Управление доступом для приложений в вашей среде
Управление идентификацией Microsoft Entra позволяет сбалансировать потребности организации в обеспечении безопасности и производительности сотрудников с правильными процессами и видимостью. Ее возможности позволяют гарантировать, что у правильных сотрудников организации есть правильный уровень доступа к правильным ресурсам в правильное время.
Организации с требованиями соответствия требованиям или планами управления рисками имеют конфиденциальные или критически важные для бизнеса приложения. Конфиденциальность приложения может основываться на его назначении или содержащихся в нем данных, таких как финансовая информация или личная информация клиентов организации. Для этих приложений только подмножество всех пользователей в организации обычно имеет право на доступ, и доступ должен быть разрешен только в соответствии с документированными бизнес-требованиями.
В рамках элементов управления доступом организации можно использовать функции Microsoft Entra для:
- настройка соответствующего доступа;
- подготовка пользователей к приложениям
- применение проверок доступа;
- подготовка отчетов, которые позволяют продемонстрировать использование этих элементов управления для достижения целей по соответствию требованиям и управлению рисками.
Помимо сценария управления доступом к приложениям, вы также можете использовать Управление идентификацией Microsoft Entra функции и другие функции Microsoft Entra для других сценариев, таких как просмотр и удаление пользователей из других организаций или управление пользователями, которые исключены из политик условного доступа. Если в вашей организации несколько администраторов в Microsoft Entra ID или Azure, используется B2B или самостоятельное управление группами, необходимо запланировать развертывание проверок доступа для этих сценариев.
Требования к лицензиям
Для использования этой функции требуются лицензии Управление идентификацией Microsoft Entra или Microsoft Entra Suite. Чтобы найти подходящую лицензию для ваших требований, см. Управление идентификацией Microsoft Entra основы лицензирования.
Начало работы с управлением доступом к приложениям
Управление идентификацией Microsoft Entra можно интегрировать со многими приложениями, используя такие стандарты, как OpenID Connect, SAML, SCIM, SQL и LDAP. С помощью этих стандартов можно использовать идентификатор Microsoft Entra с множеством популярных приложений SaaS, локальных приложений и приложений, разработанных вашей организацией.
После подготовки среды Microsoft Entra, как описано в приведенном ниже разделе, три шага плана рассматривают, как подключить приложение к идентификатору Microsoft Entra и включить функции управления удостоверениями для этого приложения.
- Определение политик организации для управления доступом к приложению
- Интегрируйте приложение с идентификатором Microsoft Entra, чтобы обеспечить доступ только авторизованных пользователей к приложению, а также просмотрите существующий доступ пользователя к приложению, чтобы задать базовые показатели всех пользователей, которые были проверены. Это позволяет выполнять проверку подлинности и подготовку пользователей
- Развертывание политик для управления единым входом и автоматизации назначений доступа для этого приложения.
Предварительные требования перед настройкой идентификатора Microsoft Entra и Управление идентификацией Microsoft Entra для управления удостоверениями
Прежде чем начать процесс управления доступом к приложениям из Управление идентификацией Microsoft Entra, необходимо проверить, правильно ли настроена среда Microsoft Entra.
Убедитесь, что идентификатор Microsoft Entra и среда Microsoft Online Services готовы к соответствию требованиям для интеграции и правильной лицензии приложений. Соответствие требованиям — это коллективная ответственность, разделяемая корпорацией Майкрософт, поставщиками облачных служб (CSP) и организациями. Чтобы использовать идентификатор Microsoft Entra для управления доступом к приложениям, необходимо иметь одно из следующих сочетаний лицензий в клиенте:
- Управление идентификацией Microsoft Entra и ее предварительные требования, Microsoft Entra ID P1
- Управление идентификацией Microsoft Entra шаг для идентификатора Microsoft Entra ID P2 и его предварительные требования: Microsoft Entra ID P2 или Enterprise Mobility + Security (EMS) E5
У вашего клиента должно быть по крайней мере столько лицензий, сколько и количество пользователей,не являющихся гостевыми пользователями, включая те, которые имеют или могут запрашивать доступ к приложениям, утверждать или просматривать доступ к приложениям. Имея соответствующую лицензию для нужного числа пользователей, вы можете управлять доступом каждого пользователя к 1500 приложений.
Если вы будете управлять доступом гостей к приложению, свяжите клиента Microsoft Entra с подпиской на выставление счетов MAU. Этот шаг необходим перед наличием гостевого запроса или проверки доступа. Дополнительные сведения см. в модели выставления счетов для Внешняя идентификация Microsoft Entra.
Убедитесь, что идентификатор Microsoft Entra уже отправляет свой журнал аудита и при необходимости другие журналы в Azure Monitor. Azure Monitor является необязательным, но полезен для управления доступом к приложениям, так как Microsoft Entra сохраняет только события аудита в течение 30 дней в журнале аудита. Данные аудита можно хранить дольше, чем срок хранения по умолчанию, описанный в разделе "Как долго хранилище отчетов microsoft Entra ID store"? и использовать книги Azure Monitor и пользовательские запросы и отчеты об исторических данных аудита. Вы можете проверить конфигурацию Microsoft Entra, чтобы узнать, используется ли она с помощью Azure Monitor, в идентификаторе Microsoft Entra в Центре администрирования Microsoft Entra, щелкнув книги. Если эта интеграция не настроена, и у вас есть подписка Azure и в
Global Administrator
Security Administrator
ней есть или роли, можно настроить идентификатор Microsoft Entra для использования Azure Monitor.Убедитесь, что только авторизованные пользователи находятся в привилегированных административных ролях в клиенте Microsoft Entra. Администраторы глобального администратора, администратора управления удостоверениями, администратора пользователей, администратора приложений, администратора облачных приложений и администратора привилегированных ролей могут вносить изменения для пользователей и назначений ролей приложения. Если членство в этих ролях еще не было проверено недавно, вам потребуется пользователь, который входит в роль глобального администратора или администратора привилегированных ролей, чтобы убедиться, что проверка доступа этих ролей каталога запущена. Кроме того, необходимо убедиться, что пользователи в ролях Azure в подписках, в которых хранятся Azure Monitor, Logic Apps и другие ресурсы, необходимые для работы конфигурации Microsoft Entra, были проверены.
Проверьте, имеет ли клиент достаточную изоляцию. Если ваша организация использует Active Directory в локальной среде, и эти домены AD подключены к идентификатору Microsoft Entra, необходимо убедиться, что высоко привилегированные административные операции для облачных служб изолированы от локальных учетных записей. Убедитесь, что вы настроили системы для защиты облачной Microsoft 365 среды от несанкционированного доступа в локальной среде.
После проверки готовности среды Microsoft Entra перейдите к определению политик управления для приложений.