Udostępnij za pośrednictwem

Zarządzanie dostępem do aplikacji w środowisku

  • Artykuł

Zarządzanie tożsamością Microsoft Entra umożliwia zrównoważenie potrzeb organizacji w zakresie bezpieczeństwa i produktywności pracowników przy użyciu odpowiednich procesów i widoczności. Jej funkcje zapewniają odpowiednim osobom odpowiedni dostęp do odpowiednich zasobów w organizacji w odpowiednim czasie.

Organizacje z wymaganiami dotyczącymi zgodności lub planami zarządzania ryzykiem mają wrażliwe lub krytyczne dla działania firmy aplikacje. Ważność aplikacji może być oparta na jego celach lub na danych, które zawiera, takich jak informacje finansowe lub dane osobowe klientów organizacji. W przypadku tych aplikacji tylko podzbiór wszystkich użytkowników w organizacji będzie zazwyczaj autoryzowany do uzyskania dostępu, a dostęp powinien być dozwolony tylko na podstawie udokumentowanych wymagań biznesowych.

W ramach mechanizmów kontroli organizacji do zarządzania dostępem można używać funkcji firmy Microsoft Entra do:

  • konfigurowanie odpowiedniego dostępu
  • przydzielaj użytkowników do aplikacji
  • wymuszanie kontroli dostępu
  • tworzenie raportów w celu zademonstrowania sposobu użycia tych mechanizmów kontroli w celu spełnienia celów związanych ze zgodnością i zarządzaniem ryzykiem.

Oprócz scenariusza zapewniania ładu dostępu do aplikacji można również używać funkcji Zarządzanie tożsamością Microsoft Entra i innych funkcji firmy Microsoft Entra w innych scenariuszach, takich jak przeglądanie i usuwanie użytkowników z innych organizacji lub zarządzanie użytkownikami wykluczonymi z zasad dostępu warunkowego. Jeśli Organizacja ma wielu administratorów w usłudze Microsoft Entra ID lub Azure, korzysta z usługi B2B lub samoobsługowego zarządzania grupami, należy zaplanować wdrożenie przeglądów dostępu dla tych scenariuszy.

Wymagania dotyczące licencji

Korzystanie z tej funkcji wymaga licencji Microsoft Entra ID Governance lub Microsoft Entra Suite. Aby znaleźć odpowiednią licencję dla Twoich potrzeb, zobacz Microsoft Entra ID Governance podstawy licencjonowania.

Wprowadzenie do zarządzania dostępem do aplikacji

Zarządzanie tożsamością Microsoft Entra można zintegrować z wieloma aplikacjami przy użyciu standardów, takich jak OpenID Connect, SAML, SCIM, SQL i LDAP. Za pomocą tych standardów można używać identyfikatora Entra firmy Microsoft z wieloma popularnymi aplikacjami SaaS, aplikacjami lokalnymi i aplikacjami opracowanymi przez organizację.

Po przygotowaniu środowiska Microsoft Entra zgodnie z opisem w poniższej sekcji, plan trzyetapowy opisuje sposób połączenia aplikacji z Microsoft Entra ID oraz włączenia funkcji zarządzania tożsamością do użycia dla tej aplikacji.

  1. Definiowanie zasad organizacji na potrzeby zarządzania dostępem do aplikacji
  2. Zintegruj aplikację z identyfikatorem Entra firmy Microsoft, aby upewnić się, że tylko autoryzowani użytkownicy mogą uzyskiwać dostęp do aplikacji, i przejrzyj istniejący dostęp użytkownika do aplikacji, aby ustawić punkt odniesienia wszystkich użytkowników, którzy zostali przejrzeni. Umożliwia to uwierzytelnianie i zarządzanie użytkownikami
  3. Wdrażanie tych zasad na potrzeby kontrolowania logowania jednokrotnego i automatyzowania przypisań dostępu dla tej aplikacji

Wymagania wstępne przed skonfigurowaniem Microsoft Entra ID i zarządzania tożsamościami Microsoft Entra ID na potrzeby zarządzania tożsamościami.

Przed rozpoczęciem procesu zarządzania dostępem do aplikacji z Zarządzania tożsamościami Microsoft Entra ID należy sprawdzić, czy środowisko Microsoft Entra jest odpowiednio skonfigurowane.

  • Wybierz odpowiednią architekturę wdrożeń najemcy. Jeśli zamierzasz zapewniać partnerom biznesowym oraz pracownikom dostęp do aplikacji, wybierz dzierżawcę, aby zintegrować aplikację i wdrożyć funkcje zarządzania tożsamością, które zostaną skonfigurowane pod kątem wszelkich wymagań dotyczących współpracy lub izolacji w scenariuszu partnera biznesowego. Aby uzyskać więcej informacji, zobacz Architektury wdrażania identyfikatora zewnętrznego firmy Microsoft w usłudze Microsoft Entra.

  • Upewnij się, że środowisko Microsoft Entra ID i Microsoft Online Services jest gotowe do spełnienia wymagań dotyczących zgodności aplikacji, które mają być zintegrowane i prawidłowo licencjonowane. Zgodność jest wspólną odpowiedzialnością między firmy Microsoft, dostawców usług w chmurze (CSP) i organizacji. Aby używać Microsoft Entra ID do zarządzania dostępem do aplikacji, musisz mieć jedną z następujących kombinacji licencji w Twojej dzierżawie.

