Wdrażanie zasad organizacyjnych na potrzeby zarządzania dostępem do aplikacji zintegrowanych z identyfikatorem Entra firmy Microsoft
W poprzednich sekcjach zdefiniowano zasady ładu dla aplikacji i zintegrowano aplikację z identyfikatorem Entra firmy Microsoft. W tej sekcji skonfigurujesz funkcje zarządzania dostępem warunkowym i upoważnieniami firmy Microsoft w celu kontrolowania bieżącego dostępu do aplikacji. Ustanowisz
- Zasady dostępu warunkowego dotyczące sposobu uwierzytelniania użytkownika w usłudze Microsoft Entra ID dla aplikacji zintegrowanej z identyfikatorem Microsoft Entra ID na potrzeby logowania jednokrotnego
- Zasady zarządzania upoważnieniami dotyczące sposobu uzyskiwania i przechowywania przypisań do ról aplikacji i członkostwa w grupach
- Zasady przeglądu dostępu dotyczące częstotliwości przeglądania członkostwa w grupach
Po wdrożeniu tych zasad można monitorować bieżące zachowanie identyfikatora Entra firmy Microsoft w miarę żądania użytkowników i przypisywanego dostępu do aplikacji.
Wdrażanie zasad dostępu warunkowego na potrzeby wymuszania logowania jednokrotnego
W tej sekcji ustanowisz zasady dostępu warunkowego, które są w zakresie określania, czy autoryzowany użytkownik może zalogować się do aplikacji, na podstawie czynników takich jak siła uwierzytelniania użytkownika lub stan urządzenia.
Dostęp warunkowy jest możliwy tylko w przypadku aplikacji korzystających z identyfikatora Microsoft Entra ID na potrzeby logowania jednokrotnego . Jeśli aplikacja nie jest w stanie zostać zintegrowana z logowaniem jednokrotnym, przejdź do następnej sekcji.
- W razie potrzeby przekaż dokument warunków użytkowania (TOU). Jeśli użytkownicy muszą zaakceptować termin użytkowania (TOU) przed uzyskaniem dostępu do aplikacji, utwórz i przekaż dokument TOU, aby mógł zostać uwzględniony w zasadach dostępu warunkowego.
- Sprawdź, czy użytkownicy są gotowi do uwierzytelniania wieloskładnikowego firmy Microsoft. Zalecamy wymaganie uwierzytelniania wieloskładnikowego firmy Microsoft dla aplikacji krytycznych dla działania firmy zintegrowanych za pośrednictwem federacji. W przypadku tych aplikacji powinny istnieć zasady, które wymagają od użytkownika spełnienia wymagania uwierzytelniania wieloskładnikowego przed zezwoleniem na logowanie się do aplikacji przez identyfikator Entra firmy Microsoft. Niektóre organizacje mogą również blokować dostęp według lokalizacji lub wymagać od użytkownika dostępu z zarejestrowanego urządzenia. Jeśli nie ma już odpowiednich zasad, które zawierają niezbędne warunki uwierzytelniania, lokalizacji, urządzenia i jednostki TOU, dodaj zasady do wdrożenia dostępu warunkowego.
- Przełącz internetowy punkt końcowy aplikacji do zakresu odpowiednich zasad dostępu warunkowego. Jeśli masz istniejące zasady dostępu warunkowego, które zostały utworzone dla innej aplikacji z zastrzeżeniem tych samych wymagań dotyczących ładu, możesz zaktualizować te zasady, aby zastosować je również do tej aplikacji, aby uniknąć dużej liczby zasad. Po wprowadzeniu aktualizacji sprawdź, czy oczekiwane zasady są stosowane. Dowiesz się, jakie zasady będą stosowane do użytkownika przy użyciu narzędzia warunkowego dostępu warunkowego.
- Utwórz cykliczny przegląd dostępu, jeśli użytkownicy będą potrzebować tymczasowych wykluczeń zasad. W niektórych przypadkach może nie być możliwe natychmiastowe wymuszenie zasad dostępu warunkowego dla każdego autoryzowanego użytkownika. Na przykład niektórzy użytkownicy mogą nie mieć odpowiedniego zarejestrowanego urządzenia. Jeśli konieczne jest wykluczenie co najmniej jednego użytkownika z zasad dostępu warunkowego i zezwolenie im na dostęp, skonfiguruj przegląd dostępu dla grupy użytkowników wykluczonych z zasad dostępu warunkowego.
- Dokumentowanie okresu istnienia tokenu i ustawień sesji aplikacji. Jak długo użytkownik, który został odrzucony, może nadal korzystać z aplikacji federacyjnej, zależy od okresu istnienia sesji aplikacji i okresu istnienia tokenu dostępu. Okres istnienia sesji dla aplikacji zależy od samej aplikacji. Aby dowiedzieć się więcej na temat kontrolowania okresu istnienia tokenów dostępu, zobacz Konfigurowalne okresy istnienia tokenów.
