什麼是 Microsoft Entra ID 中的應用程式管理?

Microsoft Entra 識別碼中的應用程式管理是建立、設定、管理及監視雲端應用程式的程式。 在 Microsoft Entra 租用戶中註冊應用程式時,已指派給該應用程式的使用者可以安全地存取它。 許多類型的應用程式都可以在 Microsoft Entra ID 中註冊。 如需詳細資訊,請參閱 Microsoft 身分識別平台 的應用程式類型。

在本文中,您將瞭解管理應用程式生命周期的這些重要層面:

  • 開發、新增或連線 – 視您正在開發自己的應用程式、使用預先整合的應用程式或連線到內部部署應用程式而定,您採用不同的路徑。
  • 管理存取 – 您可以使用單一登錄 (SSO)、指派資源、定義授與和同意存取的方式,以及使用自動化布建來管理存取權。
  • 設定屬性 – 設定登入應用程式的需求,以及應用程式在使用者入口網站中的表示方式。
  • 保護應用程式 – 管理許可權、多重要素驗證、條件式存取、令牌和憑證的設定。
  • 控管和監視 – 使用權利管理和報告和監視資源來管理互動和檢閱活動。
  • 清除 – 不再需要您的應用程式時,請移除其存取權並加以刪除,以清除您的租使用者。

開發、新增或連線

有數種方式可讓您在 Microsoft Entra ID 中管理應用程式。 若要開始管理應用程式,最簡單的方式是從 Microsoft Entra 資源庫使用預先整合的應用程式。 開發自己的應用程式並在 Microsoft Entra ID 中註冊是一個選項,或者您可以繼續使用內部部署應用程式。

下圖顯示這些應用程式如何與 Microsoft Entra ID 互動。

Diagram showing how your own developed apps, preintegrated apps, and on-premises apps can be used as enterprise apps.

預先整合的應用程式

許多應用程式已經預先整合(如本文上圖中的「雲端應用程式」所示),而且可以最少地設定。 Microsoft Entra 資源庫中的每個應用程式都有一篇文章,說明設定 應用程式所需的步驟。 如需如何從資源庫將應用程式新增至 Microsoft Entra 租使用者的簡單範例,請參閱 快速入門:新增企業應用程式

您自己的應用程式

如果您開發自己的商務應用程式,您可以使用 Microsoft Entra ID 註冊它,以利用租使用者提供的安全性功能。 您可以在應用程式註冊中註冊應用程式,或使用在企業應用程式中新增應用程式時,使用建立您自己的應用程式連結來註冊應用程式。 請考慮如何在應用程式中實作驗證,以便與 Microsoft Entra ID 整合。

如果您想要透過資源庫提供您的應用程式,您可以 提交要求使其可供使用

內部部署應用程式

如果您想要繼續使用內部部署應用程式,但利用 Microsoft Entra ID 所提供的功能,請使用 Microsoft Entra 應用程式 Proxy 將其與 Microsoft Entra ID 連線。 當您想要在外部發佈內部部署應用程式時,可以實作 應用程式 Proxy。 需要內部應用程式存取權的遠端使用者可以以安全的方式存取它們。

管理存取權限

若要 管理應用程式的存取 權,您想要回答下列問題:

  • 如何為應用程式授與和同意存取權?
  • 應用程式是否支援 SSO?
  • 應該將哪些使用者、群組和擁有者指派給應用程式?
  • 是否有其他識別提供者支援應用程式?
  • 自動布建使用者身分識別和角色是否有説明?

您可以 管理使用者同意設定 ,以選擇使用者是否可以允許應用程式或服務存取使用者配置檔和組織數據。 當應用程式獲得存取權時,使用者可以登入與 Microsoft Entra ID 整合的應用程式,而應用程式可以存取您組織的數據,以提供豐富的數據驅動體驗。

在使用者無法同意應用程式要求的許可權的情況下,請考慮設定管理員同意工作流程。 工作流程可讓使用者提供理由,並要求系統管理員檢閱和核准應用程式。 若要瞭解如何在 Microsoft Entra 租用戶中設定管理員同意工作流程,請參閱 設定管理員同意工作流程

身為系統管理員,您可以將 全租用戶的系統管理員同意 授與應用程式。 當應用程式需要一般使用者不允許授與的許可權時,需要全租使用者管理員同意。 授與全租用戶的系統管理員同意也允許組織實作自己的檢閱程式。 一律仔細檢閱應用程式在授與同意之前要求的許可權。 當應用程式獲得全租用戶系統管理員同意時,除非您將應用程式設定為需要使用者指派,否則所有使用者都能夠登入應用程式。

單一登入

請考慮在應用程式中實作 SSO。 您可以手動設定大部分的 SSO 應用程式。 Microsoft Entra ID 中最受歡迎的選項是 SAML 型 SSO 和 OpenID 連線 型 SSO。 開始之前,請確定您已瞭解 SSO 的需求,以及如何 規劃部署。 如需如何在 Microsoft Entra 租使用者中為企業應用程式設定 SAML 型 SSO 的詳細資訊,請參閱 使用 Microsoft Entra ID 為應用程式啟用單一登錄。

