Mi az alkalmazáskezelés a Microsoft Entra ID-ban?

  • Cikk

A Microsoft Entra ID-ban az alkalmazáskezelés a felhőbeli alkalmazások létrehozásának, konfigurálásának, kezelésének és monitorozásának folyamata. Ha egy alkalmazás regisztrálva van egy Microsoft Entra-bérlőben, azok a felhasználók, akik már hozzá vannak rendelve, biztonságosan hozzáférhetnek hozzá. Számos alkalmazástípus regisztrálható a Microsoft Entra-azonosítóban. További információ: Alkalmazástípusok a Microsoft Identitásplatform.

Ebben a cikkben az alkalmazások életciklusának kezelésének alábbi fontos szempontjait ismerheti meg:

  • Fejlesztés, hozzáadás vagy csatlakozás – Különböző útvonalakat kell használnia attól függően, hogy saját alkalmazást fejleszt, előre elkészített alkalmazást használ, vagy helyszíni alkalmazáshoz csatlakozik.
  • Hozzáférés kezelése – A hozzáférés kezelhető egyszeri bejelentkezéssel (SSO), erőforrások hozzárendelésével, a hozzáférés megadásának és jóváhagyásának módjának meghatározásával, valamint az automatikus kiépítéssel.
  • Tulajdonságok konfigurálása – Konfigurálja az alkalmazásba való bejelentkezésre vonatkozó követelményeket, valamint azt, hogy az alkalmazás hogyan jelenik meg a felhasználói portálokon.
  • Az alkalmazás védelme – Engedélyek, többtényezős hitelesítés, feltételes hozzáférés, jogkivonatok és tanúsítványok konfigurációjának kezelése.
  • Szabályozás és figyelés – Az interakciós és felülvizsgálati tevékenységek kezelése jogosultságkezelési, jelentéskészítési és monitorozási erőforrások használatával.
  • Törlés – Ha az alkalmazásra már nincs szükség, törölje a bérlőt a hozzáférés eltávolításával és törlésével.

Fejlesztés, hozzáadás vagy csatlakozás

A Microsoft Entra ID-ban többféleképpen is kezelheti az alkalmazásokat. Az alkalmazások kezelésének legegyszerűbb módja egy előre elkészített alkalmazás használata a Microsoft Entra katalógusából. Saját alkalmazás fejlesztése és regisztrálása a Microsoft Entra-azonosítóban lehetőség, vagy továbbra is használhat helyszíni alkalmazást.

Az alábbi képen az látható, hogy ezek az alkalmazások hogyan használják a Microsoft Entra-azonosítót.

Diagram showing how your own developed apps, preintegrated apps, and on-premises apps can be used as enterprise apps.

Előre elkészített alkalmazások

Számos alkalmazás már előre van beszerzve (a jelen cikkben az előző képen "Felhőalkalmazásokként" jelenik meg), és minimális erőfeszítéssel beállítható. A Microsoft Entra katalógus minden alkalmazásához elérhető egy cikk, amely bemutatja az alkalmazás konfigurálásához szükséges lépéseket. Egy egyszerű példa arra, hogyan adható hozzá egy alkalmazás a Microsoft Entra-bérlőhöz a katalógusból: Rövid útmutató: Vállalati alkalmazás hozzáadása.

Saját alkalmazások

Ha saját üzleti alkalmazást fejleszt, regisztrálhatja a Microsoft Entra-azonosítóval, hogy kihasználhassa a bérlő által biztosított biztonsági funkciókat. Az alkalmazást regisztrálhatja az alkalmazásregisztrációkban, vagy regisztrálhatja a Saját alkalmazás létrehozása hivatkozással, amikor új alkalmazást ad hozzá nagyvállalati alkalmazásokban. Gondolja át, hogyan valósítja meg a hitelesítést az alkalmazásban a Microsoft Entra ID-val való integráció érdekében.

Ha elérhetővé szeretné tenni az alkalmazást a katalóguson keresztül, elküldhet egy kérést, hogy elérhetővé tegye.