Wdrażanie zasad zarządzania upoważnieniami na potrzeby automatyzowania przypisywania dostępu
W tej sekcji skonfigurujesz zarządzanie upoważnieniami firmy Microsoft, aby użytkownicy mogli żądać dostępu do ról aplikacji lub grup używanych przez aplikację. Aby wykonać te zadania, musisz być w roli administratora globalnego, administratora ładu tożsamości lub być delegowane jako twórca katalogu i właściciel aplikacji.
Uwaga
Po najniższym dostępie zalecamy użycie roli Administrator ładu tożsamości tutaj.
- Pakiety dostępu dla zarządzanych aplikacji powinny znajdować się w wyznaczonym wykazie. Jeśli nie masz jeszcze katalogu dla scenariusza zapewniania ładu aplikacji, utwórz katalog w usłudze Microsoft Entra entitlement management. Jeśli masz wiele katalogów do utworzenia, możesz użyć skryptu programu PowerShell, aby utworzyć każdy wykaz.
- Wypełnij wykaz niezbędnymi zasobami. Dodaj aplikację i wszystkie grupy firmy Microsoft Entra, na których opiera się aplikacja, jako zasoby w tym wykazie. Jeśli masz wiele zasobów, możesz użyć skryptu programu PowerShell, aby dodać każdy zasób do wykazu.
- Utwórz pakiet dostępu dla każdej roli lub grupy, której użytkownicy mogą zażądać. Dla każdej aplikacji i dla każdej z ich ról lub grup aplikacji utwórz pakiet dostępu zawierający rolę lub grupę jako zasób. Na tym etapie konfigurowania tych pakietów dostępu należy skonfigurować pierwsze zasady przypisywania pakietów dostępu w każdym pakiecie dostępu jako zasady dla przypisania bezpośredniego, aby tylko administratorzy mogli tworzyć przypisania. W tych zasadach ustaw wymagania dotyczące przeglądu dostępu dla istniejących użytkowników, jeśli istnieją, aby nie zachować dostępu na czas nieokreślony. Jeśli masz wiele pakietów dostępu, możesz użyć skryptu programu PowerShell, aby utworzyć każdy pakiet dostępu w katalogu.
- Skonfiguruj pakiety dostępu, aby wymusić rozdzielenie wymagań dotyczących obowiązków. Jeśli masz rozdzielenie wymagań dotyczących obowiązków , skonfiguruj niezgodne pakiety dostępu lub istniejące grupy dla pakietu dostępu. Jeśli twój scenariusz wymaga możliwości zastąpienia kontroli rozdzielenia obowiązków, możesz również skonfigurować dodatkowe pakiety dostępu dla tych scenariuszy zastąpienia.
- Dodaj przypisania istniejących użytkowników, którzy mają już dostęp do aplikacji, do pakietów dostępu. Dla każdego pakietu dostępu przypisz istniejących użytkowników aplikacji w tej odpowiadającej roli lub członkom tej grupy do pakietu dostępu i jego zasad przypisania bezpośredniego. Możesz bezpośrednio przypisać użytkownika do pakietu dostępu przy użyciu centrum administracyjnego firmy Microsoft Entra lub zbiorczo za pośrednictwem programu Graph lub programu PowerShell.
- Utwórz dodatkowe zasady, aby umożliwić użytkownikom żądanie dostępu. W każdym pakiecie dostępu utwórz dodatkowe zasady przypisywania pakietów dostępu, aby użytkownicy żądali dostępu. Skonfiguruj wymagania dotyczące zatwierdzania i cyklicznego przeglądu dostępu w tych zasadach.
- Tworzenie cyklicznych przeglądów dostępu dla innych grup używanych przez aplikację. Jeśli istnieją grupy, które są używane przez aplikację, ale nie są rolami zasobów dla pakietu dostępu, utwórz przeglądy dostępu dla członkostwa w tych grupach.
Wyświetlanie raportów dotyczących dostępu
Usługa Microsoft Entra ID i Zarządzanie tożsamością Microsoft Entra z usługą Azure Monitor udostępnia kilka raportów, które ułatwiają zrozumienie, kto ma dostęp do aplikacji i czy korzystają z tego dostępu. Należą do nich:
- Administrator lub właściciel katalogu może pobrać listę użytkowników, którzy mają przypisane pakiety dostępuza pośrednictwem centrum administracyjnego Microsoft Entra, Graph lub PowerShell.
- Dzienniki inspekcji można również wysłać do usługi Azure Monitor i wyświetlić historię zmian w pakiecie dostępu, w centrum administracyjnym firmy Microsoft Entra lub za pomocą programu PowerShell.
- Ostatnie 30 dni logowania do aplikacji można wyświetlić w raporcie logowania w centrum administracyjnym firmy Microsoft Entra lub za pomocą programu Graph. Możesz również wysłać dzienniki logowania do usługi Azure Monitor , aby zarchiwizować działanie logowania przez maksymalnie dwa lata.
