O que é o gerenciamento de aplicativos no Microsoft Entra ID?

  • Artigo

Gerenciamento de aplicativos no Microsoft Entra ID é o processo de criação, configuração, gerenciamento e monitoramento de aplicativos na nuvem. Quando um aplicativo é registrado em um locatário do Microsoft Entra, os usuários que estão atribuídos a ele podem acessá-lo com segurança. Muitos tipos de aplicativos podem ser registrados no Microsoft Entra ID. Para obter mais informações, confira Tipos de aplicativo para a plataforma de identidade da Microsoft.

Neste artigo, você aprenderá esTes aspectos importantes do gerenciamento do ciclo de vida de um aplicativo:

  • Desenvolver, adicionar ou conectar – Você segue caminhos diferentes quando está desenvolvendo seu próprio aplicativo, usando um aplicativo pré-integrado ou conectando-se a um aplicativo local.
  • Gerenciar o acesso – o acesso pode ser gerenciado usando o SSO (logon único), atribuindo recursos, definindo a maneira como o acesso é concedido e consentido e usando o provisionamento automatizado.
  • Configurar propriedades – configure os requisitos para entrar no aplicativo e como o aplicativo é representado nos portais do usuário.
  • Proteger o aplicativo – gerencie a configuração de permissões, autenticação multifator, acesso condicional, tokens e certificados.
  • Controlar e monitorar – gerencie a interação e a atividade de revisão usando recursos de gerenciamento de direitos e relatórios e monitoramento.
  • Limpar – quando o aplicativo não for mais necessário, limpe o locatário removendo o acesso a ele e excluindo-o.

Desenvolver, adicionar ou conectar

Há várias maneiras possíveis de gerenciar aplicativos no Microsoft Entra ID. A maneira mais fácil de começar a gerenciar um aplicativo é usar um aplicativo pré-integrado da galeria do Microsoft Entra. É possível desenvolver um aplicativo próprio e registrá-lo no Microsoft Entra ID ou continuar a usar um aplicativo local.

A imagem a seguir mostra como esses aplicativos interagem com o Microsoft Entra ID.

Diagram showing how your own developed apps, preintegrated apps, and on-premises apps can be used as enterprise apps.

Aplicações pré-integradas

Muitos aplicativos já estão pré-integrados (mostrados como "Aplicativos de nuvem" na imagem anterior neste artigo) e podem ser definidos com o mínimo de esforço. Cada aplicativo na galeria do Microsoft Entra tem um artigo disponível que mostra as etapas necessárias para configurá-lo. Para ver um exemplo simples de como um aplicativo pode ser adicionado ao seu locatário do Microsoft Entra por meio da galeria, consulte Início Rápido: Adicionar um aplicativo empresarial.

Seus aplicativos

Se você desenvolver um aplicativo de negócios próprio, poderá registrá-lo no Microsoft Entra ID para aproveitar os recursos de segurança que o locatário fornece. Você pode registrar seu aplicativo em Registros de Aplicativo ou registrá-lo usando o link Criar seu aplicativo ao adicionar um novo aplicativo em Aplicativos empresariais. Considere como a autenticação é implementada em seu aplicativo para integração com o Microsoft Entra ID.

Se você quiser disponibilizar seu aplicativo por meio da galeria, envie uma solicitação para disponibilizá-lo.

Aplicativos locais

Se você quiser continuar usando um aplicativo local, mas aproveitar o que Microsoft Entra ID oferece, conecte-o com o Microsoft Entra ID usando o proxy de aplicativo do Microsoft Entra. O Proxy de Aplicativo pode ser implementado quando você deseja publicar aplicativos locais externamente. Os usuários remotos que precisarem acessar aplicativos internos poderão acessá-los de maneira segura.

Gerenciar acesso

Para gerenciar o acesso a um aplicativo, você deseja responder às seguintes perguntas:

  • Como o acesso é concedido e consentido para o aplicativo?
  • O aplicativo dá suporte a SSO?
  • Quais usuários, grupos e proprietários devem ser atribuídos ao aplicativo?
  • Há outros provedores de identidade que dão suporte ao aplicativo?
  • Será útil automatizar o provisionamento de identidades do usuário e funções?

