O que é gerenciamento de aplicativos no Microsoft Entra ID?

O gerenciamento de aplicativos no Microsoft Entra ID é o processo de criação, configuração, gerenciamento e monitoramento de aplicativos na nuvem. Quando uma aplicação é registada numa entidade do Microsoft Entra, os utilizadores que já lhe estão atribuídos podem aceder-lhe com segurança. Muitos tipos de aplicativos podem ser registrados no Microsoft Entra ID. Para obter mais informações, consulte Tipos de aplicativos para a plataforma de identidade da Microsoft.

Neste artigo, você aprenderá estes aspetos importantes do gerenciamento do ciclo de vida de um aplicativo:

• Desenvolver, adicionar ou conectar – Você toma caminhos diferentes dependendo se está desenvolvendo seu próprio aplicativo, usando um aplicativo pré-integrado ou conectando-se a um aplicativo local.
• Gerir acesso – O acesso pode ser gerido usando início de sessão único (SSO), atribuindo recursos, definindo a forma como o acesso é atribuído e consentido, e utilizando provisionamento automatizado.
• Configurar propriedades – Configure os requisitos para entrar no aplicativo e como o aplicativo é representado nos portais do usuário.
• Proteger o aplicativo – Gerencie a configuração de permissões, autenticação multifator, acesso condicional, tokens e certificados.
• Governar e monitorar – Gerencie a interação e a atividade de revisão usando recursos de gerenciamento de direitos e relatórios e monitoramento.
• Limpar – Quando seu aplicativo não for mais necessário, limpe seu locatário removendo o acesso a ele e excluindo-o.

Desenvolva, adicione ou conecte-se

Há várias maneiras de gerenciar aplicativos no Microsoft Entra ID. A maneira mais fácil de começar a gerenciar um aplicativo é usar um aplicativo pré-integrado da galeria do Microsoft Entra. Desenvolver seu próprio aplicativo e registrá-lo no Microsoft Entra ID é uma opção, ou você pode continuar a usar um aplicativo local.

A imagem a seguir mostra como esses aplicativos interagem com o Microsoft Entra ID.

Aplicações pré-integradas

Muitos aplicativos já estão pré-integrados (mostrados como aplicativos em nuvem na imagem anterior deste artigo) e podem ser configurados com o mínimo de esforço. Cada aplicativo na galeria do Microsoft Entra tem um artigo disponível que mostra as etapas necessárias para configurar o aplicativo. Para obter um exemplo simples de como uma aplicação pode ser adicionada ao seu tenant do Microsoft Entra a partir da galeria, consulte o Início Rápido: adicionar uma aplicação corporativa.

As suas próprias aplicações

Se você desenvolver seu próprio aplicativo de negócios, poderá registrá-lo com o Microsoft Entra ID para aproveitar os recursos de segurança fornecidos pelo locatário. Você pode registar a sua aplicação em Registos de Aplicações, ou pode registá-la usando o link Criar a sua própria aplicação ao adicionar uma nova aplicação em aplicações empresariais. Considere como a autenticação é implementada na sua aplicação para integração com o Microsoft Entra ID.

Se quiser disponibilizar a sua aplicação através da galeria, pode submeter um pedido para a disponibilizar.

Aplicativos locais

Se você quiser continuar usando um aplicativo local, mas aproveitar o que o Microsoft Entra ID oferece, conecte-o ao Microsoft Entra ID usando proxy de aplicativo Microsoft Entra. O Proxy de Aplicativo pode ser implementado quando você deseja publicar aplicativos locais externamente. Os usuários remotos que precisam de acesso a aplicativos internos podem acessá-los de forma segura.

Gerir o acesso

Para gerenciar de acesso para um aplicativo, você deseja responder às seguintes perguntas:

• Como é concedido e autorizado o acesso à aplicação?
• O aplicativo suporta SSO?
• Quais usuários, grupos e proprietários devem ser atribuídos ao aplicativo?
• Existem outros provedores de identidade que suportam o aplicativo?
• É útil automatizar o provisionamento de identidades e funções de usuário?