Helyszíni alkalmazások

Ha továbbra is helyszíni alkalmazást szeretne használni, de kihasználni a Microsoft Entra ID által kínált előnyöket, csatlakoztassa a Microsoft Entra-azonosítóhoz a Microsoft Entra alkalmazásproxyval. alkalmazásproxy akkor implementálhatók, ha külsőleg szeretné közzétenni a helyszíni alkalmazásokat. A belső alkalmazásokhoz hozzáférést igénylő távoli felhasználók ezután biztonságosan elérhetik őket.

Hozzáférés kezelése

Egy alkalmazás hozzáférésének kezeléséhez a következő kérdésekre kell válaszolnia:

  • Hogyan adható meg és engedélyezhető a hozzáférés az alkalmazáshoz?
  • Támogatja az alkalmazás az egyszeri bejelentkezést?
  • Mely felhasználókat, csoportokat és tulajdonosokat kell hozzárendelni az alkalmazáshoz?
  • Vannak más identitásszolgáltatók, amelyek támogatják az alkalmazást?
  • Hasznos automatizálni a felhasználói identitások és szerepkörök kiépítését?

A felhasználói hozzájárulási beállítások kezelésével eldöntheti, hogy a felhasználók engedélyezhetik-e egy alkalmazás vagy szolgáltatás számára a felhasználói profilok és a szervezeti adatok elérését. Amikor az alkalmazások hozzáférést kapnak, a felhasználók bejelentkezhetnek a Microsoft Entra ID-val integrált alkalmazásokba, és az alkalmazás hozzáférhet a szervezet adataihoz, hogy gazdag adatvezérelt szolgáltatásokat nyújtson.

Azokban az esetekben, amikor a felhasználók nem tudnak hozzájárulni az alkalmazások által kért engedélyekhez, fontolja meg a rendszergazdai hozzájárulási munkafolyamat konfigurálását. A munkafolyamat lehetővé teszi a felhasználók számára, hogy indoklást adjanak, és kérhessenek egy rendszergazdai felülvizsgálatot és egy alkalmazás jóváhagyását. A rendszergazdai hozzájárulási munkafolyamat Microsoft Entra-bérlőben való konfigurálásáról a Rendszergazdai hozzájárulási munkafolyamat konfigurálása című témakörben olvashat.

Rendszergazdaként bérlőszintű rendszergazdai hozzájárulást adhat egy alkalmazáshoz. A bérlőszintű rendszergazdai hozzájárulásra akkor van szükség, ha egy alkalmazás olyan engedélyeket igényel, amelyeket a normál felhasználók nem adhatnak meg. A bérlői szintű rendszergazdai hozzájárulás megadása azt is lehetővé teszi, hogy a szervezetek saját felülvizsgálati folyamatokat hajtsanak végre. A hozzájárulás megadása előtt mindig alaposan tekintse át az alkalmazás által kért engedélyeket. Ha egy alkalmazáshoz bérlői szintű rendszergazdai hozzájárulást kap, minden felhasználó bejelentkezhet az alkalmazásba, kivéve, ha úgy konfigurálja, hogy felhasználói hozzárendelést igényeljen.

Egyszeri bejelentkezés

Fontolja meg az egyszeri bejelentkezés implementálását az alkalmazásban. A legtöbb alkalmazás manuálisan konfigurálható egyszeri bejelentkezéshez. A Microsoft Entra ID legnépszerűbb beállításai az SAML-alapú egyszeri bejelentkezés és az OpenID Csatlakozás-alapú egyszeri bejelentkezés. Mielőtt hozzákezd, győződjön meg arról, hogy ismeri az egyszeri bejelentkezés követelményeit és az üzembe helyezés megtervezésének módját. Az SAML-alapú egyszeri bejelentkezés a Microsoft Entra-bérlőben lévő vállalati alkalmazásokhoz való konfigurálásával kapcsolatos további információkért lásd : Egyszeri bejelentkezés engedélyezése egy alkalmazáshoz a Microsoft Entra ID használatával.