W witrynie Microsoft Entra są dostępne dodatkowe raporty. Aby uzyskać więcej informacji na temat raportów w zarządzaniu przywilejami, zobacz Wyświetlanie raportów i dzienników w zarządzaniu przywilejami.
Za pomocą usługi Azure Data Explorer można również przechowywać bieżące lub historyczne dane z witryny Microsoft Entra, Microsoft Entra ID Governance i innych źródeł oraz raportować je. Aby uzyskać więcej informacji, zobacz Dostosowane raporty w usłudze Azure Data Explorer przy użyciu danych z Microsoft Entra ID.
Monitorowanie w celu dostosowania zasad zarządzania upoważnieniami i dostępu zgodnie z potrzebami
W regularnych odstępach czasu, takich jak cotygodniowy, miesięczny lub kwartalny, na podstawie liczby zmian przypisań dostępu do aplikacji, użyj centrum administracyjnego firmy Microsoft Entra, aby zapewnić, że dostęp jest udzielany zgodnie z zasadami. Możesz również upewnić się, że zidentyfikowani użytkownicy do zatwierdzenia i przeglądu są nadal właściwymi osobami dla tych zadań.
Poszukaj zmian przypisań ról aplikacji i członkostwa w grupach. Jeśli masz skonfigurowany identyfikator Entra firmy Microsoft do wysyłania dziennika inspekcji do usługi Azure Monitor, użyj
Application role assignment activity
narzędzia w usłudze Azure Monitor, aby monitorować i raportować przypisania ról aplikacji, które nie zostały wykonane za pomocą zarządzania upoważnieniami. Jeśli istnieją przypisania ról utworzone bezpośrednio przez właściciela aplikacji, skontaktuj się z właścicielem aplikacji, aby ustalić, czy przypisanie zostało autoryzowane. Ponadto jeśli aplikacja korzysta z grup zabezpieczeń firmy Microsoft Entra, również monitoruj zmiany w tych grupach.Należy również obserwować, czy użytkownicy uzyskali dostęp bezpośrednio w aplikacji. Jeśli spełnione są następujące warunki, użytkownik może uzyskać dostęp do aplikacji bez bycia częścią identyfikatora Entra firmy Microsoft lub bez dodawania do magazynu kont użytkowników aplikacji przez identyfikator Firmy Microsoft Entra:
- Aplikacja ma lokalny magazyn kont użytkowników w aplikacji
- Magazyn konta użytkownika znajduje się w bazie danych lub w katalogu LDAP
- Aplikacja nie korzysta wyłącznie z identyfikatora Microsoft Entra ID na potrzeby logowania jednokrotnego.
W przypadku aplikacji z właściwościami na poprzedniej liście należy regularnie sprawdzać, czy użytkownicy zostali dodani tylko do lokalnego magazynu użytkowników aplikacji za pośrednictwem aprowizacji firmy Microsoft. Jeśli użytkownicy, którzy zostali utworzeni bezpośrednio w aplikacji, skontaktuj się z właścicielem aplikacji, aby ustalić, czy przypisanie zostało autoryzowane.
Upewnij się, że osoby zatwierdzające i recenzenci są aktualne. Dla każdego pakietu dostępu skonfigurowanego w poprzedniej sekcji upewnij się, że zasady przypisywania pakietów dostępu nadal mają poprawne osoby zatwierdzające i recenzentów. Zaktualizuj te zasady, jeśli osoby zatwierdzające i recenzenci, które zostały wcześniej skonfigurowane, nie są już obecne w organizacji lub są w innej roli.
Sprawdź, czy recenzenci podejmują decyzje podczas przeglądu. Monitoruj pomyślne ukończenie cyklicznych przeglądów dostępu dla tych pakietów dostępu, aby upewnić się, że recenzenci uczestniczą i podejmują decyzje o zatwierdzeniu lub odmowie dalszego zapotrzebowania użytkownika na dostęp.
Sprawdź, czy aprowizowanie i anulowanie aprowizacji działają zgodnie z oczekiwaniami. Jeśli wcześniej skonfigurowano aprowizowanie użytkowników w aplikacji, po zastosowaniu wyników przeglądu lub wygaśnięciu przypisania użytkownika do pakietu dostępu identyfikator Entra firmy Microsoft rozpoczyna anulowanie aprowizacji użytkowników z aplikacji. Możesz monitorować proces anulowania aprowizacji użytkowników. Jeśli aprowizacja wskazuje błąd aplikacji, możesz pobrać dziennik aprowizacji, aby sprawdzić, czy wystąpił problem z aplikacją.
Zaktualizuj konfigurację firmy Microsoft Entra przy użyciu dowolnej roli lub grupy zmian w aplikacji. Jeśli administrator aplikacji dodaje nowe role aplikacji w manifeście, aktualizuje istniejące role lub opiera się na dodatkowych grupach, musisz zaktualizować pakiety dostępu i przeglądy dostępu, aby uwzględnić te nowe role lub grupy.