Wdrażanie zasad organizacyjnych na potrzeby zarządzania dostępem do aplikacji zintegrowanych z identyfikatorem Entra firmy Microsoft

W poprzednich sekcjach zdefiniowano zasady ładu dla aplikacji i zintegrowano aplikację z identyfikatorem Entra firmy Microsoft. W tej sekcji skonfigurujesz funkcje zarządzania dostępem warunkowym i upoważnieniami firmy Microsoft w celu kontrolowania bieżącego dostępu do aplikacji. Ustanowisz

• Zasady dostępu warunkowego dotyczące sposobu uwierzytelniania użytkownika w usłudze Microsoft Entra ID dla aplikacji zintegrowanej z identyfikatorem Microsoft Entra ID na potrzeby logowania jednokrotnego
• Zasady zarządzania upoważnieniami dotyczące sposobu uzyskiwania i przechowywania przydziałów do ról aplikacji oraz członkostwa w grupach
• Zasady przeglądu dostępu dotyczące częstotliwości przeglądania członkostwa w grupach

Po wdrożeniu tych zasad można monitorować bieżące zachowanie Microsoft Entra ID, gdy użytkownicy proszą o dostęp do aplikacji i jest im on przyznawany.

Wdróż zasady dostępu warunkowego na potrzeby wymuszania logowania jednokrotnego (SSO)

W tej sekcji ustanowisz zasady dostępu warunkowego, które są w zakresie określania, czy autoryzowany użytkownik może zalogować się do aplikacji, na podstawie czynników takich jak siła uwierzytelniania użytkownika lub stan urządzenia.

Dostęp warunkowy jest możliwy tylko w przypadku aplikacji korzystających z identyfikatora Microsoft Entra ID na potrzeby logowania jednokrotnego . Jeśli aplikacja nie jest w stanie zostać zintegrowana z logowaniem jednokrotnym, przejdź do następnej sekcji.

1. W razie potrzeby przekaż dokument warunków użytkowania (TOU). Jeśli użytkownicy muszą zaakceptować termin użytkowania (TOU) przed uzyskaniem dostępu do aplikacji, utwórz i przekaż dokument TOU, aby mógł zostać uwzględniony w zasadach dostępu warunkowego.
2. Sprawdź, czy użytkownicy są gotowi do uwierzytelniania wieloskładnikowego firmy Microsoft. Zalecamy wymaganie uwierzytelniania wieloskładnikowego firmy Microsoft dla aplikacji krytycznych dla działania firmy zintegrowanych za pośrednictwem federacji. W przypadku tych aplikacji powinny istnieć zasady, które wymagają od użytkownika spełnienia wymagania uwierzytelniania wieloskładnikowego przed zezwoleniem na logowanie się do aplikacji przez identyfikator Entra firmy Microsoft. Niektóre organizacje mogą również blokować dostęp według lokalizacji lub wymagać od użytkownika dostępu z zarejestrowanego urządzenia. Jeśli nie ma jeszcze odpowiedniej zasady, która zawiera niezbędne warunki dotyczące uwierzytelniania, lokalizacji, urządzenia i TOU, dodaj zasadę do wdrożenia dostępu warunkowego.
3. Dodaj sieciowy punkt końcowy aplikacji do zakresu odpowiednich zasad dostępu warunkowego. Jeśli masz istniejące zasady dostępu warunkowego, które zostały utworzone dla innej aplikacji z zastrzeżeniem tych samych wymagań dotyczących ładu, możesz zaktualizować te zasady, aby zastosować je również do tej aplikacji, aby uniknąć dużej liczby zasad. Po wprowadzeniu aktualizacji sprawdź, czy oczekiwane zasady są stosowane. Możesz zobaczyć, jakie zasady będą stosowane do użytkownika przy użyciu narzędzia warunkowego dostępu.
4. Utwórz cykliczny przegląd dostępu, jeśli którykolwiek użytkownik będzie potrzebować tymczasowych wykluczeń od zasad. W niektórych przypadkach może nie być możliwe natychmiastowe wymuszenie zasad dostępu warunkowego dla każdego autoryzowanego użytkownika. Na przykład niektórzy użytkownicy mogą nie mieć odpowiedniego zarejestrowanego urządzenia. Jeśli konieczne jest wykluczenie co najmniej jednego użytkownika z zasad dostępu warunkowego i zezwolenie im na dostęp, skonfiguruj przegląd dostępu dla grupy użytkowników wykluczonych z zasad dostępu warunkowego.
5. Dokumentowanie okresu istnienia tokenu i ustawień sesji aplikacji. Jak długo użytkownik, który został odrzucony, może nadal korzystać z aplikacji federacyjnej, zależy od okresu istnienia sesji aplikacji i okresu istnienia tokenu dostępu. Okres istnienia sesji dla aplikacji zależy od samej aplikacji. Aby dowiedzieć się więcej na temat kontrolowania okresu istnienia tokenów dostępu, zobacz Konfigurowalne okresy istnienia tokenów.