Acesso e consentimento

Você pode gerenciar as configurações de consentimento do usuário escolher se os usuários podem permitir que um aplicativo ou serviço acesse perfis de usuário e dados organizacionais. Quando os aplicativos recebem acesso, os usuários podem entrar em aplicativos integrados com o Microsoft Entra ID e o aplicativo pode acessar os dados da sua organização para oferecer experiências avançadas orientadas por dados.

Em situações em que os usuários não conseguem consentir com as permissões que um aplicativo está solicitando, considere configurar o fluxo de trabalho de consentimento de administrador. O fluxo de trabalho permite que os usuários forneçam uma justificativa e solicitem a revisão e aprovação de um aplicativo pelo administrador. Para saber como configurar o fluxo de trabalho de consentimento de administrador em seu locatário do Microsoft Entra, consulte Configurar fluxo de trabalho de consentimento de administrador.

Como administrador, você pode conceder consentimento de administrador em todo o locatário a um aplicativo. O consentimento de administrador de todo o locatário é necessário quando um aplicativo requer permissões que os usuários comuns não têm permissão para conceder. A concessão de consentimento de administrador a nível de inquilino também permite que as organizações implementem os seus próprios processos de avaliação. Analise sempre cuidadosamente as permissões que o aplicativo está solicitando antes de conceder consentimento. Quando um aplicativo recebe consentimento de administrador de todo o locatário, todos os usuários podem entrar no aplicativo, a menos que você o configure para exigir atribuição de usuário.

Logon único

Considere implementar o SSO em seu aplicativo. Você pode configurar manualmente a maioria dos aplicativos para SSO. As opções mais populares no Microsoft Entra ID são SSO baseado em SAML e SSO baseado em OpenID Connect. Antes de começar, certifique-se de compreender os requisitos para SSO e como planear a implementação. Para obter mais informações sobre como configurar o SSO baseado em SAML para um aplicativo corporativo em seu locatário do Microsoft Entra, consulte Habilitar logon único para um aplicativo usando o Microsoft Entra ID.

Atribuição de utilizador, grupo e proprietário

Por padrão, todos os usuários podem acessar seus aplicativos corporativos sem serem atribuídos a eles. No entanto, se você quiser atribuir o aplicativo a um conjunto de usuários, configure o aplicativo para exigir atribuição de usuário e atribua os usuários selecionados ao aplicativo. Para obter um exemplo simples de como criar e atribuir uma conta de usuário a um aplicativo, consulte Guia de início rápido : criar e atribuir uma conta de usuário.

Se incluído na sua subscrição, atribuir grupos a um de aplicações para que possa delegar a gestão de acesso contínuo ao proprietário do grupo.

Atribuir proprietários é uma maneira simples de conceder a capacidade de gerenciar todos os aspetos da configuração do Microsoft Entra para um aplicativo. Como proprietário, um usuário pode gerenciar a configuração específica da organização do aplicativo. Como prática recomendada, você deve monitorar proativamente os aplicativos em seu locatário para garantir que eles tenham pelo menos dois proprietários, para evitar a situação de aplicativos sem dono.

Automatize o provisionamento

Provisionamento de aplicativos refere-se à criação automática de identidades e funções de usuário nas aplicações que os utilizadores precisam acessar. Além de criar identidades de usuário, o provisionamento automático inclui a manutenção e a remoção de identidades de usuário à medida que o status ou as funções mudam.

Provedores de identidade

Você tem um provedor de identidade com o qual deseja que o Microsoft Entra ID interaja? Home Realm Discovery fornece uma configuração que permite que o Microsoft Entra ID determine com qual provedor de identidade um usuário precisa se autenticar quando entrar.

Portais de utilizador

O Microsoft Entra ID fornece maneiras personalizáveis de implantar aplicativos para usuários em sua organização. Por exemplo, o portal My Apps ou o iniciador de aplicações do Microsoft 365. Meus aplicativos oferece aos usuários um único lugar para iniciar seu trabalho e encontrar todos os aplicativos aos quais eles têm acesso. Como administrador de uma aplicação, deve planear como os utilizadores na sua organização usam os Meus Aplicativos.

