Управление доступом к приложению

Интеграция приложения в систему удостоверений организации вызывает проблемы в управлении доступом, оценке использования и отчетности. ИТ-администраторы или сотрудники службы технической поддержки обычно должны контролировать доступ к приложениям. Назначение доступа может быть передано общей или дивизионной ИТ-команде, но в идеале должны быть вовлечены лица, принимающие бизнес-решения, давая одобрение перед тем, как ИТ завершит процесс.

Другие организации вкладывают средства в интеграцию с существующей автоматической системой управления удостоверениями и доступом, такой как контроль доступа на основе ролей (RBAC) или контроль доступа на основе атрибутов (ABAC). Как интеграция, так и разработка правил требуют специальных знаний и существенных затрат. Мониторинг или отчетность по подходу управления имеет собственные отдельные, дорогостоящие и сложные инвестиции.

Как помогает идентификатор Microsoft Entra?

Идентификатор Microsoft Entra поддерживает расширенное управление доступом для настроенных приложений, что позволяет организациям легко достичь правильных политик доступа от автоматического назначения на основе атрибутов (сценарии ABAC или RBAC) через делегирование и управление администраторами. С помощью идентификатора Microsoft Entra можно легко достичь сложных политик, сочетая несколько моделей управления для одного приложения и даже повторно использовать правила управления в приложениях с одной аудиторией.

Благодаря идентификатору Microsoft Entra, отчета об использовании и назначении полностью интегрированы, что позволяет администраторам легко сообщать о состоянии назначения, ошибках назначения и даже использовании.

Назначение пользователей и групп для приложения

Назначение приложения Microsoft Entra ориентировано на два основных режима назначения:

• Индивидуальное назначение ИТ-администратор с разрешениями администратора облачных приложений может выбрать отдельные учетные записи пользователей и предоставить им доступ к приложению.

• Назначение на основе групп (требуется Microsoft Entra ID P1 или P2) ИТ-администратор с правами доступа к облачным приложениям каталога может назначить группу приложению. Доступ конкретных пользователей определяется тем, являются ли они членами группы в то время, когда они пытаются получить доступ к приложению. Другими словами, администратор может эффективно создать правило назначения, указывающее, что любой текущий член назначенной группы имеет доступ к приложению. С помощью этого параметра администраторы могут воспользоваться любым из вариантов управления группами Microsoft Entra, включая группы динамического членства на основе атрибутов, внешние системные группы (например, локальная служба Active Directory или Workday), а также управляемые администратором или самостоятельно управляемые группы. Одну группу можно легко назначить нескольким приложениям, в результате чего приложения со сходством назначения могут совместно использовать правила назначения, что снижает общий уровень сложности управления.

  Примечание.

  Членство во вложенных группах в настоящее время не поддерживается для назначения приложений, основанного на членстве в группах.

С помощью этих двух режимов назначения администраторы могут достичь любого желаемого подхода к управлению назначениями.

Требование назначения пользователей для приложения

При работе с определенными типами приложений можно сделать обязательным назначение приложения пользователям. Это позволяет запретить вход в систему всем, кроме тех пользователей, которые явно назначены приложению. Эту возможность поддерживают следующие типы приложений:

• Приложения, для которых настроен федеративный единый вход с аутентификацией на основе SAML.
• Приложения, использующие прокси и предварительную проверку подлинности Microsoft Entra
• Приложения, созданные на платформе приложений Microsoft Entra, которые используют проверку подлинности OAuth 2.0 / OpenID Connect после согласия пользователя или администратора на это приложение. Некоторые корпоративные приложения позволяют более точно управлять правами на вход.

Если требуется назначение пользователей, вход будет доступен только пользователям, назначенным приложению (с помощью прямого назначения пользователей или на основе членства в группе). Они могут осуществлять доступ к приложению на портале "Мои приложения" или используя прямую ссылку.

Если назначение пользователя не требуется, неназначенные пользователи не видят приложение в разделе «Мои приложения», но они по-прежнему могут войти в приложение (это называется входом, инициированным поставщиком услуг) или использовать URL-адрес доступа пользователей на странице свойств приложения (это называется входом, инициированным поставщиком удостоверений). Дополнительные сведения о конфигурациях, требующих назначения пользователей, см. в статье Настройка приложения.