    • Microsoft Entra ID Governance i jej wymóg wstępny, Microsoft Entra ID P1
    • Podniesienie poziomu zarządzania tożsamością Microsoft Entra dla Microsoft Entra ID P2 oraz jego wymóg wstępny, czyli Microsoft Entra ID P2 lub Enterprise Mobility + Security (EMS) E5.
    • Microsoft Entra Suite

    Twoje środowisko musi posiadać co najmniej tyle licencji, ile użytkowników będących członkami (nie będących gośćmi), których dotyczą zasady zarządzania, w tym użytkowników, którzy mają lub mogą zażądać dostępu do aplikacji, oraz zatwierdzić lub przejrzeć dostęp do aplikacji. Mając odpowiednią licencję dla tych użytkowników, możesz zarządzać dostępem do maksymalnie 1500 aplikacji na użytkownika. Aby uzyskać więcej informacji, zobacz przykładowe scenariusze licencji.

  • Jeśli będziesz zarządzać dostępem gościa do aplikacji, połącz dzierżawę firmy Microsoft Entra z subskrypcją na potrzeby rozliczeń programu MAU. Ten krok jest niezbędny przed tym, jak gość poprosi o dostęp lub go przejrzy. Aby uzyskać więcej informacji, zobacz Model rozliczeń dla Microsoft Entra External ID.

  • Sprawdź, czy identyfikator Entra firmy Microsoft już wysyła dziennik inspekcji i opcjonalnie inne dzienniki do usługi Azure Monitor. Usługa Azure Monitor jest opcjonalna, ale przydatna do zarządzania dostępem do aplikacji, ponieważ firma Microsoft Entra przechowuje tylko zdarzenia inspekcji przez maksymalnie 30 dni w dzienniku inspekcji. Dane audytu można przechowywać dłużej niż domyślny czas retencji, opisany w temacie Jak długo Microsoft Entra ID przechowuje dane raportowania?, oraz używać skoroszytów usługi Azure Monitor, a także niestandardowych zapytań i raportów dotyczących historycznych danych audytu. Możesz sprawdzić konfigurację Microsoft Entra, aby zobaczyć, czy korzysta z usługi Azure Monitor, logując się do centrum administracyjnego Microsoft Entra ID i klikając opcję Skoroszyty. Jeśli ta integracja nie jest skonfigurowana, a masz subskrypcję platformy Azure i jesteś w rolach Global Administrator lub Security Administrator, możesz skonfigurować Microsoft Entra ID do korzystania z Azure Monitor.

  • Wybierz metodę przechowywania obiektów. Jeśli Twoja organizacja wymaga możliwości raportowania historycznych obiektów firmy Microsoft Entra, takich jak raporty, które zawierają listę użytkowników, którzy mieli dostęp do aplikacji w ciągu ostatniego roku, w tym tych użytkowników, którzy zostali następnie usunięci z firmy Microsoft Entra, należy zaplanować archiwizowanie obiektów z firmy Microsoft Entra do oddzielnego repozytorium na potrzeby przechowywania i raportowania. Aby uzyskać więcej informacji, zobacz Dostosowane raporty w usłudze Azure Data Explorer (ADX) przy użyciu danych z Microsoft Entra ID.

  • Upewnij się, że tylko autoryzowani użytkownicy znajdują się w wysoce uprzywilejowanych rolach administracyjnych w dzierżawie Microsoft Entra. Administratorzy w rolach globalnego administratora, administratora ładu tożsamości, administratora użytkowników, administratora aplikacji, administratora aplikacji w chmurze, i administratora ról uprzywilejowanych mogą wprowadzać zmiany dla użytkowników i przypisywania ról aplikacji. Jeśli członkostwo w tych rolach nie zostało jeszcze ostatnio przeanalizowane, musisz mieć użytkownika, który jest administratorem globalnym lub administratorem ról uprzywilejowanych, aby upewnić się, że przeglądy dostępu do tych ról katalogu zostały uruchomione. Należy również upewnić się, że użytkownicy w rolach platformy Azure w subskrypcjach, które przechowują usługę Azure Monitor, Logic Apps i inne zasoby potrzebne dla działania konfiguracji Microsoft Entra, zostały przejrzane.

  • Sprawdź, czy twój najemca ma odpowiednią izolację. Jeśli Twoja organizacja korzysta z lokalnej usługi Active Directory, a te domeny usługi AD są połączone z identyfikatorem Entra firmy Microsoft, musisz upewnić się, że wysoce uprzywilejowane operacje administracyjne dla usług hostowanych w chmurze są odizolowane od kont lokalnych. Sprawdź, czy systemy zostały skonfigurowane pod kątem ochrony środowiska chmury platformy Microsoft 365 przed naruszeniem zabezpieczeń lokalnych.

Po sprawdzeniu, czy środowisko Microsoft Entra jest gotowe, przejdź do ustanowienia zasad zarządzania dla aplikacji.

Następne kroki