Vad är programhantering i Microsoft Entra-ID?

Programhantering i Microsoft Entra-ID är processen för att skapa, konfigurera, hantera och övervaka program i molnet. När ett program har registrerats i en Microsoft Entra-klientorganisation kan användare som redan har tilldelats det komma åt det på ett säkert sätt. Många typer av program kan registreras i Microsoft Entra-ID. Mer information finns i Programtyper för Microsofts identitetsplattform.

I den här artikeln får du lära dig följande viktiga aspekter av att hantera livscykeln för ett program:

• Utveckla, lägga till eller ansluta – Du använder olika sökvägar beroende på om du utvecklar ditt eget program, använder ett förintegrerat program eller ansluter till ett lokalt program.
• Hantera åtkomst – Åtkomst kan hanteras genom att använda enkel inloggning (SSO), genom att tilldela resurser, definiera hur åtkomst beviljas och samtycks till och genom att använda automatiserad användarprovisionering.
• Konfigurera egenskaper – Konfigurera kraven för att logga in i programmet och hur programmet representeras i användarportaler.
• Skydda programmet – Hantera konfiguration av behörigheter, multifaktorautentisering, villkorlig åtkomst, token och certifikat.
• Styra och övervaka – Hantera interaktion och granskningsaktivitet med hjälp av berättigandehantering och rapporterings- och övervakningsresurser.
• Rensa – När din applikation inte längre behövs, rensar du klientorganisationen genom att ta bort åtkomsten och radera den.

Utveckla, lägga till eller ansluta

Det finns flera sätt att hantera program i Microsoft Entra-ID. Det enklaste sättet att börja hantera ett program är att använda ett förintegrerat program från Microsoft Entra-galleriet. Att utveckla ditt eget program och registrera det i Microsoft Entra-ID är ett alternativ, eller så kan du fortsätta att använda ett lokalt program.

Följande bild visar hur dessa program interagerar med Microsoft Entra-ID.

Förintegrerade program

Många program är redan förintegrerade (visas som Molnprogram i föregående bild i den här artikeln) och kan konfigureras med minimal ansträngning. Varje program i Microsoft Entra-galleriet har en artikel tillgänglig som visar de steg som krävs för att konfigurera programmet. Ett enkelt exempel på hur ett program kan läggas till i din Microsoft Entra-klientorganisation från galleriet finns i Snabbstart: Lägg till ett företagsprogram.

Dina egna program

Om du utvecklar ett eget affärsprogram kan du registrera det med Microsoft Entra-ID för att dra nytta av de säkerhetsfunktioner som klientorganisationen tillhandahåller. Du kan registrera ditt program i appregistreringar, eller så kan du registrera det med hjälp av länken Skapa ett eget program när du lägger till ett nytt program i Enterprise-program. Överväg hur autentiseringen implementeras i din applikation för integrering med Microsoft Entra-id.

Om du vill göra applikationen tillgänglig via galleriet kan du skicka en begäran för att göra denna tillgänglig.

Lokalt installerade applikationer

Om du vill fortsätta använda ett lokalt program, men dra nytta av vad Microsoft Entra ID erbjuder, ansluter du det med Microsoft Entra-ID med Microsoft Entra-programproxy. Programproxy kan implementeras när du vill publicera lokala program externt. Fjärranvändare som behöver åtkomst till interna program kan sedan komma åt dem på ett säkert sätt.

Hantera åtkomst

För att hantera åtkomst för en applikation bör du svara på följande frågor:

• Hur beviljas och godkänns åtkomst för programmet?
• Stöder programmet SSO?
• Vilka användare, grupper och ägare ska tilldelas till programmet?
• Finns det andra identitetsprovidrar som stöder programmet?
• Är det bra att automatisera etableringen av användaridentiteter och roller?

Åtkomst och medgivande

Du kan hantera inställningar för användarmedgivande för att välja om användare kan tillåta att ett program eller en tjänst får åtkomst till användarprofiler och organisationsdata. När program beviljas åtkomst kan användarna logga in på program som är integrerade med Microsoft Entra-ID och programmet kan komma åt organisationens data för att leverera omfattande datadrivna upplevelser.