Этот параметр не влияет на отображение приложения на панели "Мои приложения". Приложения отображаются в портале "Мои приложения" пользователей после назначения приложения пользователю или группе.

Примечание.

Если приложению требуется назначение, согласие пользователей для этого приложения не предусмотрено. Это справедливо, даже если пользователи дали согласие на использование этого приложения. Не забудьте предоставить согласие администратора на уровне клиента приложениям, которым требуется назначение.

Для некоторых приложений в их свойствах отсутствует опция, требующая назначения пользователя. В таких случаях можно с помощью PowerShell задать свойство appRoleAssignmentRequired для служебного главного объекта.

Выбор интерфейса пользователя для доступа к приложениям

Идентификатор Microsoft Entra предоставляет несколько настраиваемых способов развертывания приложений для конечных пользователей в вашей организации:

• Microsoft Entra Мои приложения
• Средство запуска приложений Microsoft 365
• прямой вход в федеративные приложения (посредством service-pr);
• прямые ссылки на федеративные приложения, приложения на основе пароля или существующие приложения;

Вы можете выбрать, будут ли пользователи, назначенные корпоративному приложению, видеть его в разделе "Мои приложения" и средстве запуска Microsoft 365.

Пример: сложное назначение приложения с идентификатором Microsoft Entra

Рассмотрим такое приложение, как Salesforce. Во многих организациях приложение Salesforce главным образом используется специалистами по маркетингу и продажам. Часто члены маркетинговой группы имеют высокий уровень привилегированного доступа к Salesforce, а члены команды продаж получают ограниченный доступ. Во многих случаях широкое население информационных работников получает ограниченный доступ к приложению. Исключения из этих правил усложняют ситуацию. Часто обязанности по предоставлению пользователям доступа или изменению их ролей, когда требуется отклониться от этих общих правил, лежат на руководителях отделов маркетинга и продаж.

С помощью Microsoft Entra ID такие приложения, как Salesforce, можно предварительно настроить для единого входа (SSO) и автоматического предоставления. После настройки приложения администратор может однократно создать и назначить соответствующие группы. В этом примере администратор может выполнить указанные ниже назначения.

• Динамические группы можно определить таким образом, чтобы они автоматически представляли всех членов групп маркетинга и продаж с помощью таких атрибутов, как отдел или роль.

  • Всем членам групп по маркетингу в Salesforce будет назначена роль "маркетинг".
  • Всем членам групп продаж в Salesforce будет назначена роль sales. Для дальнейшего уточнения можно использовать несколько групп, представляющих региональные группы продаж, которым назначены различные роли Salesforce.

• Чтобы включить механизм исключений, для каждой роли можно создать группу самообслуживания. Например, можно создать группу "Salesforce marketing exception" в качестве группы самообслуживания. Этой группе можно назначить роль в маркетинге в Salesforce, а команду руководства по маркетингу сделать обладателями (права) управления. Члены команды руководителей по маркетингу могут добавлять или удалять пользователей, задавать политику присоединения и даже утверждать или отклонять запросы на присоединение от отдельных пользователей. Этот механизм поддерживается за счет соответствующего пользовательского опыта для информационных работников, который не требует специализированного обучения для владельцев или участников.

В этом случае все назначенные пользователи будут автоматически добавлены в Salesforce. По мере добавления в разные группы их назначение ролей обновляется в Salesforce. Пользователи могут найти и открыть Salesforce с помощью портала "Мои приложения", веб-клиентов Office и корпоративной страницы для входа в Salesforce. Администраторы могут легко просматривать состояние использования и назначения с помощью отчетов идентификатора Microsoft Entra.

Администраторы могут использовать условный доступ Microsoft Entra для задания политик доступа для определенных ролей. Эти политики могут указывать, разрешен ли доступ вне корпоративной среды, а также включать в себя многофакторную проверку подлинности или требования к устройствам для обеспечения доступа в различных ситуациях.