Você pode gerenciar as configurações de consentimento do usuário para escolher se os usuários podem permitir que um aplicativo ou serviço acesse perfis de usuário e dados organizacionais. Quando o acesso é permitido aos aplicativos, os usuários podem entrar em aplicativos integrados ao Microsoft Entra ID e o aplicativo pode acessar os dados da sua organização para fornecer experiências ricas orientadas por dados.

Em situações em que os usuários não conseguem consentir com as permissões que um aplicativo está solicitando, considere configurar o fluxo de trabalho de consentimento do administrador. O fluxo de trabalho permite que os usuários forneçam uma justificativa e solicitem a revisão e a aprovação de um aplicativo por um administrador. Para saber como configurar o fluxo de trabalho de consentimento do administrador em seu locatário do Microsoft Entra, consulte Configurar o fluxo de trabalho de consentimento do administrador.

Como administrador, você pode conceder a um aplicativo o consentimento do administrador em todo o locatário. O consentimento do administrador em todo o locatário é necessário quando um aplicativo exige permissões que os usuários regulares não podem conceder e permite que as organizações implementem processos de revisão próprios. A concessão do consentimento do administrador em todo o locatário também permite que as organizações implementem seus próprios processos de revisão. Sempre examine atentamente as permissões solicitadas pelo aplicativo antes de conceder consentimento. Quando um aplicativo recebe consentimento do administrador em todo o locatário, todos os usuários podem entrar no aplicativo, a menos que você o configure para exigir a atribuição de usuário.

Logon Único

Considere implementar o SSO em seu aplicativo. Você pode configurar manualmente a maioria dos aplicativos para SSO. As opções mais populares no Microsoft Entra ID são SSO baseado em SAML e SSO baseado em OpenID Connect. Antes de começar, verifique se você entende os requisitos de SSO e sabe como planejar a implantação. Para obter mais informações sobre como configurar o SSO baseado em SAML para um aplicativo empresarial em seu locatário do Microsoft Entra, consulte Habilitar logon único para um aplicativo usando o Microsoft Entra ID.

Atribuição de usuário, grupo e proprietário

Por padrão, todos os usuários podem acessar seus aplicativos empresariais sem serem atribuídos a eles. No entanto, para atribuir o aplicativo a um conjunto de usuários, configure-o a fim de exigir a atribuição de usuário e atribua os usuários selecionados a ele. Para ver um exemplo simples de como criar e atribuir uma conta de usuário a um aplicativo, confira o Início Rápido: Criar e atribuir uma conta de usuário.

Se estiver incluído em sua assinatura, atribua grupos a um aplicativo para que você possa delegar o gerenciamento de acesso contínuo ao proprietário do grupo.

Atribuir proprietários é uma maneira simples de conceder a capacidade de gerenciar todos os aspectos da configuração do Microsoft Entra para um aplicativo. Como proprietário, um usuário pode gerenciar a configuração do aplicativo específica a uma organização. Como melhor prática, monitore proativamente os aplicativos no locatário a fim de garantir que tenham pelo menos dois proprietários, o que evita cenários de aplicativos sem proprietário.

Automatizar o provisionamento

O provisionamento de aplicativo refere-se à criação automática de identidades e funções de usuário nos aplicativos que os usuários precisam acessar. Além de criar identidades de usuário, o provisionamento automático inclui a manutenção e a remoção de identidades de usuário à medida que o status ou as funções mudam.

Provedores de identidade

Você tem um provedor de identidade com o qual deseja que o Microsoft Entra ID interaja? A Descoberta de Realm Inicial oferece uma configuração que permite que o Microsoft Entra ID determine com qual provedor de identidade o usuário precisa se autenticar ao entrar.

Portais do usuário

O Microsoft Entra ID fornece maneiras personalizáveis de implantar aplicativos para usuários em sua organização. Por exemplo, o portal Meus Aplicativos ou o iniciador de aplicativos do Microsoft 365. A página Meus Aplicativos oferece aos usuários um lugar unificado para iniciar os próprios trabalhos e localizar todos os aplicativos aos quais eles têm acesso. Como administrador de um aplicativo, você deve planejar como os usuários em sua organização usam a página Meus Aplicativos.

