共用方式為

教學課程:管理應用程式存取和安全性

  • 發行項

Fabrikam 的 IT 系統管理員已從 Microsoft Entra 應用程式庫新增並設定應用程式。 他們現在必須了解有何功能可用來管理對應用程式的存取,並確保應用程式安全無虞。 管理員可使用本教學課程中的資訊以了解如何:

  • 代表所有使用者來同意應用程式
  • 啟用多重要素驗證使登入更安全
  • 將使用規定告知應用程式的使用者
  • 在我的應用程式入口網站中建立集合

必要條件

  • 具有有效訂用帳戶的 Azure 帳戶。 免費建立帳戶
  • 下列其中一個角色:特殊權限角色管理員、雲端應用程式管理員或應用程式管理員。
  • 已在 Microsoft Entra 租用戶中設定的企業應用程式。
  • 至少一個已新增並指派給應用程式的使用者帳戶。 如需詳細資訊,請參閱快速入門:建立和指派使用者帳戶

針對管理員在其租用戶中新增的應用程式,管理員想要設定讓組織中的所有使用者都可以使用該應用程式,而不需要個別要求同意使用。 為了避免需要使用者同意,管理員可以代表組織中的所有使用者來同意應用程式。 如需詳細資訊,請參閱同意和權限概觀

  1. 以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心
  2. 瀏覽至 [身分識別]> [應用程式]> [企業應用程式]
  3. 選取您要授與全租用戶管理員同意的應用程式。
  4. 在 [安全性] 下,選取 [權限]
  5. 仔細檢查應用程式所需的權限。 如果您同意應用程式所需的權限,請選取 [授與管理員同意]

建立條件式存取原則

管理員想要確保只有指派給應用程式的人員才可以安全地登入。 若要這麼做,管理員可以為一群使用者設定條件式存取原則,以強制執行多重要素驗證。 如需詳細資訊,請參閱什麼是條件式存取?

建立群組

將應用程式的所有使用者指派給群組,可讓管理員更輕鬆管理對應用程式的存取。 然後,管理員可以在群組層級管理存取權。

  1. 在租用戶概觀的左側功能表中,選取 [群組]>[所有群組]
  2. 在窗格頂端選取 [新增群組]
  3. 輸入 MFA-Test-Group 作為群組的名稱。
  4. 選取 [未選取任何成員],然後選擇您指派給應用程式的使用者帳戶。
  5. 選取 建立

為群組建立條件式存取原則

  1. 在租用戶概觀的左側功能表中,選取 [保護]
  2. 選取 [條件式存取],選取 [+ 新增原則],然後選取 [建立新原則]。
  3. 輸入原則的名稱,例如 MFA Pilot
  4. 在 [指派] 底下,選取 [使用者] 或 [工作負載識別]
  5. 在 [包括] 索引標籤上,選擇 [選取使用者和群組],然後選取 [使用者和群組]
  6. 瀏覽並選取您先前建立的 MFA-Test-Group,然後選擇 [選取]
  7. 還不要選取 [建立],您在下一節會將 MFA 新增至原則。

設定多重要素驗證

在本教學課程中,管理員可以找到設定應用程式的基本步驟,但在開始之前應該考慮建立 MFA 的計劃。 如需詳細資訊,請參閱規劃 Microsoft Entra 多重要素驗證部署

  1. 在 [雲端應用程式或動作] 下,選取 [未選取任何雲端應用程式、動作或驗證內容]。 在本教學課程中,在 [ 包含] 索引標籤上,選擇 [ 選取資源]。
  2. 搜尋並選取您的應用程式,然後選取 [選取]
  3. 在 [存取控制] 和 [授與] 下,選取 [已選取 0 個控制項]
  4. 核取 [需要多重要素驗證] 方塊,然後選擇 [選取]
  5. 將 [啟用原則] 設定為 [開啟]
  6. 若要套用條件式存取原則,請選取 [建立]

測試多重要素驗證

  1. 以 InPrivate 或 Incognito 模式開啟新的瀏覽器視窗,並瀏覽至應用程式的 URL。
  2. 使用您指派給應用程式的使用者帳戶來登入。 您必須註冊並使用 Microsoft Entra 多重要素驗證。 請遵循提示以完成此流程,並確認您已成功登入 Microsoft Entra 系統管理中心。
  3. 關閉瀏覽器視窗。