Felhasználó, csoport és tulajdonos hozzárendelése

Alapértelmezés szerint az összes felhasználó hozzáférhet a vállalati alkalmazásokhoz külön hozzárendelés nélkül is. Ha azonban több felhasználóhoz szeretné hozzárendelni az alkalmazást, konfigurálja az alkalmazást úgy, hogy felhasználói hozzárendelést igényeljen, és rendelje hozzá a kiválasztott felhasználókat az alkalmazáshoz. A felhasználói fiókok alkalmazáshoz való létrehozásának és hozzárendelésének egyszerű példáját a gyorsútmutatóban találhatja meg: Felhasználói fiók létrehozása és hozzárendelése.

Ha szerepel az előfizetésében, rendeljen csoportokat egy alkalmazáshoz , hogy a folyamatos hozzáférés-kezelés delegálható legyen a csoport tulajdonosának.

A tulajdonosok hozzárendelése egyszerű módja annak, hogy az alkalmazás Microsoft Entra-konfigurációjának minden aspektusát kezelni tudja. Tulajdonosként a felhasználó kezelheti az alkalmazás szervezetspecifikus konfigurációját. Ajánlott eljárásként proaktívan figyelnie kell az alkalmazásokat a bérlőben, hogy legalább két tulajdonossal rendelkezzenek, hogy elkerülje a tulajdonos nélküli alkalmazások helyzetét.

Kiépítés automatizálása

Az alkalmazáskiépítés a felhasználói identitások és szerepkörök automatikus létrehozását jelenti azokban az alkalmazásokban, amelyekhez a felhasználóknak hozzá kell férnie. A felhasználói identitások létrehozása mellett az automatikus kiépítés magában foglalja a felhasználói identitások állapotának vagy szerepkörváltozásának fenntartását és eltávolítását.

Identitásszolgáltatók

Rendelkezik olyan identitásszolgáltatóval, amellyel a Microsoft Entra-azonosítót használni szeretné? A Home Realm Discovery olyan konfigurációt biztosít, amellyel a Microsoft Entra-azonosító meghatározhatja, hogy a felhasználónak melyik identitásszolgáltatóval kell hitelesítenie magát a bejelentkezéskor.

Felhasználói portálok

A Microsoft Entra ID testre szabható módszerekkel helyezhet üzembe alkalmazásokat a szervezet felhasználói számára. Például a Saját alkalmazások portál vagy a Microsoft 365 alkalmazásindítója. Saját alkalmazások egyetlen helyet biztosít a felhasználóknak, ahol megkezdhetik a munkájukat, és megkereshetik az összes alkalmazást, amelyhez hozzáférésük van. Egy alkalmazás rendszergazdájaként meg kell terveznie, hogyan használják a szervezet felhasználói a Saját alkalmazások.

Tulajdonságok konfigurálása

Amikor hozzáad egy alkalmazást a Microsoft Entra-bérlőhöz, lehetősége van olyan tulajdonságok konfigurálására, amelyek befolyásolják a felhasználók az alkalmazással való interakciót. Engedélyezheti vagy letilthatja a bejelentkezés lehetőségét, és beállíthatja, hogy az alkalmazás felhasználói hozzárendelést igényeljen. Emellett meghatározhatja az alkalmazás láthatóságát, az alkalmazás emblémáját és az alkalmazás megjegyzéseit is. A konfigurálható tulajdonságokról további információt a vállalati alkalmazások tulajdonságai című témakörben talál.

Az alkalmazás védelme

A vállalati alkalmazások biztonságának megőrzéséhez számos módszer érhető el. Korlátozhatja például a bérlői hozzáférést, kezelheti a láthatóságot, az adatokat és az elemzéseket, és hibrid hozzáférést biztosíthat. A vállalati alkalmazások biztonságának megőrzése magában foglalja az engedélyek, az MFA, a feltételes hozzáférés, a jogkivonatok és a tanúsítványok konfigurálásának kezelését is.

Jogosultságok

Fontos, hogy rendszeresen ellenőrizze és szükség esetén kezelje az alkalmazásnak vagy szolgáltatásnak adott engedélyeket. Győződjön meg arról, hogy csak a megfelelő hozzáférést engedélyezi az alkalmazásokhoz, ha rendszeresen kiértékeli, hogy létezik-e gyanús tevékenység.

