Поделиться через


Управление доступом к приложению

Интеграция приложения в систему удостоверений организации вызывает проблемы в управлении доступом, оценке использования и отчетности. ИТ-администраторы или сотрудники службы технической поддержки обычно должны контролировать доступ к приложениям. Назначение доступа может попасть в общую или отделальную ИТ-команду, но в идеале руководители бизнес-решений должны быть вовлечены, давая утверждение, прежде чем ИТ-отдел завершит процесс.

Другие организации вкладывают средства в интеграцию с существующей автоматической системой управления удостоверениями и доступом, такой как контроль доступа на основе ролей (RBAC) или контроль доступа на основе атрибутов (ABAC). Как интеграция, так и разработка правил требуют специальных знаний и существенных затрат. Мониторинг или отчетность по подходу управления имеет собственные отдельные, дорогостоящие и сложные инвестиции.

Как помогает идентификатор Microsoft Entra?

Идентификатор Microsoft Entra поддерживает расширенное управление доступом для настроенных приложений, что позволяет организациям легко достичь правильных политик доступа от автоматического назначения на основе атрибутов (сценарии ABAC или RBAC) через делегирование и управление администраторами. С помощью идентификатора Microsoft Entra можно легко достичь сложных политик, сочетая несколько моделей управления для одного приложения и даже повторно использовать правила управления в приложениях с одной аудиторией.

Благодаря идентификатору Microsoft Entra, отчета об использовании и назначении полностью интегрированы, что позволяет администраторам легко сообщать о состоянии назначения, ошибках назначения и даже использовании.

Назначение пользователей и групп для приложения

Назначение приложения Microsoft Entra ориентировано на два основных режима назначения:

  • Отдельное назначение ИТ-администратора с разрешениями администратора облачных приложений каталога может выбрать отдельные учетные записи пользователей и предоставить им доступ к приложению.

  • Назначение на основе групп (требуется microsoft Entra ID P1 или P2) ИТ-администратор с разрешениями облачного приложения каталога может назначить группу приложению. Доступ конкретных пользователей определяется тем, являются ли они членами группы в то время, когда они пытаются получить доступ к приложению. Другими словами, администратор может эффективно создать правило назначения, указывающее, что любой текущий член назначенной группы имеет доступ к приложению. С помощью этого параметра администраторы могут воспользоваться любым из вариантов управления группами Microsoft Entra, включая группы динамического членства на основе атрибутов, внешние системные группы (например, локальная служба Active Directory или Workday), а также управляемые администратором или самостоятельно управляемые группы. Одну группу можно легко назначить нескольким приложениям, в результате чего приложения со сходством назначения могут совместно использовать правила назначения, что снижает общий уровень сложности управления.

    Примечание.

    Сейчас членство во вложенных группах не поддерживается для назначения приложений на основе групп.

С помощью этих двух режимов назначения администраторы могут достичь любого желаемого подхода к управлению назначениями.

Требование назначения пользователей для приложения

При работе с определенными типами приложений можно сделать обязательным назначение приложения пользователям. Это позволяет запретить вход в систему всем, кроме тех пользователей, которые явно назначены приложению. Эту возможность поддерживают следующие типы приложений:

  • Приложения, для которых настроен федеративный единый вход с аутентификацией на основе SAML.
  • Приложения-прокси приложения, использующие предварительную проверку подлинности Microsoft Entra
  • Приложения, созданные на платформе приложений Microsoft Entra, которые используют проверку подлинности OAuth 2.0 / OpenID Connect после согласия пользователя или администратора на это приложение. Некоторые корпоративные приложения позволяют более точно управлять правами на вход.

Если требуется назначение пользователей, вход будет доступен только пользователям, назначенным приложению (с помощью прямого назначения пользователей или на основе членства в группе). Они могут осуществлять доступ к приложению на портале "Мои приложения" или используя прямую ссылку.

Если назначение пользователя не требуется, неназначенные пользователи не видят приложение на своей Мои приложения, но они по-прежнему могут войти в приложение (также известный как вход, инициированный поставщиком услуг) или использовать URL-адрес доступа пользователей на странице свойств приложения (также известный как вход, инициированный поставщиком удостоверений). Дополнительные сведения о конфигурациях требования согласия пользователя см. в статье Настройка приложения.

