通过

教程:管理应用程序访问权限和安全性

  • 项目

Fabrikam 的 IT 管理员从 Microsoft Entra 应用程序库中添加并配置了一个应用程序。 他们现在需要了解可用于管理对应用程序的访问权限的功能,并确保应用程序的安全性。 使用本教程中的信息,管理员将了解如何:

  • 代表所有用户授予应用程序许可
  • 启用多重身份验证,使登录更安全
  • 向应用程序用户传达使用条款
  • 在“我的应用”门户中创建集合

先决条件

  • 具有活动订阅的 Azure 帐户。 免费创建帐户
  • 以下角色之一:特权角色管理员、云应用程序管理员或应用程序管理员。
  • 已在你的 Microsoft Entra 租户中配置好的企业应用程序。
  • 至少添加了一个用户帐户并将其分配给应用程序。 有关详细信息,请参阅快速入门:创建和分配用户帐户

提示

本文中的步骤可能因开始使用的门户而略有不同。

对于管理员已添加到其租户的应用程序,他们希望对它设置,以便组织中的所有用户都可以使用它,而无需单独请求许可才能使用它。 为了避免用户同意的需要,他们可以代表组织中的所有用户授予对应用程序的同意。 有关详细信息,请参阅同意和权限概述

  1. 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心
  2. 浏览到“标识”>“应用程序”>“企业应用程序”。
  3. 选择要向其授予租户范围的管理员许可的应用程序。
  4. 在“安全性”下,选择“权限”。
  5. 仔细查看应用程序所需的权限。 如果同意应用程序所需的权限,请选择“授予管理员同意”。

创建条件访问策略

管理员希望确保只有他们分配到应用程序的人才能安全地登录。 为此,他们可为一组用户配置条件访问策略,以强制执行多重身份验证。 有关详细信息,请参阅什么是条件访问?

创建组

通过将应用程序的所有用户分配到一个组,管理员可以更轻松地管理对应用程序的访问权限。 然后,管理员可以在组级别管理访问权限。

  1. 在租户概述的左侧菜单中,选择“组”>“全部组”。
  2. 选择窗格顶部的“新建组”。
  3. 输入 MFA-Test-Group 作为组名称。
  4. 选择“未选择任何成员”,然后选择已分配到应用程序的用户帐户。
  5. 选择“创建”。

为该组创建条件访问策略

  1. 在租户概述的左侧菜单中,选择“保护”。
  2. 依次选择“条件访问”、“+ 新建策略”、“创建新策略”。
  3. 输入策略的名称,例如“MFA 试验”。
  4. 在“分配”下,选择“用户或工作负荷标识”。
  5. 在“包括”选项卡中,选择“选择用户和组”,然后选择“用户和组”。
  6. 浏览并选择之前创建的“MFA-Test-Group”,然后选择“选择”。
  7. 暂时不要选择“创建”,下一部分会向策略添加 MFA。

配置多重身份验证

在本教程中,管理员可以找到配置应用程序的基本步骤,但他们应考虑在开始之前创建 MFA 计划。 有关详细信息,请参阅规划 Microsoft Entra 多重身份验证部署

  1. 在“云应用或操作”下,选择“未选择云应用、操作或身份验证上下文”。 对于本教程,在“包括”选项卡上,选择“选择资源”。
  2. 搜索并选择应用程序,然后选择“选择”。
  3. 在“访问控制”和“授权”下,选择“已选择 0 个控件”。
  4. 选中“需要多重身份验证”对应的复选框,然后选择“选择”。
  5. 将“启用策略”设置为“打开”。
  6. 若要应用条件访问策略,请选择“创建”。

测试多重身份验证

  1. 在 InPrivate 或无痕窗口模式下打开新的浏览器窗口,并浏览到应用程序的 URL。
  2. 使用分配给应用程序的用户帐户登录。 你需要注册并使用 Microsoft Entra 多重身份验证。 按照提示完成该过程,并验证是否可成功登录到 Microsoft Entra 管理中心。
  3. 关闭浏览器窗口。

