Microsoft Entra ID 中的應用程式管理是什麼?
Microsoft Entra 身份驗證中的應用程式管理是雲端中建立、設定、管理和監控應用程式的過程。 在Microsoft Entra 租用戶中註冊 應用程式 時,已獲指派給它的使用者可以安全地存取它。 許多類型的應用程式可以在 Microsoft Entra ID 註冊。 如需詳細資訊,請參閱 Microsoft 身分識別平臺的應用程式類型。
在本文中,您將瞭解管理應用程式生命周期的這些重要層面:
- 開發、新增或連線 – 視您要開發自己的應用程式、使用預先整合的應用程式或連線到內部部署應用程式而定,您採取不同的路徑。
- 管理存取 – 您可以使用單一登錄來管理存取權、指派資源、定義授與存取權的方式,以及使用自動化布建。
- 設定屬性 – 設定登入應用程式的需求,以及應用程式如何在使用者入口網站中呈現。
- 保護應用程式 – 管理許可權、多重要素驗證、條件式存取、令牌和憑證的設定。
- 控管和監視 – 使用權利管理和報告和監視資源來管理互動和檢閱活動。
- 清除 – 當您的應用程式不再需要時,請移除其存取權並刪除該應用程式,以清理租戶。
開發、新增或連線
您可以透過數種方式來管理Microsoft Entra ID 中的應用程式。 若要開始管理應用程式,最簡單的方式是從 Microsoft Entra 資源庫使用預先整合的應用程式。 開發您自己的應用程式並在 Microsoft Entra ID 中註冊是一個選項,或者您可以繼續使用內部部署應用程式。
下圖顯示這些應用程式如何與 Microsoft Entra ID 互動。
預先整合的應用程式
許多應用程式已經預先整合(如本文上圖中顯示的 雲端應用程式),可以輕鬆設定。 Microsoft Entra 資源庫中的每個應用程式都附有一篇指南,為您說明 如何設定該應用程式所需的步驟。 如需了解如何從圖庫將企業應用程式新增至 Microsoft Entra 服務的租用戶,請參閱 快速入門:新增企業應用程式。
您自己的應用程式
如果您開發自己的商務應用程式,您可以使用 Microsoft Entra 識別碼進行註冊,以利用租使用者所提供的安全性功能。 您可以在 應用程式註冊中註冊您的應用程式,或者在 企業應用程式中新增應用程式時,使用 建立自己的應用程式 連結來註冊應用程式。 請考慮如何在應用程式中實作 驗證,以便與 Microsoft Entra 識別碼整合。
如果您想要透過展示館提供您的應用程式,您可以 提交要求以供使用。
內部部署應用程式
如果您想繼續使用內部部署應用程式,同時享用由 Microsoft Entra ID 所提供的功能,請使用 Microsoft Entra 應用程式 Proxy將它與 Microsoft Entra ID 連接。 當您要將內部部署的應用程式發佈到外部時,可以實作應用程式代理。 需要內部應用程式存取權的遠端使用者可以以安全的方式存取它們。
管理存取權
若要 管理應用程式的存取,您需要回答下列問題:
- 如何為應用程式授與和同意存取權?
- 應用程式是否支援 SSO?
- 應該將哪些使用者、群組和擁有者指派給應用程式?
- 是否有其他識別提供者支援應用程式?
- 自動化配置使用者身份和角色是否有幫助?
存取和同意
您可以 管理使用者同意設定,以選擇使用者是否可以允許應用程式或服務存取使用者配置檔和組織數據。 當應用程式獲得存取權時,使用者可以登入與 Microsoft Entra ID 整合的應用程式,而應用程式可以存取您組織的數據,以提供豐富的數據驅動體驗。
在使用者無法同意應用程式要求的許可權的情況下,請考慮設定管理員同意工作流程。 工作流程可讓使用者提供理由,並要求系統管理員檢閱和核准應用程式。 若要瞭解如何在 Microsoft Entra 租使用者中設定管理員同意工作流程,請參閱 設定系統管理員同意工作流程。
身為系統管理員,您可以 將租戶範圍的系統管理員同意 授與應用程式。 當應用程式需要一般使用者不允許授與的許可權時,需要全租使用者管理員同意。 授與租戶範圍的系統管理員同意也允許組織執行他們自己的審查流程。 一律仔細檢閱應用程式在授與同意之前要求的許可權。 當應用程式獲得全租用戶系統管理員同意時,除非您將應用程式設定為需要使用者指派,否則所有使用者都能夠登入應用程式。
單一登錄
請考慮在應用程式中實作 SSO。 您可以手動設定大部分的 SSO 應用程式。 Microsoft Entra ID 中最受歡迎的選項是 SAML 型 SSO 和 OpenID Connect 型 SSO。 開始之前,請確定您已瞭解 SSO 的需求,以及如何 規劃部署。 如需如何在 Microsoft Entra 租使用者中為企業應用程式設定 SAML 型 SSO 的詳細資訊,請參閱 使用 Microsoft Entra ID啟用應用程式的單一登錄。