Этот параметр не влияет на отображение приложения на панели "Мои приложения". Приложения отображаются на портале Мои приложения пользователей после назначения пользователю или группе приложению.

Примечание.

Если приложению требуется назначение, согласие пользователей для этого приложения не предусмотрено. Это справедливо, даже если в противном случае согласие пользователей для него было бы разрешено. Не забудьте предоставить согласие администратора на уровне клиента приложениям, которым требуется назначение.

Для некоторых приложений в свойствах отсутствует параметр, позволяющий сделать обязательным назначение приложения пользователям. В таких случаях можно с помощью PowerShell задать свойство appRoleAssignmentRequired для соответствующего субъекта-службы.

Выбор интерфейса пользователя для доступа к приложениям

Идентификатор Microsoft Entra предоставляет несколько настраиваемых способов развертывания приложений для конечных пользователей в вашей организации:

  • Microsoft Entra Мои приложения
  • Средство запуска приложений Microsoft 365
  • прямой вход в федеративные приложения (через субъект-службу);
  • прямые ссылки на федеративные приложения, приложения на основе пароля или существующие приложения;

Вы можете выбрать, будут ли пользователи, назначенные корпоративному приложению, видеть его в разделе "Мои приложения" и средстве запуска Microsoft 365.

Пример: сложное назначение приложения с идентификатором Microsoft Entra

Рассмотрим такое приложение, как Salesforce. Во многих организациях приложение Salesforce главным образом используется специалистами по маркетингу и продажам. Часто члены маркетинговой группы имеют высокий уровень привилегированного доступа к Salesforce, а члены команды продаж получают ограниченный доступ. Во многих случаях широкое население информационных работников получает ограниченный доступ к приложению. Исключения из этих правил усложняют ситуацию. Часто обязанности по предоставлению пользователям доступа или изменению их ролей, когда требуется отклониться от этих общих правил, лежат на руководителях отделов маркетинга и продаж.

С помощью идентификатора Microsoft Entra приложения, такие как Salesforce, можно предварительно настроить для единого входа и автоматической подготовки. После настройки приложения администратор может однократно создать и назначить соответствующие группы. В этом примере администратор может выполнить указанные ниже назначения.

  • Динамические группы можно определить таким образом, чтобы они автоматически представляли всех членов групп маркетинга и продаж с помощью таких атрибутов, как отдел или роль.

    • Всем членам групп маркетинга в Salesforce будет назначена роль marketing.
    • Всем членам групп продаж в Salesforce будет назначена роль sales. Для дальнейшего уточнения можно использовать несколько групп, представляющих региональные группы продаж, которым назначены различные роли Salesforce.
  • Чтобы включить механизм исключений, для каждой роли можно создать группу самообслуживания. Например, можно создать группу "Salesforce marketing exception" в качестве группы самообслуживания. Этой группе можно назначить роль Marketing в Salesforce, а команду руководителей по маркетингу можно назначить в качестве владельца. Члены команды руководителей по маркетингу могут добавлять или удалять пользователей, задавать политику присоединения и даже утверждать или отклонять запросы на присоединение от отдельных пользователей. Этот механизм поддерживается через соответствующий информационный рабочий процесс, который не требует специализированного обучения для владельцев или членов.

В этом случае все назначенные пользователи будут автоматически подготовлены для Salesforce. По мере добавления в разные группы их назначение ролей обновляется в Salesforce. Пользователи могут найти и открыть Salesforce с помощью портала "Мои приложения", веб-клиентов Office и корпоративной страницы для входа в Salesforce. Администраторы могут легко просматривать состояние использования и назначения с помощью отчетов идентификатора Microsoft Entra.

Администраторы могут использовать условный доступ Microsoft Entra для задания политик доступа для определенных ролей. Эти политики могут указывать, разрешен ли доступ вне корпоративной среды, а также включать в себя многофакторную проверку подлинности или требования к устройствам для обеспечения доступа в различных ситуациях.

