Udostępnij za pośrednictwem

Samouczek: zarządzanie dostępem do aplikacji i zabezpieczeniami

  • Artykuł

Administrator IT w firmie Fabrikam dodał i skonfigurował aplikację z galerii aplikacji Firmy Microsoft Entra. Teraz muszą zrozumieć funkcje dostępne do zarządzania dostępem do aplikacji i upewnić się, że aplikacja jest bezpieczna. Korzystając z informacji w tym samouczku, administrator uczy się, jak wykonywać następujące czynności:

  • Udzielanie zgody dla aplikacji w imieniu wszystkich użytkowników
  • Włączanie uwierzytelniania wieloskładnikowego w celu zwiększenia bezpieczeństwa logowania
  • Przekazywanie terminu użycia użytkownikom aplikacji
  • Tworzenie kolekcji w portalu Moje aplikacje

Wymagania wstępne

  • Konto platformy Azure z aktywną subskrypcją. Utwórz konto bezpłatnie.
  • Jedną z następujących ról: Administrator ról uprzywilejowanych, Administrator aplikacji w chmurze lub Administrator aplikacji.
  • Aplikacja dla przedsiębiorstw, która została skonfigurowana w dzierżawie usługi Microsoft Entra.
  • Co najmniej jedno konto użytkownika zostało dodane i przypisane do aplikacji. Aby uzyskać więcej informacji, zobacz Szybki start: tworzenie i przypisywanie konta użytkownika.

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

W przypadku aplikacji, którą administrator dodał do swojej dzierżawy, chce ją skonfigurować, aby wszyscy użytkownicy w organizacji mogli z niej korzystać i nie muszą żądać indywidualnej zgody na jej użycie. Aby uniknąć potrzeby wyrażania zgody przez użytkownika, mogą udzielić zgody aplikacji w imieniu wszystkich użytkowników w organizacji. Aby uzyskać więcej informacji, zobacz Omówienie zgody i uprawnień.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
  2. Przejdź do aplikacji dla przedsiębiorstw usługi Identity>Applications>.
  3. Wybierz aplikację, do której chcesz udzielić zgody administratora dla całej dzierżawy.
  4. W obszarze Zabezpieczenia wybierz pozycję Uprawnienia.
  5. Dokładnie przejrzyj uprawnienia wymagane przez aplikację. Jeśli zgadzasz się z uprawnieniami wymaganymi przez aplikację, wybierz pozycję Udziel zgody administratora.

Tworzenie zasady dostępu warunkowego

Administrator chce się upewnić, że tylko osoby, które przypisują do aplikacji, mogą bezpiecznie się zalogować. W tym celu mogą skonfigurować zasady dostępu warunkowego dla grupy użytkowników, która wymusza uwierzytelnianie wieloskładnikowe. Aby uzyskać więcej informacji, zobacz Co to jest dostęp warunkowy?.

Tworzenie grupy

Administrator może łatwiej zarządzać dostępem do aplikacji, przypisując wszystkich użytkowników aplikacji do grupy. Administrator może następnie zarządzać dostępem na poziomie grupy.

  1. W menu po lewej stronie przeglądu dzierżawy wybierz pozycję Grupy>Wszystkie grupy.
  2. Wybierz pozycję Nowa grupa w górnej części okienka.
  3. Wprowadź MFA-Test-Group jako nazwę grupy.
  4. Wybierz pozycję Brak wybranych członków, a następnie wybierz konto użytkownika przypisane do aplikacji.
  5. Wybierz pozycję Utwórz.

Tworzenie zasad dostępu warunkowego dla grupy

  1. W menu po lewej stronie przeglądu dzierżawy wybierz pozycję Ochrona.
  2. Wybierz pozycję Dostęp warunkowy, wybierz pozycję + Nowe zasady, a następnie wybierz pozycję Utwórz nowe zasady.
  3. Wprowadź nazwę zasad, na przykład pilotaż usługi MFA.
  4. W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń.
  5. Na karcie Dołączanie wybierz pozycję Wybierz użytkowników i grupy, a następnie wybierz pozycję Użytkownicy i grupy.
  6. Wyszukaj i wybierz wcześniej utworzoną grupę MFA-Test-Group , a następnie wybierz pozycję Wybierz.
  7. Nie wybieraj jeszcze pozycji Utwórz , dodasz uwierzytelnianie wieloskładnikowe do zasad w następnej sekcji.