Configurar propriedades

Ao adicionar um aplicativo ao locatário do Microsoft Entra, você tem a oportunidade de configurar propriedades que afetam a maneira como os usuários podem interagir com o aplicativo. Você pode habilitar ou desabilitar a capacidade de entrar e definir o aplicativo para exigir atribuição de usuário. Você também pode determinar a visibilidade do aplicativo, qual logotipo representa o aplicativo e quaisquer notas sobre o aplicativo. Para obter mais informações sobre as propriedades que podem ser configuradas, consulte Propriedades de um aplicativo empresarial.

Proteja o aplicativo

Há vários métodos disponíveis para ajudá-lo a manter seus aplicativos corporativos seguros. Por exemplo, você pode restringir o acesso do locatáriogerenciar visibilidade, dados e análisese, possivelmente, fornecer acesso híbrido. Manter seus aplicativos corporativos seguros também envolve o gerenciamento da configuração de permissões, MFA, Acesso Condicional, tokens e certificados.

Permissões

É importante revisar periodicamente e, se necessário, gerenciar as permissões concedidas a um aplicativo ou serviço. Certifique-se de que apenas permite o acesso adequado às suas aplicações, avaliando regularmente se existem atividades suspeitas.

As classificações de permissão permitem identificar o efeito de diferentes permissões de acordo com as políticas e avaliações de risco da sua organização. Por exemplo, você pode usar classificações de permissão em políticas de consentimento para identificar o conjunto de permissões que os usuários têm permissão para consentir.

Autenticação multifator e acesso condicional

A autenticação multifator Microsoft Entra ajuda a proteger o acesso a dados e aplicativos, fornecendo outra camada de segurança usando uma segunda forma de autenticação. Há muitos métodos que podem ser usados para uma autenticação de segundo fator. Antes de começar, planeia a implantação do MFA para o seu aplicativo na sua organização.

As organizações podem ativar o MFA com Acesso Condicional / para que a solução satisfaça às suas necessidades específicas. As políticas de Acesso Condicional permitem que os administradores atribuam controles a aplicativos, ações ou contexto de autenticação específicos.

Tokens e certificados

Diferentes tipos de tokens de segurança são usados em um fluxo de autenticação no Microsoft Entra ID, dependendo do protocolo usado. Por exemplo, tokens SAML são usados para o protocolo SAML e tokens de ID e tokens de acesso são usados para o protocolo OpenID Connect. Os tokens são assinados com o certificado exclusivo que o Microsoft Entra ID gera e por algoritmos padrão específicos.

Você pode fornecer mais segurança criptografando o token. Você também pode gerenciar as informações em um token, incluindo as funções permitidas para o aplicativo.

O Microsoft Entra ID usa o algoritmo SHA-256 por padrão para assinar a resposta SAML. Use SHA-256, a menos que o aplicativo exija SHA-1. Estabeleça um processo para gerenciar o tempo de vida do certificado. A duração máxima de um certificado de assinatura é de três anos. Para evitar ou minimizar a interrupção devido à expiração de um certificado, use funções e listas de distribuição de e-mail para garantir que as notificações de alteração relacionadas ao certificado sejam monitoradas de perto.

Governar e monitorizar

Gestão de direitos no Microsoft Entra ID permite gerir a interação entre aplicações e administradores, proprietários de catálogos, gestores de pacotes de acesso, aprovadores e solicitantes.

Sua solução de relatório e monitoramento do Microsoft Entra depende de seus requisitos legais, operacionais e de segurança e de seu ambiente e processos existentes. Existem vários logs que são mantidos no Microsoft Entra ID. Portanto, você deve planear a geração de relatórios e o monitoramento de de implantação para manter a melhor experiência possível para o seu aplicativo.

Limpeza

Você pode limpar o acesso aos aplicativos. Por exemplo, remover o acesso de um utilizador. Também pode desativar a forma como um utilizador inicia sessão no. E, finalmente, você pode excluir o aplicativo se ele não for mais necessário para a organização. Para obter mais informações sobre como excluir um aplicativo corporativo do locatário do Microsoft Entra, consulte Guia de início rápido: excluir um aplicativo corporativo.

Passo a passo guiado

Para obter um passo a passo guiado de muitas das recomendações neste artigo, consulte o passo a passo guiado Microsoft 365 Proteja seus aplicativos na nuvem com logon único (SSO).

Próximos passos

• Comece por adicionar a sua primeira aplicação empresarial com o Guia de Início Rápido: Adicionar uma Aplicação Empresarial.