使用者、群組和擁有者指派

預設情況下,所有使用者都可以存取您的企業應用程式,而不需指派給他們。 不過,如果您想要將應用程式指派給一組使用者,請將應用程式設定為要求使用者指派,並將選取的使用者指派給應用程式。 如需如何建立和指派用戶帳戶給應用程式的簡單範例,請參閱 快速入門:建立和指派用戶帳戶

如果包含在訂用帳戶中,請將群組指派給應用程式以便您可以將進行中的存取管理委派給群組擁有者。

指派擁有者 是授與管理應用程式 Microsoft Entra 設定所有層面的能力的簡單方式。 身為擁有者,使用者可以管理應用程式的組織特定設定。 最佳做法是,您應該主動監視租使用者中的應用程式,以確保他們至少有兩個擁有者,以避免無擁有者應用程式的情況。

自動化布建

應用程式布建 是指在使用者需要存取的應用程式中自動建立使用者身分識別和角色。 除了建立使用者識別之外,自動佈建還包括在狀態或角色變更時,維護及移除使用者識別。

身分識別提供者

您是否有想要與 Microsoft Entra ID 互動的識別提供者? 主領域探索 提供設定,可讓 Microsoft Entra ID 判斷使用者在登入時需要驗證的身分識別提供者。

使用者入口網站

Microsoft Entra ID 提供可自定義的方式,將應用程式部署至組織中的使用者。 例如,我的應用程式 入口網站或 Microsoft 365 應用程式啟動器。 我的應用程式 為使用者提供單一位置來啟動工作,並尋找他們可存取的所有應用程式。 身為應用程式的系統管理員,您應該規劃組織中的使用者如何使用 我的應用程式

設定屬性

當您將應用程式新增至 Microsoft Entra 租使用者時,有機會設定會影響使用者與應用程式互動方式的屬性。 您可以啟用或停用登入並設定應用程式以要求使用者指派的功能。 您也可以判斷應用程式的可見度、代表應用程式的標誌,以及應用程式的任何附注。 如需可設定之屬性的詳細資訊,請參閱 企業應用程式的屬性。

保護應用程式

有數種方法可協助您保護企業應用程式的安全。 例如,您可以 限制租使用者存取管理可見度、數據和分析,並可能提供 混合式存取。 保護您的企業應用程式也牽涉到管理許可權、MFA、條件式存取、令牌和憑證的設定。

權限

請務必定期檢閱並視需要 管理授與給應用程式或服務的許可權。 請定期評估可疑活動是否存在,以確保您只允許適當的應用程式存取權。

許可權分類 可讓您根據組織的原則和風險評估來識別不同許可權的效果。 例如,您可以在同意原則中使用許可權分類,以識別允許使用者同意的許可權集。

多重要素驗證和條件式存取

Microsoft Entra 多重要素驗證可協助保護數據和應用程式的存取,使用第二種形式的驗證來提供另一層安全性。 有許多方法可用於次要要素驗證。 開始之前, 請先規劃組織中應用程式的 MFA 部署。

組織可以使用條件式存取啟用 MFA,讓解決方案符合其特定需求。 條件式存取原則可讓系統管理員將控制項指派給特定 應用程式、動作或驗證內容

令牌和憑證

根據所使用的通訊協定,Microsoft Entra ID 中的驗證流程會使用不同類型的安全性令牌。 例如,SAML 令牌用於 SAML 通訊協定,而 ID 令牌存取令牌則用於 OpenID 連線 通訊協定。 令牌會以 Microsoft Entra ID 產生的唯一憑證簽署,並由特定標準演算法簽署。

您可以藉由 加密令牌來提供更多安全性。 您也可以管理令牌中的資訊,包括 應用程式允許 的角色。

Microsoft Entra ID 預設會使用 SHA-256 演算法 來簽署 SAML 回應。 除非應用程式需要 SHA-1,否則請使用 SHA-256。 建立管理 憑證存留期的程式。 簽署憑證的最大存留期為三年。 若要防止或最小化因憑證過期而中斷,請使用角色和電子郵件通訊組清單,以確保密切監視憑證相關的變更通知。

控管和監視

Microsoft Entra 識別碼中的權利管理 可讓您管理應用程式與系統管理員、目錄擁有者、存取套件管理員、核准者和要求者之間的互動。

您的 Microsoft Entra 報告和監視解決方案取決於您的法律、安全性和作業需求,以及您現有的環境和程式。 Microsoft Entra ID 中會維護數個記錄。 因此,您應該 規劃報告和監視部署 ,以盡可能維護應用程式的最佳體驗。

清理

您可以清除應用程式的存取權。 例如, 移除使用者的存取權。 您也可以 停用使用者登入的方式。 最後,如果組織不再需要應用程式,您可以刪除該應用程式。 如需如何從 Microsoft Entra 租使用者刪除企業應用程式的詳細資訊,請參閱 快速入門:刪除企業應用程式

引導式逐步解說

如需本文中許多建議的引導式逐步解說,請參閱 Microsoft 365 使用 單一登入 (SSO) 引導式逐步解說保護您的雲端應用程式。

下一步