Konfiguracja uwierzytelniania wieloskładnikowego

W tym samouczku administrator może znaleźć podstawowe kroki konfigurowania aplikacji, ale przed rozpoczęciem należy rozważyć utworzenie planu uwierzytelniania wieloskładnikowego. Aby uzyskać więcej informacji, zobacz Planowanie wdrożenia uwierzytelniania wieloskładnikowego firmy Microsoft.

  1. W obszarze Aplikacje lub akcje w chmurze wybierz pozycję Nie wybrano żadnych aplikacji w chmurze, akcji lub kontekstów uwierzytelniania. Na potrzeby tego samouczka na karcie Dołączanie wybierz pozycję Wybierz zasoby.
  2. Wyszukaj i wybierz aplikację, a następnie wybierz pozycję Wybierz.
  3. W obszarze Kontrole dostępu i Udziel wybierz 0 wybranych kontrolek.
  4. Zaznacz pole wyboru Wymagaj uwierzytelniania wieloskładnikowego, a następnie wybierz pozycję Wybierz.
  5. Ustaw przełącznik Włącz zasady na wartość Włączone.
  6. Aby zastosować zasady dostępu warunkowego, wybierz pozycję Utwórz.

Testowanie uwierzytelniania wieloskładnikowego

  1. Otwórz nowe okno przeglądarki w trybie InPrivate lub incognito i przejdź do adresu URL aplikacji.
  2. Zaloguj się przy użyciu konta użytkownika przypisanego do aplikacji. Musisz zarejestrować się na potrzeby uwierzytelniania wieloskładnikowego firmy Microsoft i korzystać z niego. Postępuj zgodnie z monitami, aby ukończyć proces i sprawdzić, czy pomyślnie zalogujesz się do centrum administracyjnego firmy Microsoft Entra.
  3. Zamknij okno przeglądarki.

Tworzenie instrukcji warunków użytkowania

Juan chce upewnić się, że niektóre warunki i postanowienia są znane użytkownikom przed rozpoczęciem korzystania z aplikacji. Aby uzyskać więcej informacji, zobacz Microsoft Entra terms of use (Warunki użytkowania firmy Microsoft).

  1. W programie Microsoft Word utwórz nowy dokument.
  2. Wpisz Moje warunki użytkowania, a następnie zapisz dokument na komputerze jako mytou.pdf.
  3. W obszarze Zarządzaj w menu Dostęp warunkowy wybierz pozycję Warunki użytkowania.
  4. W górnym menu wybierz pozycję + Nowe terminy.
  5. W polu tekstowym Nazwa wpisz My TOU.
  6. W polu tekstowym Nazwa wyświetlana wpisz My TOU.
  7. Przekaż plik PDF warunków użytkowania.
  8. W polu Język wybierz pozycję Angielski.
  9. W obszarze Wymagaj od użytkowników rozszerzenia warunków użytkowania wybierz pozycję Włączone.
  10. W obszarze Wymuszanie przy użyciu szablonów zasad dostępu warunkowego wybierz pozycję Zasady niestandardowe.
  11. Wybierz pozycję Utwórz.

Dodawanie warunków użytkowania do zasad

  1. W menu po lewej stronie przeglądu dzierżawy wybierz pozycję Ochrona.
  2. Wybierz pozycję Dostęp warunkowy, a następnie pozycję Zasady. Z listy zasad wybierz zasady pilotażowe uwierzytelniania wieloskładnikowego .
  3. W obszarze Kontrole dostępu i Udziel wybierz wybrane kontrolki linku.
  4. Wybierz pozycję Moje DOU.
  5. Wybierz pozycję Wymagaj wszystkich wybranych kontrolek, a następnie wybierz pozycję Wybierz.
  6. Wybierz pozycję Zapisz.

Tworzenie kolekcji w portalu Moje aplikacje

Portal Moje aplikacje umożliwia administratorom i użytkownikom zarządzanie aplikacjami używanymi w organizacji. Aby uzyskać więcej informacji, zobacz Środowiska użytkownika końcowego dla aplikacji.

Uwaga

Aplikacje są wyświetlane tylko w portalu moje aplikacje użytkownika po przypisaniu użytkownika do aplikacji, a aplikacja jest skonfigurowana jako widoczna dla użytkowników. Zobacz Konfigurowanie właściwości aplikacji, aby dowiedzieć się, jak uwidocznić aplikację dla użytkowników.

