstępnie utworzonej aplikacji, czy łączysz się z aplikacją lokalną.
- Zarządzanie dostępem — dostęp można zarządzać przy użyciu logowania jednokrotnego(SSO), przypisywania zasobów, definiowania sposobu udzielania dostępu i wyrażania zgody oraz korzystania z automatycznej aprowizacji.
- Konfigurowanie właściwości — skonfiguruj wymagania dotyczące logowania się do aplikacji i sposobu reprezentowania aplikacji w portalach użytkowników.
- Zabezpieczanie aplikacji — zarządzanie konfiguracją uprawnień, uwierzytelnianiem wieloskładnikowym, dostępem warunkowym, tokenami i certyfikatami.
- Zarządzanie i monitorowanie — zarządzanie interakcją oraz przeglądanie działań poprzez system zarządzania upoważnieniami, raportowanie i monitoring zasobów.
- Wyczyść — gdy aplikacja nie jest już potrzebna, wyczyść klienta, usuwając dostęp do niej i usuwając ją.
Tworzenie, dodawanie lub łączenie
Istnieje kilka sposobów zarządzania aplikacjami w identyfikatorze Entra firmy Microsoft. Najprostszym sposobem rozpoczęcia zarządzania aplikacją jest użycie wstępnie zintegrowanej aplikacji z galerii Microsoft Entra. Tworzenie własnej aplikacji i rejestrowanie jej w usłudze Microsoft Entra ID jest opcją lub możesz nadal korzystać z aplikacji lokalnej.
Na poniższej ilustracji przedstawiono sposób interakcji tych aplikacji z identyfikatorem Entra firmy Microsoft.
Aplikacje wstępnie zintegrowane
Wiele aplikacji jest już wstępnie zintegrowanych (pokazanych jako aplikacje w chmurze na poprzedniej ilustracji w tym artykule) i można je skonfigurować przy minimalnym nakładzie pracy. Każda aplikacja w galerii Microsoft Entra zawiera dostępny artykuł, który pokazuje kroki wymagane do skonfigurowania aplikacji. Aby zapoznać się z prostym przykładem dodawania aplikacji do dzierżawy Microsoft Entra z galerii, zobacz Wprowadzenie: Dodawanie aplikacji dla firmy.
Własne aplikacje
Jeśli tworzysz własną aplikację biznesową, możesz zarejestrować ją w usłudze Microsoft Entra ID, aby korzystać z funkcji zabezpieczeń oferowanych przez dzierżawę. Aplikację można zarejestrować w Rejestracje aplikacjilub użyć linku Tworzenie własnej aplikacji podczas dodawania nowej aplikacji w Aplikacje przedsiębiorstwa. Zastanów się, jak uwierzytelnianie jest implementowane w aplikacji w celu integracji z identyfikatorem Entra firmy Microsoft.
Jeśli chcesz udostępnić aplikację za pośrednictwem galerii, możesz przesłać żądanie, aby udostępnić ją.
Aplikacje lokalne
Jeśli chcesz nadal korzystać z aplikacji lokalnej, ale skorzystać z tego, co oferuje Microsoft Entra ID, połącz ją z Microsoft Entra ID przy użyciu serwera proxy aplikacji Microsoft Entra. Proxy aplikacji można zaimplementować, gdy chcesz publikować aplikacje lokalne na zewnątrz. Użytkownicy zdalni, którzy potrzebują dostępu do aplikacji wewnętrznych, mogą uzyskiwać do nich dostęp w bezpieczny sposób.
Zarządzanie dostępem
Aby zarządzać dostępem dla aplikacji, należy odpowiedzieć na następujące pytania:
- W jaki sposób udzielono dostępu i udzielono zgody dla aplikacji?
- Czy aplikacja obsługuje logowanie jednokrotne?
- Którzy użytkownicy, grupy i właściciele powinni być przypisani do aplikacji?
- Czy istnieją inni dostawcy tożsamości, którzy obsługują aplikację?
- Czy warto zautomatyzować aprowizację tożsamości użytkowników i ról?
Dostęp i zgoda
Możesz zarządzać ustawieniami zgody użytkownika, aby wybrać, czy użytkownicy mogą zezwolić aplikacji lub usłudze na dostęp do profilów użytkowników i danych organizacji. Gdy aplikacje uzyskują dostęp, użytkownicy mogą logować się do aplikacji zintegrowanych z identyfikatorem Entra firmy Microsoft, a aplikacja może uzyskiwać dostęp do danych organizacji w celu dostarczania zaawansowanych środowisk opartych na danych.
W sytuacjach, w których użytkownicy nie mogą wyrazić zgody na uprawnienia, których żąda aplikacja, rozważ skonfigurowanie przepływu pracy zgody administratora. Przepływ pracy umożliwia użytkownikom przedstawienie uzasadnienia i zażądanie przeglądu i zatwierdzenia aplikacji przez administratora. Aby dowiedzieć się, jak skonfigurować przepływ pracy zgody administratora w dzierżawie firmy Microsoft Entra, zobacz Konfigurowanie przepływu pracy zgody administratora.