Wdrażanie zasad zarządzania upoważnieniami na potrzeby automatyzowania przypisywania dostępu

W tej sekcji skonfigurujesz Microsoft Entra zarządzanie uprawnieniami, aby użytkownicy mogli żądać dostępu do ról w Twojej aplikacji lub do grup używanych przez tę aplikację. Aby wykonać te zadania, domyślną rola o minimalnych uprawnieniach jest rola Administrator zarządzania tożsamością lub inny użytkownik może być delegowany jako twórca katalogu, a także właścicielem aplikacji.

Uwaga

Po zastosowaniu zasady najmniejszych uprawnień zalecamy użycie roli Administratora zarządzania tożsamością.

1. Pakiety dostępu dla zarządzanych aplikacji powinny znajdować się w wyznaczonym wykazie. Jeśli nie masz jeszcze katalogu dla scenariusza zarządzania aplikacjami, utwórz katalog w Microsoft Entra entitlement management. Jeśli masz wiele katalogów do utworzenia, możesz użyć skryptu programu PowerShell, aby utworzyć każdy katalog, jak pokazano w utworzyć wykaz przy użyciu programu PowerShell.
2. Wypełnij wykaz niezbędnymi zasobami. Dodaj aplikację i wszystkie grupy firmy Microsoft Entra, na których opiera się aplikacja, jako zasoby w tym wykazie. Jeśli masz wiele zasobów, możesz użyć skryptu programu PowerShell, aby dodać każdy zasób do katalogu, jak pokazano w dodać aplikację jako zasób do katalogu.
3. Utwórz pakiet dostępu dla każdej roli lub grupy, której użytkownicy mogą zażądać. Dla każdej aplikacji i dla każdej z ich ról lub grup aplikacji utwórz pakiet dostępu zawierający rolę lub grupę jako zasób. Na tym etapie konfigurowania tych pakietów dostępu należy skonfigurować pierwsze zasady przypisywania pakietów dostępu w każdym pakiecie dostępu jako zasady dla przypisania bezpośredniego, aby tylko administratorzy mogli tworzyć przypisania. W tych zasadach ustaw wymagania dotyczące przeglądu dostępu dla istniejących użytkowników, jeśli tacy istnieją, aby nie utrzymywali dostępu na czas nieokreślony. Jeśli masz wiele pakietów dostępu, możesz użyć skryptu programu PowerShell, aby utworzyć każdy pakiet dostępu w katalogu, jak pokazano w utworzyć pakiet dostępu dla aplikacji z jedną rolą.
4. Skonfiguruj pakiety dostępu, aby wymusić rozdzielenie wymagań dotyczących obowiązków. Jeśli masz rozdzielenie wymagań dotyczących obowiązków , skonfiguruj niezgodne pakiety dostępu lub istniejące grupy dla pakietu dostępu. Jeśli twój scenariusz wymaga możliwości zastąpienia kontroli rozdzielenia obowiązków, możesz również skonfigurować dodatkowe pakiety dostępu dla tych scenariuszy zastąpienia.
5. Dodaj przypisania istniejących użytkowników, którzy mają już dostęp do aplikacji, do pakietów dostępu. Dla każdego pakietu dostępu przypisz istniejących użytkowników aplikacji w odpowiedniej roli lub członków tej grupy do pakietu dostępu i jego polityki bezpośredniego przypisania. Możesz bezpośrednio przypisać użytkownika do pakietu dostępu za pomocą centrum administracyjnego Microsoft Entra lub zbiorczo za pomocą Graph lub PowerShell, jak pokazano w dodawanie przypisań istniejących użytkowników.
6. Utwórz dodatkowe zasady, aby umożliwić użytkownikom żądanie dostępu. W każdym pakiecie dostępu, utwórz dodatkowe zasady przypisywania pakietów dostępu, aby użytkownicy mogli żądać dostępu. Skonfiguruj wymagania dotyczące zatwierdzania i cyklicznego przeglądu dostępu w tych zasadach.
7. Tworzenie cyklicznych przeglądów dostępu dla innych grup używanych przez aplikację. Jeśli istnieją grupy, które są używane przez aplikację, ale nie są rolami zasobów dla pakietu dostępu, utwórz przeglądy dostępu dla członkostwa w tych grupach.

Wyświetlanie raportów dotyczących dostępu

Usługa Microsoft Entra ID i Zarządzanie tożsamością Microsoft Entra z usługą Azure Monitor udostępnia kilka raportów, które ułatwiają zrozumienie, kto ma dostęp do aplikacji i czy korzystają z tego dostępu. Należą do nich:

• Administrator lub właściciel katalogu może pobrać listę użytkowników, którzy mają przypisane pakiety dostępuza pośrednictwem centrum administracyjnego Microsoft Entra, Graph lub PowerShell.
• Dzienniki inspekcji można również wysłać do usługi Azure Monitor i wyświetlić historię zmian w pakiecie dostępu, w centrum administracyjnym firmy Microsoft Entra lub za pomocą programu PowerShell.
• Ostatnie 30 dni logowania do aplikacji można wyświetlić w raporcie logowania w centrum administracyjnym firmy Microsoft Entra lub za pomocą programu Graph. Możesz również wysłać dzienniki logowania do usługi Azure Monitor , aby zarchiwizować działanie logowania przez maksymalnie dwa lata.