建立使用規定聲明

Juan 想要先確定使用者在開始使用應用程式之前,知道特定的條款及條件。 如需詳細資訊,請參閱 Microsoft Entra 使用規定

  1. 在 Microsoft Word 中,建立新的文件。
  2. 輸入「我的使用規定」,然後在電腦上將文件儲存為 mytou.pdf
  3. 在 [管理] 下的 [條件式存取] 功能表中,選取 [使用規定]
  4. 在頂端功能表上,選取 [+ 新增條款]
  5. 在 [名稱] 文字方塊中,輸入「我的 TOU」
  6. 在 [顯示名稱] 文字方塊中,輸入「我的 TOU」
  7. 上傳您的使用規定 PDF 檔案。
  8. 在 [語言] 中,選取 [英文]
  9. 針對 [要求使用者展開使用規定],選取 [開啟]
  10. 針對 [強制使用條件式存取原則範本],選取 [自訂原則]
  11. 選取 建立

將使用規定新增至原則

  1. 在租用戶概觀的左側功能表中,選取 [保護]
  2. 選取 [條件式存取],然後選取 [原則]。 從原則清單中,選取 [MFA 試驗] 原則。
  3. 在 [存取控制] 和 [授與] 下,選取 [已選取控制項] 連結。
  4. 選取 [我的 TOU]
  5. 選取 [需要所有選取的控制項],然後選擇 [選取]
  6. 選取 [儲存]。

在我的應用程式入口網站中建立集合

「我的應用程式」入口網站可讓管理員和使用者管理組織中使用的應用程式。 如需詳細資訊,請參閱應用程式的終端使用者體驗

注意

只有在使用者指派給應用程式,且應用程式設定為可讓使用者看見之後,應用程式才會出現在使用者的「我的應用程式」入口網站中。 請參閱設定應用程式屬性,以了解如何讓使用者看見應用程式。

根據預設,所有應用程式都會一併列在單一頁面上。 但是,您可以使用集合將相關的應用程式收集在一起,並將它們顯示在不同的索引標籤上,使其更容易尋找。 例如,您可以使用集合建立特定工作角色、工作、專案等的應用程式邏輯群組。 在本節中,您會建立集合,並將其指派給使用者和群組。

  1. 以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心
  2. 瀏覽至 [身分識別]> [應用程式]> [企業應用程式]
  3. 在 [管理] 下方,選取 [應用程式啟動器]>[集合]
  4. 選取 [新增集合]。 在 [新增集合] 頁面中,輸入集合的 [名稱] (建議不要在名稱中使用 "collection")。 接著,輸入描述
  5. 選取 [應用程式] 索引標籤。選取 [+ 新增應用程式],然後在 [新增應用程式] 頁面中,選取您想要新增至集合的所有應用程式,或使用 [搜尋] 方塊來尋找應用程式。
  6. 當您完成新增應用程式時,請選取 [新增]。 隨即出現選取的應用程式清單。 您可以使用箭號來變更清單中的應用程式順序。
  7. 選取 [擁有者] 索引標籤。選取 [+ 新增使用者和群組],然後在 [新增使用者和群組] 頁面中,選取您想要指派所有權的使用者或群組。 當您完成選取使用者和群組時,請選擇 [選取]
  8. 選取 [使用者和群組] 索引標籤。選取 [+ 新增使用者和群組],然後在 [新增使用者和群組] 頁面中,選取您想要指派集合的使用者或群組。 或使用 [搜尋] 方塊來尋找使用者或群組。 當您完成選取使用者和群組時,請選擇 [選取]
  9. 選取 [檢閱 + 建立],然後選取 [建立]。 隨即出現新集合的屬性。

在我的應用程式入口網站中檢查集合

  1. 以 InPrivate 或 Incognito 模式開啟新的瀏覽器視窗,並瀏覽至我的應用程式入口網站。
  2. 使用您指派給應用程式的使用者帳戶來登入。
  3. 檢查您所建立的集合是否出現在我的應用程式入口網站中。
  4. 關閉瀏覽器視窗。

清除資源

您可以保留資源供日後使用,如果您不打算繼續使用本教學課程中建立的資源,請使用下列步驟來刪除資源。

刪除應用程式

  1. 在左側功能表中,選取 [企業應用程式]。 [所有應用程式] 窗格隨即開啟,並顯示您 Microsoft Entra 租用戶中應用程式的清單。 搜尋並選取您所要刪除的應用程式。
  2. 在左側功能表的 [管理] 區段中,選取 [屬性]。
  3. 在 [屬性] 窗格的頂端,選取 [刪除],然後選取 [] 以確認您想要從 Microsoft Entra 租用戶刪除的應用程式。

刪除條件式存取原則

  1. 選取 [企業應用程式]。
  2. 在 [保護] 底下,選取 [條件式存取]
  3. 搜尋並選取 [MFA 試驗]
  4. 在窗格頂端選取 [刪除]

刪除群組

  1. 選取 [身分識別]>[群組]
  2. 從 [所有群組] 頁面,搜尋並選取 MFA-Test-Group 群組。
  3. 在 [概觀] 頁面上,按一下 [刪除]

下一步

如何確定應用程式良好且正確使用,如需相關資訊,請參閱:

控管和監視您的應用程式