Zarządzanie dostępem do aplikacji w środowisku
Zarządzanie tożsamością Microsoft Entra umożliwia zrównoważenie potrzeb organizacji w zakresie bezpieczeństwa i produktywności pracowników przy użyciu odpowiednich procesów i widoczności. Jej funkcje zapewniają odpowiednim osobom odpowiedni dostęp do odpowiednich zasobów w organizacji w odpowiednim czasie.
Organizacje z wymaganiami dotyczącymi zgodności lub planami zarządzania ryzykiem mają wrażliwe lub krytyczne dla działania firmy aplikacje. Ważność aplikacji może być oparta na jego celach lub na danych, które zawiera, takich jak informacje finansowe lub dane osobowe klientów organizacji. W przypadku tych aplikacji tylko podzbiór wszystkich użytkowników w organizacji będzie zazwyczaj autoryzowany do uzyskania dostępu, a dostęp powinien być dozwolony tylko na podstawie udokumentowanych wymagań biznesowych.
W ramach mechanizmów kontroli organizacji do zarządzania dostępem można używać funkcji firmy Microsoft Entra do:
- konfigurowanie odpowiedniego dostępu
- aprowizuj użytkowników w aplikacjach
- wymuszanie kontroli dostępu
- tworzenie raportów w celu zademonstrowania sposobu użycia tych mechanizmów kontroli w celu spełnienia celów związanych ze zgodnością i zarządzaniem ryzykiem.
Oprócz scenariusza zapewniania ładu dostępu do aplikacji można również używać funkcji Zarządzanie tożsamością Microsoft Entra i innych funkcji firmy Microsoft Entra w innych scenariuszach, takich jak przeglądanie i usuwanie użytkowników z innych organizacji lub zarządzanie użytkownikami wykluczonymi z zasad dostępu warunkowego. Jeśli Organizacja ma wielu administratorów w usłudze Microsoft Entra ID lub Azure, korzysta z usługi B2B lub samoobsługowego zarządzania grupami, należy zaplanować wdrożenie przeglądów dostępu dla tych scenariuszy.
Wymagania dotyczące licencji
Korzystanie z tej funkcji wymaga licencji Zarządzanie tożsamością Microsoft Entra lub Microsoft Entra Suite. Aby znaleźć odpowiednią licencję dla wymagań, zobacz Zarządzanie tożsamością Microsoft Entra podstawy licencjonowania.
Wprowadzenie do zarządzania dostępem do aplikacji
Zarządzanie tożsamością Microsoft Entra można zintegrować z wieloma aplikacjami przy użyciu standardów, takich jak OpenID Connect, SAML, SCIM, SQL i LDAP. Za pomocą tych standardów można używać identyfikatora Entra firmy Microsoft z wieloma popularnymi aplikacjami SaaS, aplikacjami lokalnymi i aplikacjami opracowanymi przez organizację.
Po przygotowaniu środowiska Microsoft Entra zgodnie z opisem w poniższej sekcji trzy kroki planu opisano sposób łączenia aplikacji z identyfikatorem Entra firmy Microsoft i włączania funkcji ładu tożsamości do użycia dla tej aplikacji.
- Definiowanie zasad organizacji na potrzeby zarządzania dostępem do aplikacji
- Zintegruj aplikację z identyfikatorem Entra firmy Microsoft, aby upewnić się, że tylko autoryzowani użytkownicy mogą uzyskiwać dostęp do aplikacji, i przejrzyj istniejący dostęp użytkownika do aplikacji, aby ustawić punkt odniesienia wszystkich użytkowników, którzy zostali przejrzeni. Umożliwia to uwierzytelnianie i aprowizację użytkowników
- Wdrażanie tych zasad na potrzeby kontrolowania logowania jednokrotnego i automatyzowania przypisań dostępu dla tej aplikacji
Wymagania wstępne przed skonfigurowaniem identyfikatora Entra firmy Microsoft i Zarządzanie tożsamością Microsoft Entra na potrzeby zapewnienia ładu tożsamości
Przed rozpoczęciem procesu zarządzania dostępem do aplikacji z Zarządzanie tożsamością Microsoft Entra należy sprawdzić, czy środowisko Firmy Microsoft Entra jest odpowiednio skonfigurowane.