使用者、群組和擁有者分配
根據預設,所有使用者都可以存取您的企業應用程式,而不需要指派給他們。 不過,如果您想要將應用程式指派給一組使用者,請將應用程式設定為要求使用者指派,並將選取的使用者指派給應用程式。 如需如何將使用者帳戶建立和指派給應用程式的簡單範例,請參閱 快速入門:建立及指派用戶帳戶。
如果包含在您的訂用帳戶中,將群組指派給應用程式,以便您可以將進行中的存取管理委派給群組擁有者。
指派擁有者 是一種簡單的方式,可讓您管理 Microsoft Entra 應用程式設定的所有層面。 身為擁有者,使用者可以管理應用程式的組織特定設定。 最佳做法是,您應該主動監視租使用者中的應用程式,以確保他們至少有兩個擁有者,以避免無擁有者應用程式的情況。
自動化布建
應用程式佈建 是指在使用者需要存取的應用程式中自動建立使用者身分識別和角色。 除了建立使用者身分識別之外,自動布建還包含隨著狀態或角色變更而維護和移除使用者身分識別的功能。
身份提供者
您是否有想要Microsoft Entra識別碼與其互動的識別提供者? Home Realm Discovery 提供一項設定,使 Microsoft Entra ID 能判斷使用者登入時所需的身分識別提供者。
使用者入口網站
Microsoft Entra ID 提供可自定義的方式,將應用程式部署至組織中的使用者。 例如,我的應用程式入口網站或 Microsoft 365 應用程式啟動器。 我的應用程式可讓使用者在單一位置啟動其工作,並尋找他們可存取的所有應用程式。 身為應用程式的系統管理員,您應該 規劃組織中的使用者如何使用「我的應用程式」。
設定屬性
當您將應用程式新增至 Microsoft Entra 租使用者時,有機會設定會影響使用者與應用程式互動方式的屬性。 您可以啟用或停用登入並設定應用程式以要求使用者指派的功能。 您也可以判斷應用程式的可見度、代表應用程式的標誌,以及應用程式的任何附注。 如需可設定之屬性的詳細資訊,請參閱 企業應用程式的屬性。
保護應用程式
有數種方法可協助您保護企業應用程式的安全。 例如,您可以 限制租使用者存取、管理可見度、數據和分析,而且可能會提供 混合式存取。 保護您的企業應用程式也牽涉到管理許可權、MFA、條件式存取、令牌和憑證的設定。
權限
務必定期檢閱並視需要 管理授與給應用程式或服務的許可權。 請定期評估可疑活動是否存在,以確保您只允許適當的應用程式存取權。
許可權分類 可讓您根據組織的原則和風險評估來識別不同許可權的效果。 例如,您可以在同意原則中使用許可權分類,以識別允許使用者同意的許可權集。
多重要素驗證和條件式存取
Microsoft Entra 多重要素驗證有助於保護數據和應用程式的存取,使用第二種形式的驗證來提供另一層安全性。 有許多方法可用於次要要素驗證。 在您開始之前,規劃在您的組織中部署您應用程式的 MFA。
組織可以使用 條件式存取來啟用 MFA,讓解決方案符合其特定需求。 條件式存取原則可讓系統管理員將控制項指派給特定的 應用程式、動作或驗證內容,。
令牌和憑證
根據使用的通訊協定,Microsoft Entra 識別符的驗證流程中會使用不同類型的安全性令牌。 例如,SAML 令牌 用於 SAML 通訊協定,標識元令牌 和 存取令牌 用於 OpenID Connect 通訊協定。 令牌是由 Microsoft Entra ID 生成的唯一憑證,以及特定的標準演算法簽署的。
您可以藉由 加密令牌來提供更多安全性。 您也可以管理令牌中的資訊,包括 角色以及應用程式允許的。
Microsoft Entra ID 預設會使用 SHA-256 演演算法 來簽署 SAML 回應。 除非應用程式需要SHA-1,否則請使用SHA-256。 建立 管理憑證存留期的程式。 簽署憑證的最大存留期為三年。 若要防止或最小化因憑證過期而中斷,請使用角色和電子郵件通訊組清單,以確保密切監視憑證相關的變更通知。
控管和監視
Microsoft Entra 身分識別中的權限管理 使您能夠管理應用程式、系統管理員、目錄擁有者、存取套件管理者、核准者和請求者之間的互動。
您的Microsoft Entra 報告和監視解決方案取決於您的法律、安全性和作業需求,以及現有的環境和程式。 在 Microsoft Entra ID 中,維護有數個日誌。 因此,您應該 規劃報告和監視部署,以盡可能維護應用程式的最佳體驗。
收拾
您可以清除應用程式的存取權。 例如,移除使用者的存取權。 您也可以 停用使用者的登入方式。 最後,如果組織不再需要應用程式,您可以刪除該應用程式。 如需如何從 Microsoft Entra 租使用者中刪除企業應用程式的詳細資訊,請參閱 快速入門:刪除企業應用程式。
引導式逐步解說
如需本文中許多建議的引導式逐步解說,請參閱 Microsoft 365 使用單一登錄保護雲端應用程式引導式逐步解說。