Доступ к приложениям Майкрософт

Приложения Майкрософт (например, Exchange, SharePoint, Yammer и т. д.) назначаются и управляются несколько иначе, чем не-Майкрософт SaaS приложения или другие приложения, которые интегрируются с Идентификатором Microsoft Entra для единого входа.

Есть три основных способа, с помощью которых пользователь может получить доступ к приложению, опубликованному корпорацией Майкрософт.

• Для приложений в Microsoft 365 или других платных наборах доступ пользователям предоставляется посредством назначения лицензии — непосредственно для учетной записи или в группе с помощью нашей возможности по групповому назначению лицензий.

• Для приложений, публикуемых корпорацией Майкрософт или другими организациями, бесплатных для всех желающих, пользователям может быть предоставлен доступ через согласие пользователя. Пользователи входят в приложение с помощью рабочей или учебной учетной записи Microsoft Entra, разрешая ему доступ к определенному ограниченному набору данных в своей учетной записи.

• Для приложений, публикуемых корпорацией Майкрософт или другими организациями для свободного использования всеми, пользователям также может быть предоставлен доступ через согласие администратора. Это означает, что администратор определил, что приложение может использоваться всеми пользователями в организации, поэтому они входят в приложение с ролью администратора привилегированных ролей и предоставляют доступ всем пользователям в организации.

В некоторых приложениях эти методы сочетаются. Например, некоторые приложения Майкрософт входят в подписку Microsoft 365, но для них требуется предоставить согласие.

Пользователи могут получать доступ к приложениям Microsoft 365 через порталы Office 365. Вы также можете показать или скрыть приложения Microsoft 365 в разделе "Мои приложения", используя переключатель видимости в Office 365 на странице Параметры пользователя каталога.

Как и в корпоративных приложениях, вы можете назначить пользователей определенным приложениям Майкрософт через Центр администрирования Microsoft Entra или с помощью PowerShell.

Предотвращение доступа к приложению с помощью локальных учетных записей

Идентификатор Microsoft Entra позволяет вашей организации настроить единый вход для защиты проверки подлинности пользователей в приложениях с помощью условного доступа, многофакторной проверки подлинности и т. д. Некоторые приложения исторически имеют собственное локальное хранилище пользователей и позволяют пользователям входить в приложение с помощью локальных учетных данных или метода проверки подлинности резервного копирования приложения вместо использования единого входа. Эти возможности приложений могут быть неправильно использованы и разрешать пользователям сохранять доступ к приложениям даже после того, как они больше не назначены приложению в идентификаторе Microsoft Entra ID или больше не могут войти в идентификатор Microsoft Entra, и могут позволить злоумышленникам пытаться скомпрометировать приложение без отображения в журналах идентификатора Microsoft Entra ID. Чтобы убедиться, что входы в эти приложения защищены идентификатором Microsoft Entra:

• Определите, какие приложения, подключенные к вашему каталогу для единой аутентификации, позволяют конечным пользователям обойти единую аутентификацию с использованием учетных данных локального приложения или резервного метода аутентификации. Вам потребуется просмотреть документацию, предоставленную поставщиком приложений, чтобы понять, возможно ли это, и какие параметры доступны. Затем в этих приложениях отключите параметры, позволяющие конечным пользователям обойти систему единого входа. Протестируйте опыт конечного пользователя, открыв браузер в режиме InPrivate, подключитесь к странице входа приложений, укажите удостоверение пользователя в вашем арендаторе и убедитесь, что возможность входа существует только через Microsoft Entra.
• Если приложение предоставляет API для управления паролями пользователей, удалите локальные пароли или задайте уникальный пароль для каждого пользователя с помощью API. Это позволит предотвратить вход конечных пользователей в приложение с помощью локальных учетных данных.
• Если приложение предоставляет API для управления пользователями, настройте подготовку пользователей Microsoft Entra для этого приложения, чтобы отключить или удалить учетные записи пользователей, когда пользователи больше не находятся в области применения приложения или клиента.

Следующие шаги

• Защита приложений с помощью условного доступа
• Самостоятельное управление группами (SSAA)