I situationer där användarna inte kan samtycka till de behörigheter som ett program begär bör du överväga att konfigurera arbetsflödet för administratörsmedgivande. Med arbetsflödet kan användarna ange en motivering och begära en administratörs granskning och godkännande av ett program. Information om hur du konfigurerar arbetsflöde för administratörsmedgivande i din Microsoft Entra-klient finns i Konfigurera arbetsflöde för administratörsmedgivande.

Som administratör kan du bevilja klientomfattande adminmedgivande till en applikation. Administratörsmedgivande för hela klientorganisationen krävs när ett program kräver behörigheter som vanliga användare inte får bevilja. Genom att bevilja administratörsmedgivande för hela klientorganisationen kan organisationer implementera sina egna granskningsprocesser. Granska alltid noggrant de behörigheter som programmet begär innan du beviljar medgivande. När ett program beviljas administratörsmedgivande för hela klientorganisationen kan alla användare logga in på programmet om du inte konfigurerar det för att kräva användartilldelning.

Enkel inloggning

Överväg att implementera enkel inloggning i ditt program. Du kan konfigurera de flesta program för enkel inloggning manuellt. De mest populära alternativen i Microsoft Entra ID är SAML-baserad SSO och OpenID Connect-baserad SSO. Innan du börjar bör du se till att du förstår kraven för enkel inloggning och hur du planera för distribution. Mer information om hur du konfigurerar SAML-baserad enkel inloggning för ett företagsprogram i din Microsoft Entra-klient finns i Aktivera enkel inloggning för ett program med hjälp av Microsoft Entra ID.

Tilldelning av användare, grupp och ägare

Som standard kan alla användare komma åt dina företagsprogram utan att tilldelas till dem. Men om du vill tilldela programmet till en uppsättning användare konfigurerar du programmet så att det kräver användartilldelning och tilldelar de valda användarna till programmet. Ett enkelt exempel på hur du skapar och tilldelar ett användarkonto till ett program finns i Snabbstart: Skapa och tilldela ett användarkonto.

Om det ingår i din prenumeration, tilldela grupper till en applikation så att du kan delegera löpande åtkomsthantering till gruppägaren.

Tilldela ägare är ett enkelt sätt att ge möjlighet att hantera alla aspekter av Microsoft Entra-konfigurationen för ett program. Som ägare kan en användare hantera den organisationsspecifika konfigurationen av programmet. Som bästa praxis bör du proaktivt övervaka program i din klientorganisation för att säkerställa att de har minst två ägare för att undvika situationen för ägarlösa program.

Automatisera provisionering

Programetablering syftar på att automatiskt skapa användaridentiteter och roller i de program som användarna behöver komma åt. Förutom att skapa användaridentiteter inkluderar automatisk etablering underhåll och borttagning av användaridentiteter när status eller roller ändras.

Identitetsprovidrar

Har du en identitetsprovider som du vill att Microsoft Entra-ID ska interagera med? Home Realm Discovery tillhandahåller en konfiguration som gör att Microsoft Entra-ID kan avgöra vilken identitetsprovider en användare behöver autentisera med när de loggar in.

Användarportaler

Med Microsoft Entra-ID kan du distribuera program till användare i din organisation på ett anpassningsbart sätt. Till exempel Portal för Mina appar eller Microsoft 365-programstartaren. Mina appar ger användarna en enda plats där de kan börja sitt arbete och hitta alla program som de har åtkomst till. Som administratör för ett program bör du planera hur användarna i din organisation använder Mina appar.

Konfigurera egenskaper

När du lägger till ett program i din Microsoft Entra-klientorganisation har du möjlighet att konfigurera egenskaper som påverkar hur användare kan interagera med programmet. Du kan aktivera eller inaktivera möjligheten att logga in och ange att programmet ska kräva användartilldelning. Du kan också bestämma programmets synlighet, vilken logotyp som representerar programmet och eventuella anteckningar om programmet. Mer information om de egenskaper som kan konfigureras finns i Egenskaper för ett företagsprogram.