Доступ к приложениям Майкрософт

Приложения Майкрософт (например, Exchange, SharePoint, Yammer и т. д.) назначаются и управляются немного отличается от приложений SaaS или других приложений, которые интегрируются с Идентификатором Microsoft Entra для единого входа.

Есть три основных способа, с помощью которых пользователь может получить доступ к приложению, опубликованному корпорацией Майкрософт.

  • Для приложений в Microsoft 365 или других платных наборах доступ пользователям предоставляется посредством назначения лицензии — непосредственно для учетной записи или в группе с помощью нашей возможности по групповому назначению лицензий.

  • Для приложений, публикуемых корпорацией Майкрософт или не корпорацией Майкрософт, бесплатно для всех пользователей, пользователи могут предоставлять доступ через согласие пользователя. Пользователи войдите в приложение с помощью рабочей или учебной учетной записи Microsoft Entra и разрешают ему доступ к определенному ограниченному набору данных в своей учетной записи.

  • Для приложений, публикуемых корпорацией Майкрософт или не корпорацией Майкрософт, бесплатно для всех пользователей, пользователи также могут предоставлять доступ через согласие администратора. Это означает, что администратор определил, что приложение может использоваться всеми пользователями в организации, поэтому они входят в приложение с ролью администратора привилегированных ролей и предоставляют доступ всем пользователям в организации.

В некоторых приложениях эти методы сочетаются. Например, некоторые приложения Майкрософт входят в подписку Microsoft 365, но для них требуется предоставить согласие.

Пользователи могут получать доступ к приложениям Microsoft 365 через порталы Office 365. Вы также можете показать или скрыть приложения Microsoft 365 в разделе "Мои приложения", используя переключатель видимости в Office 365 на странице Параметры пользователя каталога.

Как и в корпоративных приложениях, вы можете назначить пользователей определенным приложениям Майкрософт через Центр администрирования Microsoft Entra или с помощью PowerShell.

Предотвращение доступа к приложению с помощью локальных учетных записей

Идентификатор Microsoft Entra позволяет вашей организации настроить единый вход для защиты проверки подлинности пользователей в приложениях с условным доступом, многофакторной проверкой подлинности и т. д. Некоторые приложения исторически имеют собственное локальное хранилище пользователей и позволяют пользователям входить в приложение с помощью локальных учетных данных или метода проверки подлинности резервного копирования приложения вместо использования единого входа. Эти возможности приложений могут быть неправильно использованы и разрешать пользователям сохранять доступ к приложениям даже после того, как они больше не назначены приложению в идентификаторе Microsoft Entra ID или больше не могут войти в идентификатор Microsoft Entra, и могут позволить злоумышленникам пытаться скомпрометировать приложение без отображения в журналах идентификатора Microsoft Entra ID. Чтобы убедиться, что входы в эти приложения защищены идентификатором Microsoft Entra:

  • Определите, какие приложения, подключенные к каталогу, позволяют конечным пользователям обойти единый вход с помощью учетных данных локального приложения или метода проверки подлинности резервного копирования. Вам потребуется просмотреть документацию, предоставленную поставщиком приложений, чтобы понять, возможно ли это, и какие параметры доступны. Затем в этих приложениях отключите параметры, позволяющие конечным пользователям обойти единый вход. Протестируйте взаимодействие с конечным пользователем, открыв браузер в InPrivate, подключившись к странице входа приложений, предоставив удостоверение пользователя в вашем клиенте и убедитесь, что отсутствует возможность входа, кроме microsoft Entra.
  • Если приложение предоставляет API для управления паролями пользователей, удалите локальные пароли или задайте уникальный пароль для каждого пользователя с помощью API. Это позволит предотвратить вход конечных пользователей в приложение с помощью локальных учетных данных.
  • Если приложение предоставляет API для управления пользователями, настройте подготовку пользователей Microsoft Entra для этого приложения, чтобы отключить или удалить учетные записи пользователей, когда пользователи больше не находятся в области применения приложения или клиента.

Следующие шаги