Az engedélybesorolások lehetővé teszik a különböző engedélyek hatásának azonosítását a szervezet szabályzatai és kockázatfelmérései alapján. A hozzájárulási szabályzatokban például engedélybesorolásokkal azonosíthatja azokat az engedélyeket, amelyekhez a felhasználók hozzájárulást adhatnak.

Többtényezős hitelesítés és feltételes hozzáférés

A Microsoft Entra többtényezős hitelesítés segít megvédeni az adatokhoz és alkalmazásokhoz való hozzáférést, egy másik biztonsági réteget biztosítva egy második hitelesítési formával. Számos módszer használható a másodikfaktoros hitelesítéshez. Mielőtt hozzákezd, tervezze meg az MFA üzembe helyezését az alkalmazás számára a szervezetben.

A szervezetek engedélyezhetik a feltételes hozzáféréssel rendelkező MFA-t, hogy a megoldás megfeleljen az igényeiknek. A feltételes hozzáférési szabályzatok lehetővé teszik a rendszergazdák számára, hogy vezérlőket rendeljenek hozzá adott alkalmazásokhoz, műveletekhez vagy hitelesítési környezetekhez.

Jogkivonatok és tanúsítványok

A Microsoft Entra ID hitelesítési folyamataiban a használt protokolltól függően különböző típusú biztonsági jogkivonatokat használnak. Az SAML-jogkivonatok például az SAML protokollhoz, az OpenID Csatlakozás protokollhoz pedig azonosító jogkivonatokat és hozzáférési jogkivonatokat használnak. A jogkivonatok a Microsoft Entra ID által létrehozott egyedi tanúsítvánnyal és meghatározott szabványos algoritmusokkal vannak aláírva.

A jogkivonat titkosításával nagyobb biztonságot biztosíthat. Az adatokat egy jogkivonatban is kezelheti, beleértve az alkalmazás számára engedélyezett szerepköröket is.

A Microsoft Entra ID alapértelmezés szerint az SHA-256 algoritmust használja az SAML-válasz aláírásához. Használja az SHA-256-ot, ha az alkalmazás nem igényli az SHA-1-et. Hozzon létre egy folyamatot a tanúsítvány élettartamának kezelésére. Az aláíró tanúsítvány maximális élettartama három év. A tanúsítványok lejárata miatti kimaradás megelőzése vagy minimalizálása érdekében szerepkörök és e-mail-terjesztési listák használatával győződjön meg arról, hogy a tanúsítványokkal kapcsolatos változásértesítések szorosan figyelve vannak.

Szabályozás és figyelés

A Jogosultságkezelés a Microsoft Entra-azonosítóban lehetővé teszi az alkalmazások és rendszergazdák, a katalógustulajdonosok, a hozzáférési csomagkezelők, a jóváhagyók és a kérelmezők közötti interakció kezelését.

A Microsoft Entra jelentéskészítési és monitorozási megoldása a jogi, biztonsági és üzemeltetési követelményektől, valamint a meglévő környezettől és folyamatoktól függ. A Microsoft Entra ID-ban számos napló van karbantartva. Ezért érdemes megterveznie a jelentéskészítést és az üzembe helyezés monitorozását, hogy a lehető legjobb élményt nyújthassa az alkalmazás számára.

A fölöslegessé vált elemek eltávolítása

Törölheti az alkalmazásokhoz való hozzáférést. Például egy felhasználó hozzáférésének eltávolítása. Azt is letilthatja, hogy egy felhasználó hogyan jelentkezzen be. Végül törölheti az alkalmazást, ha már nincs rá szükség a szervezet számára. A vállalati alkalmazások Microsoft Entra-bérlőből való törléséről további információt a gyorsútmutatóban talál : Vállalati alkalmazás törlése.

Irányított bemutató

A cikk számos javaslatát bemutató útmutatót a Microsoft 365 Felhőalapú alkalmazások biztonságossá tételét Egyszeri bejelentkezés (SSO) bemutatójában talál.

Következő lépések