创建使用条款声明

在开始使用应用程序之前,用户希望确保知道某些条款和条件。 有关详细信息,请参阅 Microsoft Entra 使用条款

  1. 在 Microsoft Word 中创建一个新文档。
  2. 键入“我的使用条款”,然后在计算机上将此文档保存为 mytou.pdf
  3. “管理”下的“条件访问”菜单中,选择“使用条款”
  4. 在顶部菜单中,选择“+ 新建术语”
  5. 在“名称”文本框中,键入“我的 TOU”。
  6. 在“显示名称”文本框中,键入“我的 TOU”。
  7. 上传使用条款 PDF 文件。
  8. 对于“语言”,请选择“英语”
  9. 对于“要求用户展开使用条款”,请选择“打开”
  10. 对于“强制实施条件访问策略模板”,请选择“自定义策略”。
  11. 选择“创建”。

将使用条款添加到策略

  1. 在租户概述的左侧菜单中,选择“保护”。
  2. 选择“条件访问”,然后选择“策略”。 在策略列表中,选择“MFA Pilot”策略。
  3. “访问控制”“授予”下,选择所选控件链接。
  4. 选择“我的 TOU”。
  5. 选择“需要所有选定的控件”,然后选择“选择”
  6. 选择“保存”。

在“我的应用”门户中创建集合

通过“我的应用”门户,管理员和用户能够管理组织中使用的应用程序。 有关详细信息,请参阅应用程序的最终用户体验

注意

只有在将用户分配到应用程序并将应用程序配置为用户可见后,应用程序才显示在用户的“我的应用”门户中。 请参阅配置应用程序属性,了解如何使应用程序对用户可见。

默认情况下,所有应用程序都列在一个页面上。 但可以用集合将相关应用程序组合在一起,将它们显示在单独的选项卡上,使其更易于找到。 例如,可以使用集合为特定作业角色、任务、项目等创建应用程序的逻辑分组。 在本部分中,你将创建一个集合,并将它分配给用户和组。

  1. 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心
  2. 浏览到“标识”>“应用程序”>“企业应用程序”。
  3. 在“管理”下面选择“应用启动器”>“集合”。
  4. 选择“新建集合”。 在“新建集合”页中,输入集合的“名称”(我们建议不要在名称中使用“集合”一词)。 然后输入“说明”。
  5. 选择“应用程序”选项卡。选择“+ 添加应用程序”,然后在“添加应用程序”页中,选择要添加到集合的所有应用程序,或者使用“搜索”框查找应用程序。
  6. 添加完应用程序后,选择“添加”。 此时会显示所选应用程序的列表。 可以使用箭头更改列表中应用程序的顺序。
  7. 选择“所有者”选项卡。选择“+ 添加用户和组”,然后在“添加用户和组”页中,选择要将所有权分配到的用户或组。 选择完用户和组后,选择“选择”。
  8. 选择“用户和组”选项卡。选择“+ 添加用户和组”,然后在“添加用户和组”页中,选择要将集合分配到的用户或组。 或使用“搜索”框查找用户或组。 选择完用户和组后,选择“选择”。
  9. 选择“查看 + 创建”,然后选择“创建”。 此时会显示新集合的属性。

在“我的应用”门户中检查集合

  1. 在 InPrivate 或 incognito 模式下打开新的浏览器窗口,并浏览到“我的应用”门户。
  2. 使用分配给应用程序的用户帐户登录。
  3. 检查所创建的集合是否显示在了“我的应用”门户中。
  4. 关闭浏览器窗口。

清理资源

可以保留资源供将来使用,或者,如果不打算继续使用本教程中创建的资源,请执行以下步骤将其删除。

删除应用程序

  1. 在左侧菜单中,选择“企业应用程序”。 此时会打开“所有应用程序”窗格,其中显示了 Microsoft Entra 租户中应用程序的列表。 搜索并选择要删除的应用程序。
  2. 在左侧菜单的“管理”部分中,选择“属性”。
  3. 在“属性”窗格的顶部,选择“删除”,然后选择“”以确认要从 Microsoft Entra 租户中删除该应用程序。

删除条件访问策略

  1. 选择“企业应用程序”。
  2. 在“保护”下,选择“条件访问”。
  3. 搜索并选择 MFA Pilot
  4. 选择窗格顶部的“删除”。

删除组

  1. 选择“标识>”。
  2. 在“所有组”页中,搜索并选择“MFA-Test-Group”组。
  3. 在概述页面上,选择“删除”。

后续步骤

有关如何确保应用程序正常运行并正确使用的信息,请参阅:

治理和监视应用程序