Skydda programmet

Det finns flera tillgängliga metoder som hjälper dig att skydda dina företagsprogram. Du kan till exempel begränsa klientåtkomsten, hantera synlighet, data och analysoch eventuellt ge hybridåtkomst. Att skydda dina företagsprogram innebär också att hantera konfiguration av behörigheter, MFA, villkorlig åtkomst, token och certifikat.

Behörigheter

Det är viktigt att regelbundet granska och vid behov hantera de behörigheter som beviljats till ett program eller en tjänst. Se till att du endast tillåter lämplig åtkomst till dina program genom att regelbundet utvärdera om misstänkt aktivitet finns.

Behörighetsklassificeringar kan du identifiera effekten av olika behörigheter enligt organisationens principer och riskbedömningar. Du kan till exempel använda behörighetsklassificeringar i medgivandeprinciper för att identifiera den uppsättning behörigheter som användarna får samtycka till.

Multifaktorautentisering och villkorlig åtkomst

Microsoft Entra multifaktorautentisering hjälper till att skydda åtkomsten till data och program, vilket ger ett annat säkerhetslager med hjälp av en andra form av autentisering. Det finns många metoder som kan användas för en andra faktorautentisering. Innan du börjar, planera distributionen av MFA för din applikation i din organisation.

Organisationer kan aktivera MFA med villkorlig åtkomst för att få lösningen att passa deras specifika behov. Principer för villkorlig åtkomst gör det möjligt för administratörer att tilldela kontroller till specifika program, åtgärder eller autentiseringskontext.

Token och certifikat

Olika typer av säkerhetstoken används i ett autentiseringsflöde i Microsoft Entra-ID beroende på vilket protokoll som används. Till exempel används SAML-token för SAML-protokollet och ID-token och åtkomsttoken används för OpenID Connect-protokollet. Token signeras med det unika certifikat som Microsoft Entra-ID genererar och av specifika standardalgoritmer.

Du kan ge mer säkerhet genom att kryptera token. Du kan också hantera informationen i en token, inklusive de roller som är tillåtna för programmet.

Microsoft Entra ID använder SHA-256-algoritmen som standard för att signera SAML-svaret. Använd SHA-256 såvida inte programmet kräver SHA-1. Upprätta en process för hantering av livslängden för certifikatet. Den maximala livslängden för ett signeringscertifikat är tre år. För att förhindra eller minimera avbrott på grund av att ett certifikat upphör att gälla använder du roller och distributionslistor för e-post för att säkerställa att certifikatrelaterade ändringsmeddelanden övervakas noggrant.

Styra och övervaka

Berättigandehantering i Microsoft Entra-ID kan du hantera interaktion mellan program och administratörer, katalogägare, åtkomstpakethanterare, godkännare och begäranden.

Din rapporterings- och övervakningslösning i Microsoft Entra beror på dina juridiska krav, säkerhet och driftskrav samt din befintliga miljö och dina processer. Det finns flera loggar som underhålls i Microsoft Entra-ID. Därför bör du planera för rapportering och övervakning av distribution för att upprätthålla en så bra upplevelse som möjligt för din applikation.

Rensa

Du kan rensa åtkomsten till program. Till exempel att ta bort en användares åtkomst. Du kan också inaktivera hur en användare loggar in. Slutligen kan du ta bort programmet om det inte längre behövs för organisationen. Mer information om hur du tar bort ett företagsprogram från din Microsoft Entra-klient finns i Snabbstart: Ta bort ett företagsprogram.

Guidad genomgång

En guidad genomgång av många av rekommendationerna i den här artikeln finns i Microsoft 365 Secure your cloud apps with Single Sign On (SSO) guided walkthrough.

Nästa steg

• Kom igång genom att lägga till ditt första företagsprogram med snabbstarten : Lägg till ett företagsprogram.