Jako administrator możesz udzielić dla aplikacji zgody administratora dla całej dzierżawy. Zgoda administratora dla całej dzierżawy jest niezbędna, gdy aplikacja wymaga uprawnień, które użytkownicy regularni nie mogą udzielać. Udzielanie zgody administratora dla całej dzierżawy umożliwia również organizacjom implementowanie własnych procesów przeglądu. Przed udzieleniem zgody należy zawsze uważnie przejrzeć uprawnienia, których aplikacja żąda. Po udzieleniu aplikacji zgody administratora w obrębie całej dzierżawy wszyscy użytkownicy będą mogli zalogować się do aplikacji, chyba że skonfigurujesz ją tak, aby wymagała przypisywania użytkowników.
Logowanie jednokrotne
Rozważ zaimplementowanie logowania jednokrotnego w aplikacji. Większość aplikacji na potrzeby logowania jednokrotnego można skonfigurować ręcznie. Najpopularniejszymi opcjami w usłudze Microsoft Entra ID są jednokrotne logowanie oparte na protokole SAML i jednokrotne logowanie oparte na protokole OpenID Connect. Przed rozpoczęciem upewnij się, że rozumiesz wymagania dotyczące logowania jednokrotnego i jak plan wdrożenia. Aby uzyskać więcej informacji na temat konfigurowania logowania jednokrotnego opartego na protokole SAML dla aplikacji dla przedsiębiorstw w dzierżawie Microsoft Entra, zapoznaj się z instrukcją Włącz logowanie jednokrotne dla aplikacji używając Microsoft Entra ID.
Przypisanie użytkownika, grupy i właściciela
Domyślnie wszyscy użytkownicy mogą uzyskiwać dostęp do aplikacji firmowych bez konieczności przypisania im tych aplikacji. Jeśli jednak chcesz przypisać aplikację do zestawu użytkowników, skonfiguruj aplikację tak, aby wymagała przypisania użytkownika i przypisz wybranych użytkowników do aplikacji. Aby zapoznać się z prostym przykładem tworzenia i przypisywania konta użytkownika do aplikacji, zobacz Szybki start: tworzenie i przypisywanie konta użytkownika.
Jeśli jest to uwzględnione w Twojej subskrypcji, przypisz grupy do aplikacji, aby delegować bieżące zarządzanie dostępem na właściciela grupy.
Przypisywanie właścicieli to prosty sposób na przyznanie uprawnień do zarządzania wszystkimi aspektami konfiguracji Microsoft Entra dla aplikacji. Jako właściciel użytkownik może zarządzać konfiguracją aplikacji specyficzną dla organizacji. Najlepszym rozwiązaniem jest proaktywne monitorowanie aplikacji w dzierżawie w celu zapewnienia, że mają co najmniej dwóch właścicieli, aby uniknąć sytuacji aplikacji bez właściciela.
Automatyzowanie aprowizacji
Udostępnianie aplikacji oznacza automatyczne tworzenie tożsamości użytkowników i ról w aplikacjach, do których użytkownicy muszą uzyskiwać dostęp. Oprócz tworzenia tożsamości użytkowników automatyczna aprowizacja obejmuje konserwację i usuwanie tożsamości użytkowników w miarę zmiany stanu lub ról.
Dostawcy tożsamości
Czy masz dostawcę tożsamości, z którym chcesz korzystać z identyfikatora Entra firmy Microsoft? Odkrywanie Obszaru Rodzimego udostępnia konfigurację, która umożliwia usłudze Microsoft Entra ID określenie dostawcy tożsamości, z którym użytkownik musi się uwierzytelnić podczas logowania.
Portale użytkowników
Identyfikator entra firmy Microsoft udostępnia dostosowywalne sposoby wdrażania aplikacji dla użytkowników w organizacji. Na przykład portal Moje aplikacje lub uruchamianie aplikacji platformy Microsoft 365. Moje aplikacje zapewniają użytkownikom pojedyncze miejsce do rozpoczęcia pracy i znalezienia wszystkich aplikacji, do których mają dostęp. Jako administrator aplikacji należy zaplanować, jak użytkownicy w organizacji korzystają z usługi My Apps.
Konfigurowanie właściwości
Podczas dodawania aplikacji do dzierżawy firmy Microsoft Entra możesz skonfigurować właściwości wpływające na sposób interakcji użytkowników z aplikacją. Możesz włączyć lub wyłączyć możliwość logowania się i ustawić aplikację, aby wymagać przypisania użytkownika. Możesz również określić widoczność aplikacji, logo reprezentujące aplikację oraz wszelkie uwagi dotyczące aplikacji. Aby uzyskać więcej informacji na temat właściwości, które można skonfigurować, zobacz Właściwości aplikacji dla przedsiębiorstw.
