管理環境中應用程式的存取權
Microsoft Entra 識別碼治理可讓您透過適當的程序與可見性,平衡貴組織的安全性需求與員工生產力。 其功能能確保您組織內適當的人員在適當的時間點擁有適當資源的適當存取權。
具有合規性需求或風險管理計劃的組織會有敏感性或業務關鍵性應用程式。 應用程式敏感度可能會根據其用途或其包含的資料,例如組織客戶的財務資訊或個人資訊。 對於這些應用程式,一般只有組織中所有使用者的子集會獲授權具有存取權,而且只應根據記載的商務需求來允許存取。
您可以在貴組織管理存取權控制措施時,使用 Microsoft Entra 功能來:
- 設定適當的存取權
- 將使用者佈建至應用程式
- 強制執行存取檢查
- 產生報告以示範如何使用這些控制項才能符合您的合規性和風險管理目標。
除了應用程式存取治理案例之外,您也可以針對其他案例使用 Microsoft Entra ID 控管功能和其他 Microsoft Entra 功能,例如檢閱和移除其他組織的使用者,或管理已從條件式存取原則中排除的使用者。 如果貴組織在 Microsoft Entra ID 或 Azure 中有多個系統管理員,請使用 B2B 或自助式群組管理,並應為這些案例規劃存取權檢閱部署。
授權需求
使用此功能需要 Microsoft Entra ID 控管或 Microsoft Entra 套件授權。 若要找到適合您需求的授權,請參閱 Microsoft Entra ID 控管授權基本概念。
開始管理應用程式的存取權
Microsoft Entra ID 控管可以與許多應用程式整合 (使用 OpenID Connect、SAML、SCIM、SQL 和 LDAP 等標準)。 透過這些標準,您可以使用 Microsoft Entra ID 搭配許多熱門的 SaaS 應用程式、內部部署應用程式,以及貴組織所開發的應用程式。
在您如下一節所述備妥 Microsoft Entra 環境後,下列三個步驟計畫將說明如何將應用程式連線到 Microsoft Entra ID,並啟用要用於該應用程式的身分識別治理功能。
- 定義組織原則,以管理應用程式的存取權
- 將應用程式與 Microsoft Entra ID 整合,以確保只有授權使用者可以存取應用程式,並檢閱使用者對應用程式的現有存取權,以設定所有已檢閱使用者的基準。 這可允許驗證和使用者佈建
- 部署這些原則,以控制單一登入 (SSO),並將該應用程式的存取指派自動化
設定身分識別治理的 Microsoft Entra ID 和 Microsoft Entra ID 控管之前的必要條件
開始治理來自 Microsoft Entra ID 控管的應用程式存取流程之前,您應該先檢查是否已適當地設定 Microsoft Entra 環境。
請確認您的 Microsoft Entra ID 和 Microsoft Online Services 環境已準備好讓應用程式的合規性需求整合並正確授權。 合規性是 Microsoft、雲端服務提供者 (CSP) 和組織之間的共同責任。 若要使用 Microsoft Entra ID 來治理應用程式的存取權,您必須在租用戶中擁有下列其中一個授權組合:
- Microsoft Entra ID 控管及其必要條件,Microsoft Entra ID P1
- Microsoft Entra ID P2 的 Microsoft Entra ID 控管升級及其必要條件,Microsoft Entra ID P2 或 Enterprise Mobility + Security (EMS) E5
您的租用戶至少必須擁有和受治理的成員 (非來賓) 使用者數目一樣的授權數目,這些成員使用者包含應擁有或可以要求應用程式存取權、核准或檢閱應用程式存取權。 在這些使用者都擁有適當授權的情況下,您就可以管理每個使用者最多 1500 個應用程式的存取權。
如果您要管理來賓對應用程式的存取權,請將 Microsoft Entra 租用戶連結至 MAU 計費的訂閱。 在來賓要求或檢閱其存取權之前,必須先執行此步驟。 如需詳細資訊,請參閱 Microsoft Entra 外部 ID 外部身分識別的計費模型。
檢查 Microsoft Entra ID 是否已將其稽核記錄和其他記錄 (選擇性) 傳送至 Azure 監視器。 Azure 監視器是選擇性的,但對於治理應用程式的存取權很有用,因為 Microsoft Entra 只會在其稽核記錄中儲存最多 30 天的稽核事件。 您保留稽核資料的時間可以超過預設保留期限,如 Microsoft Entra ID 儲存報吿資料的時間長度為何?所述,以及使用 Azure 監視器活頁簿和自訂查詢,以及歷程稽核資料報告。 您可以按一下 [活頁簿],檢查 Microsoft Entra 設定,以查看其是否使用 Azure 監視器,在 Microsoft Entra 系統管理中心的 [Microsoft Entra ID] 中。 如果尚未設定此整合,而且您擁有 Azure 訂閱且位於
Global Administrator或Security Administrator角色中,您可以設定 Microsoft Entra ID 以使用 Azure 監視器。請確定只有授權使用者可擔任 Microsoft Entra 租用戶中具有高度特殊權限的系統管理角色。 全域管理員、身分識別治理管理員、使用者管理員、應用程式管理員、雲端應用程式管理員和特殊權限角色管理員中的系統管理員可以變更使用者及其應用程式角色指派。 如果最近尚未檢閱這些角色的成員資格,您將需要具有「全域管理員」或「特殊權限角色管理員」身分的使用者,以確保已啟動這些目錄角色的存取權檢閱。 您也應確保訂閱中具有 Azure 角色,並保留 Azure 監視器、Logic Apps 和其他 Microsoft Entra 設定作業所需資源的使用者已受檢閱。
檢查您的租用戶是否有適當隔離。 如果您的組織使用 Active Directory 內部部署,且這些 AD 網域已連線至 Microsoft Entra ID,則您必須確保雲端託管服務的高度特殊權限管理作業會與內部部署帳戶隔離。 請確認您已設定您的系統,以保護 Microsoft 365 雲端環境免於遭受內部部署入侵。
確認您的 Microsoft Entra 環境已準備就緒之後,請繼續進行定義應用程式的管理原則。