W witrynie Microsoft Entra są dostępne dodatkowe raporty. Aby uzyskać więcej informacji na temat raportów w zarządzaniu przywilejami, zobacz Wyświetlanie raportów i dzienników w zarządzaniu przywilejami.

Za pomocą usługi Azure Data Explorer można również przechowywać bieżące lub historyczne dane z witryny Microsoft Entra, Microsoft Entra ID Governance i innych źródeł oraz raportować je. Aby uzyskać więcej informacji, zobacz Dostosowane raporty w usłudze Azure Data Explorer przy użyciu danych z Microsoft Entra ID.

Monitorowanie w celu dostosowania zasad zarządzania upoważnieniami i dostępu zgodnie z potrzebami

W regularnych odstępach czasu, takich jak cotygodniowy, miesięczny lub kwartalny, na podstawie liczby zmian przypisań dostępu do aplikacji, użyj centrum administracyjnego firmy Microsoft Entra, aby zapewnić, że dostęp jest udzielany zgodnie z zasadami. Możesz również upewnić się, że zidentyfikowani użytkownicy do zatwierdzenia i przeglądu są nadal właściwymi osobami dla tych zadań.

• Zwracaj uwagę na zmiany przypisań ról aplikacji i członkostwa w grupach. Jeśli masz skonfigurowany Microsoft Entra ID do wysyłania dziennika inspekcji do usługi Azure Monitor, użyj Application role assignment activity w usłudze Azure Monitor, aby monitorować i raportować przypisania ról aplikacji, które nie zostały wykonane poprzez zarządzanie uprawnieniami. Jeśli istnieją przypisania ról utworzone bezpośrednio przez właściciela aplikacji, skontaktuj się z właścicielem aplikacji, aby ustalić, czy przypisanie zostało autoryzowane. Ponadto jeśli aplikacja korzysta z grup zabezpieczeń firmy Microsoft Entra, również monitoruj zmiany w tych grupach.

• Należy również obserwować, czy użytkownicy uzyskali dostęp bezpośrednio w aplikacji. Jeśli spełnione są następujące warunki, użytkownik może uzyskać dostęp do aplikacji bez bycia częścią Microsoft Entra ID lub bez dodawania do repozytorium kont użytkowników aplikacji przez Microsoft Entra ID.

  • Aplikacja ma lokalny magazyn kont użytkowników w aplikacji
  • Magazyn konta użytkownika znajduje się w bazie danych lub w katalogu LDAP
  • Aplikacja nie korzysta wyłącznie z identyfikatora Microsoft Entra ID na potrzeby logowania jednokrotnego.

  W przypadku aplikacji z właściwościami na poprzedniej liście należy regularnie sprawdzać, czy użytkownicy zostali dodani tylko do lokalnej bazy użytkowników aplikacji za pośrednictwem aprowizacji Microsoft Entra. Jeśli użytkownicy zostali utworzeni bezpośrednio w aplikacji, należy skontaktować się z właścicielem aplikacji, aby ustalić, czy przypisanie zostało autoryzowane.

• Upewnij się, że osoby zatwierdzające i recenzenci są aktualne. Dla każdego pakietu dostępu skonfigurowanego w poprzedniej sekcji upewnij się, że zasady przypisywania pakietów dostępu nadal mają poprawne osoby zatwierdzające i recenzentów. Zaktualizuj te zasady, jeśli osoby zatwierdzające i recenzenci, które zostały wcześniej skonfigurowane, nie są już obecne w organizacji lub są w innej roli.

• Sprawdź, czy recenzenci podejmują decyzje podczas przeglądu. Monitoruj pomyślne ukończenie cyklicznych przeglądów dostępu dla tych pakietów dostępu, aby upewnić się, że recenzenci uczestniczą i podejmują decyzje o zatwierdzeniu lub odmowie dalszego zapotrzebowania użytkownika na dostęp.

• Sprawdź, czy włączanie i wyłączanie działają zgodnie z oczekiwaniami. Jeśli wcześniej skonfigurowano aprowizację użytkowników w aplikacji, to gdy zostaną zastosowane wyniki przeglądu lub wygaśnie przypisanie użytkownika do pakietu dostępu, Microsoft Entra ID rozpoczyna deprowizację użytkowników, którym odmówiono dostępu, z aplikacji. Możesz monitorować proces likwidacji użytkowników. Jeśli aprowizacja wskazuje błąd aplikacji, możesz pobrać dziennik aprowizacji, aby sprawdzić, czy wystąpił problem z aplikacją.

• Zaktualizuj konfigurację Microsoft Entra, uwzględniając wszelkie zmiany ról lub grup w aplikacji. Jeśli administrator aplikacji dodaje nowe role aplikacji w manifeście , aktualizuje istniejące role lub opiera się na dodatkowych grupach, musisz zaktualizować pakiety dostępu i przeglądy dostępu, aby uwzględnić te nowe role lub grupy.

Następne kroki

• Plan wdrożenia przeglądów dostępu