Configurar propriedades

Ao adicionar um aplicativo ao locatário do Microsoft Entra, você terá a oportunidade de configurar as propriedades que afetam a maneira como os usuários podem interagir com o aplicativo. É possível habilitar ou desabilitar a capacidade de entrar e definir o aplicativo para exigir a atribuição de usuário. Você também pode determinar a visibilidade do aplicativo, qual logotipo representa o aplicativo e eventuais anotações sobre o aplicativo. Para obter mais informações sobre as propriedades que podem ser configuradas, consulte Propriedades de um aplicativo empresarial.

Proteger o aplicativo

Há vários métodos disponíveis para ajudar você a manter seus aplicativos empresariais seguros. Por exemplo, você pode restringir o acesso de locatário, gerenciar visibilidade, dados e análise e, possivelmente, fornecer acesso híbrido. Manter seus aplicativos empresariais seguros também envolve gerenciar a configuração de permissões, a MFA, o acesso condicional, os tokens e os certificados.

Permissões

É importante revisar periodicamente e, se necessário, gerenciar as permissões concedidas a um aplicativo ou serviço. Certifique-se de permitir apenas o acesso apropriado aos seus aplicativos avaliando regularmente se há atividades suspeitas.

As classificações de permissão permitem que você identifique o efeito das diferentes permissões de acordo com as políticas e avaliações de risco de sua organização. Por exemplo, você pode usar classificações de permissão em políticas de consentimento para identificar o conjunto de permissões no qual os usuários têm permissão para consentir.

Autenticação multifator e acesso condicional

A autenticação multifator do Microsoft Entra ajuda a proteger o acesso a dados e aplicativos, fornecendo mais uma camada de segurança ao usar uma segunda forma de autenticação. Há muitos métodos que podem ser usados em uma autenticação de dois fatores. Antes de começar, planeje a implantação da MFA para seu aplicativo em sua organização.

As organizações podem usar o acesso condicional adequar a solução às próprias necessidades específicas. As Políticas de Acesso Condicional permitem que os administradores atribuam controles a aplicativos ações ou contexto de autenticação específicos.

Tokens e certificados

Diferentes tipos de tokens de segurança são usados em um fluxo de autenticação no Microsoft Entra ID, dependendo do protocolo usado. Por exemplo, tokens SAML são usados para o protocolo SAML e tokens de ID e tokens de acesso são usados para o protocolo OpenID Connect. Os tokens são assinados com o certificado exclusivo que é gerado no Microsoft Entra ID e por algoritmos padrão específicos.

Você pode fornecer mais segurança criptografando o token. Você também pode gerenciar as informações em um token, incluindo as funções permitidas para o aplicativo.

O Microsoft Entra ID usa o algoritmo SHA-256 por padrão para assinar a resposta SAML. Use SHA-256, a menos que o aplicativo exija SHA-1. Estabeleça um processo para gerenciar o tempo de vida do certificado. O tempo de vida máximo de assiantura de um certificado é de três anos. Para evitar ou minimizar a paralisação devido à expiração de um certificado, use funções e listas de distribuição de email para garantir que as notificações de alteração relacionadas ao certificado sejam monitoradas de perto.

Controlar e monitorar

O gerenciamento de direitos no Microsoft Entra ID permite que você gerencie a interação entre aplicativos e administradores, proprietários de catálogo, gerenciadores de pacotes de acesso, aprovadores e solicitantes.

A solução de monitoramento e relatório do Microsoft Entra depende dos seus requisitos legais, de segurança e operacionais, bem como do ambiente e dos processos existentes. Há vários logs que são mantidos no Microsoft Entra ID. Consequentemente, você deve planejar a implantação de relatórios e monitoramento para manter a melhor experiência possível para seu aplicativo.

Limpeza

Você pode limpar o acesso a aplicativos. Por exemplo, removendo o acesso de um usuário. Também é possível desabilitar o modo como um usuário se conecta. E, por fim, você poderá excluir o aplicativo se não for mais necessário à organização. Para saber como excluir um aplicativo empresarial do locatário do Microsoft Entra, confira Início Rápido: Excluir um aplicativo empresarial.

Passo a passo guiado

Para obter um passo a passo guiado de muitas das recomendações neste artigo, confira o passo a passo guiado do Microsoft 365 Proteja seus aplicativos em nuvem com o logon único (SSO).

Próximas etapas