Upewnij się, że środowisko Microsoft Entra ID i Microsoft Online Services jest gotowe do spełnienia wymagań dotyczących zgodności aplikacji, które mają być zintegrowane i prawidłowo licencjonowane. Zgodność jest wspólną odpowiedzialnością między firmy Microsoft, dostawców usług w chmurze (CSP) i organizacji. Aby zarządzać dostępem do aplikacji przy użyciu identyfikatora Entra firmy Microsoft, musisz mieć jedną z następujących kombinacji licencji w dzierżawie:
- Zarządzanie tożsamością Microsoft Entra i jego wymagania wstępne, Microsoft Entra ID P1
- Zarządzanie tożsamością Microsoft Entra step up for Microsoft Entra ID P2 and its prerequisite ( Microsoft Entra ID P2 lub Enterprise Mobility + Security (EMS) E5
Dzierżawa musi mieć co najmniej tyle licencji, ile użytkowników będących członkami (innych niż goście), w tym tych, którzy mają lub mogą zażądać dostępu do aplikacji, zatwierdzić lub przejrzeć dostęp do aplikacji. Mając odpowiednią licencję dla tych użytkowników, możesz zarządzać dostępem do maksymalnie 1500 aplikacji na użytkownika.
Jeśli będziesz zarządzać dostępem gościa do aplikacji, połącz dzierżawę firmy Microsoft Entra z subskrypcją na potrzeby rozliczeń programu MAU. Ten krok jest niezbędny przed uzyskaniem żądania gościa lub przejrzenia dostępu. Aby uzyskać więcej informacji, zobacz Model rozliczeń dla Tożsamość zewnętrzna Microsoft Entra.
Sprawdź, czy identyfikator Entra firmy Microsoft już wysyła dziennik inspekcji i opcjonalnie inne dzienniki do usługi Azure Monitor. Usługa Azure Monitor jest opcjonalna, ale przydatna do zarządzania dostępem do aplikacji, ponieważ firma Microsoft Entra przechowuje tylko zdarzenia inspekcji przez maksymalnie 30 dni w dzienniku inspekcji. Dane inspekcji można przechowywać dłużej niż domyślny okres przechowywania, opisany w temacie Jak długo dane raportowania magazynu identyfikatorów firmy Microsoft? i używać skoroszytów usługi Azure Monitor oraz niestandardowych zapytań i raportów dotyczących historycznych danych inspekcji. Konfigurację firmy Microsoft Entra możesz sprawdzić, czy używa usługi Azure Monitor w usłudze Microsoft Entra ID w centrum administracyjnym firmy Microsoft Entra, klikając pozycję Skoroszyty. Jeśli ta integracja nie jest skonfigurowana i masz subskrypcję platformy Azure i znajdujesz się w
Global Administrator
rolach lubSecurity Administrator
, możesz skonfigurować identyfikator Entra firmy Microsoft do korzystania z usługi Azure Monitor.Wybierz metodę przechowywania obiektów. Jeśli Twoja organizacja wymaga możliwości raportowania historycznych obiektów firmy Microsoft Entra, takich jak raporty, które zawierają listę użytkowników, którzy mieli dostęp do aplikacji w ciągu ostatniego roku, w tym tych użytkowników, którzy zostali następnie usunięci z firmy Microsoft Entra, należy zaplanować archiwizowanie obiektów z firmy Microsoft Entra do oddzielnego repozytorium na potrzeby przechowywania i raportowania. Aby uzyskać więcej informacji, zobacz Dostosowane raporty w usłudze Azure Data Explorer (ADX) przy użyciu danych z Microsoft Entra ID.
Upewnij się, że tylko autoryzowani użytkownicy znajdują się w wysoce uprzywilejowanych rolach administracyjnych w dzierżawie firmy Microsoft Entra. Administratorzy administratorów globalnych, administratora ładu tożsamości, administratora użytkowników, administratora aplikacji, administratora aplikacji w chmurze i administratora ról uprzywilejowanych mogą wprowadzać zmiany dla użytkowników i przypisań ról aplikacji. Jeśli członkostwo w tych rolach nie zostało jeszcze ostatnio przejrzyone, musisz mieć użytkownika, który jest administratorem globalnym lub administratorem ról uprzywilejowanych, aby upewnić się, że dostęp do przeglądu tych ról katalogu jest uruchomiony. Należy również upewnić się, że użytkownicy w rolach platformy Azure w subskrypcjach, które przechowują usługę Azure Monitor, Logic Apps i inne zasoby potrzebne do działania konfiguracji firmy Microsoft Entra, zostały przejrzyone.
Sprawdź, czy dzierżawa ma odpowiednią izolację. Jeśli Twoja organizacja korzysta z lokalnej usługi Active Directory, a te domeny usługi AD są połączone z identyfikatorem Entra firmy Microsoft, musisz upewnić się, że wysoce uprzywilejowane operacje administracyjne dla usług hostowanych w chmurze są odizolowane od kont lokalnych. Sprawdź, czy systemy zostały skonfigurowane pod kątem ochrony środowiska chmury platformy Microsoft 365 przed naruszeniem zabezpieczeń lokalnych.
Po sprawdzeniu, czy środowisko Firmy Microsoft Entra jest gotowe, przejdź do zdefiniowania zasad ładu dla aplikacji.