Domyślnie wszystkie aplikacje są wyświetlane razem na jednej stronie. Można jednak używać kolekcji do grupowania powiązanych aplikacji i prezentowania ich na osobnej karcie, co ułatwia ich znajdowanie. Można na przykład użyć kolekcji do tworzenia logicznych grup aplikacji dla określonych ról zadań, zadań, projektów itd. W tej sekcji utworzysz kolekcję i przypiszesz ją do użytkowników i grup.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
  2. Przejdź do aplikacji dla przedsiębiorstw usługi Identity>Applications>.
  3. W obszarze Zarządzanie wybierz pozycję Kolekcje uruchamiania> aplikacji.
  4. Wybierz pozycję Nowa kolekcja. Na stronie Nowa kolekcja wprowadź nazwę kolekcji (zalecane jest, aby nie używać "kolekcji" w nazwie). Następnie wprowadź opis.
  5. Wybierz kartę Aplikacje. Wybierz pozycję + Dodaj aplikację, a następnie na stronie Dodawanie aplikacji wybierz wszystkie aplikacje, które chcesz dodać do kolekcji, lub użyj pola Wyszukaj, aby znaleźć aplikacje.
  6. Po zakończeniu dodawania aplikacji wybierz pozycję Dodaj. Zostanie wyświetlona lista wybranych aplikacji. Możesz użyć strzałek, aby zmienić kolejność aplikacji na liście.
  7. Wybierz kartę Właściciele . Wybierz pozycję + Dodaj użytkowników i grupy, a następnie na stronie Dodawanie użytkowników i grup wybierz użytkowników lub grupy, do których chcesz przypisać własność. Po zakończeniu wybierania użytkowników i grup wybierz pozycję Wybierz.
  8. Wybierz kartę Użytkownicy i grupy . Wybierz pozycję + Dodaj użytkowników i grupy, a następnie na stronie Dodawanie użytkowników i grup wybierz użytkowników lub grupy, do których chcesz przypisać kolekcję. Możesz też użyć pola Wyszukiwania, aby znaleźć użytkowników lub grupy. Po zakończeniu wybierania użytkowników i grup wybierz pozycję Wybierz.
  9. Wybierz pozycję Przejrzyj i utwórz, a następnie wybierz pozycję Utwórz. Pojawią się właściwości nowej kolekcji.

Sprawdzanie kolekcji w portalu Moje aplikacje

  1. Otwórz nowe okno przeglądarki w trybie InPrivate lub incognito i przejdź do portalu Moje aplikacje.
  2. Zaloguj się przy użyciu konta użytkownika przypisanego do aplikacji.
  3. Sprawdź, czy utworzona kolekcja jest wyświetlana w portalu Moje aplikacje.
  4. Zamknij okno przeglądarki.

Czyszczenie zasobów

Możesz zachować zasoby do użycia w przyszłości lub jeśli nie będziesz nadal korzystać z zasobów utworzonych w tym samouczku, usuń je, wykonując następujące kroki.

Usuwanie aplikacji

  1. W lewym menu wybierz pozycję Aplikacje dla przedsiębiorstw. Zostanie otwarte okienko Wszystkie aplikacje zawierające listę aplikacji w dzierżawie usługi Microsoft Entra. Wyszukaj i wybierz aplikację do usunięcia.
  2. W sekcji Zarządzanie w menu po lewej stronie wybierz pozycję Właściwości.
  3. W górnej części okienka Właściwości wybierz pozycję Usuń, a następnie wybierz pozycję Tak, aby potwierdzić, że chcesz usunąć aplikację z dzierżawy Microsoft Entra.

Usuwanie zasad dostępu warunkowego

  1. Wybierz pozycję Aplikacje dla przedsiębiorstw.
  2. W obszarze Ochrona wybierz pozycję Dostęp warunkowy.
  3. Wyszukaj i wybierz pozycję Pilot usługi MFA.
  4. Wybierz pozycję Usuń w górnej części okienka.

Usuwanie grupy

  1. Wybierz pozycję Grupy tożsamości>.
  2. Na stronie Wszystkie grupy wyszukaj i wybierz grupę MFA-Test-Group.
  3. Na stronie przeglądu wybierz pozycję Usuń.

Następne kroki

Aby uzyskać informacje o sposobie zapewniania, że aplikacja jest w dobrej kondycji i jest używana prawidłowo, zobacz:

Zarządzanie aplikacją i monitorowanie jej