Zabezpieczanie aplikacji
Dostępnych jest kilka metod ułatwiania zabezpieczania aplikacji dla przedsiębiorstw. Można na przykład ograniczyć dostęp dzierżawcy, zarządzać widocznością, danymi i analizami, a także ewentualnie zapewnić dostęp hybrydowy. Zabezpieczanie aplikacji dla przedsiębiorstw obejmuje również zarządzanie konfiguracją uprawnień, uwierzytelniania wieloskładnikowego, dostępu warunkowego, tokenów i certyfikatów.
Uprawnienia
Ważne jest, aby okresowo przeglądać i, w razie potrzeby, zarządzać uprawnieniami przyznanymi aplikacji lub usłudze. Upewnij się, że zezwalasz tylko na odpowiedni dostęp do aplikacji, regularnie oceniając, czy istnieje podejrzane działanie.
klasyfikacje uprawnień umożliwiają zidentyfikowanie wpływu różnych uprawnień zgodnie z zasadami organizacji i ocenami ryzyka. Na przykład można użyć klasyfikacji uprawnień w zasadach zgody, aby zidentyfikować zestaw uprawnień, do których użytkownicy mogą wyrazić zgodę.
Uwierzytelnianie wieloskładnikowe i dostęp warunkowy
Uwierzytelnianie wieloskładnikowe firmy Microsoft pomaga chronić dostęp do danych i aplikacji, zapewniając kolejną warstwę zabezpieczeń przy użyciu drugiej formy uwierzytelniania. Istnieje wiele metod, które mogą służyć do uwierzytelniania dwuskładnikowego. Przed rozpoczęciem zaplanować wdrożenie usługi MFA dla aplikacji w organizacji.
Organizacje mogą włączyć uwierzytelnianie wieloskładnikowe za pomocą dostępu warunkowego, aby rozwiązanie pasowało do swoich konkretnych potrzeb. Zasady dostępu warunkowego umożliwiają administratorom przypisywanie kontrolek do określonych aplikacji , akcji lub kontekstu uwierzytelniania.
Tokeny i certyfikaty
Różne typy tokenów zabezpieczających są używane w przepływie uwierzytelniania w identyfikatorze Entra firmy Microsoft w zależności od używanego protokołu. Na przykład tokeny SAML są używane dla protokołu SAML, a tokeny ID i tokeny dostępu są używane dla protokołu OpenID Connect. Tokeny są podpisywane przy użyciu unikatowego certyfikatu generowanego przez identyfikator entra firmy Microsoft i według określonych standardowych algorytmów.
Możesz zapewnić większe bezpieczeństwo, szyfrując token
Identyfikator Entra ID firmy Microsoft domyślnie używa algorytmu SHA-256 do podpisania odpowiedzi SAML. Użyj algorytmu SHA-256, chyba że aplikacja wymaga algorytmu SHA-1. Stwórz proces zarządzania cyklem życia certyfikatu. Maksymalny okres istnienia certyfikatu podpisywania wynosi trzy lata. Aby zapobiec lub zminimalizować awarię z powodu wygaśnięcia certyfikatu, użyj ról i list dystrybucyjnych poczty e-mail, aby upewnić się, że powiadomienia o zmianach związane z certyfikatem są ściśle monitorowane.
Zarządzanie i monitorowanie
zarządzanie upoważnieniami w usłudze Microsoft Entra ID umożliwia zarządzanie interakcjami między aplikacjami, administratorami, właścicielami katalogu, menedżerami pakietów dostępu, osobami zatwierdzającymi i osobami żądającymi.
Rozwiązanie do raportowania i monitorowania firmy Microsoft jest zależne od wymagań prawnych, zabezpieczeń i operacyjnych oraz istniejących środowisk i procesów. Istnieje kilka dzienników, które są przechowywane w identyfikatorze Entra firmy Microsoft. W związku z tym należy zaplanować raportowanie i monitorowanie wdrożenia, aby zapewnić jak najlepsze działanie aplikacji.
Czyszczenie
Możesz wyczyścić dostęp do aplikacji. Na przykład usunięcie dostępu użytkownika. Możesz również wyłączyć sposób logowania użytkownika. Na koniec możesz usunąć aplikację, jeśli nie jest już potrzebna dla organizacji. Aby uzyskać więcej informacji na temat usuwania aplikacji dla przedsiębiorstw z twojej dzierżawy Microsoft Entra, odwiedź Szybki przewodnik: usuwanie aplikacji dla przedsiębiorstw.
Przejście z przewodnikiem
Aby skorzystać z przewodnika po wielu zaleceniach zawartych w tym artykule, zobacz Microsoft 365: Zabezpieczanie aplikacji w chmurze za pomocą logowania jednokrotnego (SSO) - przewodnik.
Następne kroki
- Rozpocznij od dodania swojej pierwszej aplikacji dla przedsiębiorstw za pomocą przewodnika "Szybki Start" : Dodawanie aplikacji dla przedsiębiorstw.