Wat is toepassingsbeheer in Microsoft Entra ID?

Toepassingsbeheer in Microsoft Entra ID is het proces voor het maken, configureren, beheren en bewaken van toepassingen in de cloud. Wanneer een toepassing is geregistreerd in een Microsoft Entra-tenant, hebben gebruikers die er al aan zijn toegewezen, er veilig toegang toe. Veel soorten toepassingen kunnen worden geregistreerd in Microsoft Entra ID. Zie Toepassingstypen voor het Microsoft Identity Platform voor meer informatie.

In dit artikel leert u de volgende belangrijke aspecten van het beheer van de levenscyclus van een toepassing:

  • Ontwikkelen, toevoegen of verbinden : u neemt verschillende paden, afhankelijk van of u uw eigen toepassing ontwikkelt, een vooraf geïntegreerde toepassing gebruikt of verbinding maakt met een on-premises toepassing.
  • Toegang beheren: de toegang kan worden beheerd met behulp van eenmalige aanmelding (SSO), het toewijzen van resources, het definiëren van de manier waarop toegang wordt verleend en toestemming wordt gegeven voor en het gebruik van de geautomatiseerde inrichting.
  • Eigenschappen configureren: configureer de vereisten voor het aanmelden bij de toepassing en hoe de toepassing wordt weergegeven in gebruikersportals.
  • Beveilig de toepassing : beheer de configuratie van machtigingen, meervoudige verificatie, voorwaardelijke toegang, tokens en certificaten.
  • Beheren en bewaken: de interactie en controle-activiteit beheren met behulp van rechtenbeheer en rapportage- en bewakingsbronnen.
  • Opschonen: wanneer uw toepassing niet meer nodig is, schoont u uw tenant op door de toegang tot de toepassing te verwijderen en deze te verwijderen.

Ontwikkelen, toevoegen of verbinding maken

Er zijn verschillende manieren waarop u toepassingen in Microsoft Entra ID kunt beheren. De eenvoudigste manier om een toepassing te beheren, is door een vooraf geïntegreerde toepassing te gebruiken vanuit de Microsoft Entra-galerie. Het ontwikkelen van uw eigen toepassing en het registreren ervan in Microsoft Entra ID is een optie of u kunt een on-premises toepassing blijven gebruiken.

In de volgende afbeelding ziet u hoe deze toepassingen communiceren met Microsoft Entra ID.

Diagram showing how your own developed apps, preintegrated apps, and on-premises apps can be used as enterprise apps.

Vooraf geïntegreerde toepassingen

Veel toepassingen zijn al vooraf geïntegreerd (weergegeven als 'Cloudtoepassingen' in de vorige afbeelding in dit artikel) en kunnen met minimale inspanning worden ingesteld. Elke toepassing in de Microsoft Entra-galerie bevat een artikel waarin u de stappen ziet die nodig zijn om de toepassing te configureren. Zie Quickstart: Een bedrijfstoepassing toevoegen voor een eenvoudig voorbeeld van hoe een toepassing kan worden toegevoegd aan uw Microsoft Entra-tenant vanuit de galerie.

Uw eigen toepassingen

Als u uw eigen zakelijke toepassing ontwikkelt, kunt u deze registreren bij Microsoft Entra ID om te profiteren van de beveiligingsfuncties die de tenant biedt. U kunt uw toepassing registreren in App-registraties of u kunt deze registreren met behulp van de koppeling Uw eigen toepassing maken bij het toevoegen van een nieuwe toepassing in Bedrijfstoepassingen. Overweeg hoe verificatie wordt geïmplementeerd in uw toepassing voor integratie met Microsoft Entra-id.

Als u uw toepassing beschikbaar wilt maken via de galerie, kunt u een aanvraag indienen om deze beschikbaar te maken.

On-premises toepassingen

Als u een on-premises toepassing wilt blijven gebruiken, maar wilt profiteren van wat Microsoft Entra ID biedt, verbindt u deze met Microsoft Entra-id met behulp van de Microsoft Entra-toepassingsproxy. Toepassingsproxy kan worden geïmplementeerd wanneer u on-premises toepassingen extern wilt publiceren. Externe gebruikers die toegang nodig hebben tot interne apps kunnen deze op een veilige manier gebruiken.

Toegang beheren

Als u de toegang voor een toepassing wilt beheren, wilt u de volgende vragen beantwoorden:

  • Hoe wordt toegang verleend en toestemming gegeven voor de toepassing?
  • Biedt de toepassing ondersteuning voor de eenmalige aanmelding?
  • Welke gebruikers, groepen en eigenaren moeten worden toegewezen aan de toepassing?
  • Zijn er andere id-providers die ondersteuning bieden voor de toepassing?
  • Is het handig om het inrichten van gebruikersidentiteiten en -rollen te automatiseren?

U kunt instellingen beheren voor de gebruikerstoestemming om te kiezen of gebruikers toegang kunnen verlenen aan een toepassing of service tot gebruikersprofielen en organisatiegegevens. Wanneer toepassingen toegang krijgen, kunnen gebruikers zich aanmelden bij toepassingen die zijn geïntegreerd met Microsoft Entra ID en heeft de toepassing toegang tot de gegevens van uw organisatie om uitgebreide gegevensgestuurde ervaringen te bieden.

In situaties waarin gebruikers geen toestemming kunnen geven voor de machtigingen die een toepassing aanvraagt, kunt u overwegen de werkstroom voor beheerderstoestemming te configureren. Met de werkstroom kunnen gebruikers een reden opgeven en een beheerder vragen om de beoordeling en goedkeuring van een toepassing. Zie Werkstroom voor beheerderstoestemming configureren in uw Microsoft Entra-tenant voor meer informatie over het configureren van de werkstroom voor beheerderstoestemming.

Als beheerder kunt u een tenant-brede beheerderstoestemming verlenen aan een toepassing. Beheerderstoestemming voor de hele tenant is nodig wanneer een toepassing machtigingen vereist die gewone gebruikers niet mogen verlenen. Door beheerderstoestemming voor de hele tenant te verlenen, kunnen organisaties ook hun eigen beoordelingsprocessen implementeren. Controleer altijd zorgvuldig de machtigingen die de toepassing aanvraagt voordat u toestemming verleent. Wanneer aan een toepassing beheerderstoestemming voor de hele tenant wordt verleend, kunnen alle gebruikers zich aanmelden bij de toepassing, tenzij u deze configureert om gebruikerstoewijzing te vereisen.

Eenmalige aanmelding

Overweeg de eenmalige aanmelding te implementeren in uw toepassing. U kunt de meeste toepassingen handmatig configureren voor de eenmalige aanmelding. De populairste opties in Microsoft Entra ID zijn eenmalige aanmelding op basis van SAML en OpenID Verbinding maken. Voor u van start gaat, moet u ervoor zorgen dat u de vereisten voor de eenmalige aanmelding en de planning van de implementatie begrijpt. Zie Eenmalige aanmelding inschakelen voor een toepassing met Microsoft Entra voor meer informatie over het configureren van eenmalige aanmelding op basis van SAML voor een bedrijfstoepassing in uw Microsoft Entra-tenant.

Toewijzing van gebruiker, groep en eigenaar

Standaard hebben alle gebruikers toegang tot uw bedrijfstoepassingen zonder er aan te worden toegewezen. Als u de toepassing echter wilt toewijzen aan een set gebruikers, configureert u de toepassing zodanig dat gebruikerstoewijzing is vereist en wijst u de geselecteerde gebruikers toe aan de toepassing. Raadpleeg Snelstart: een gebruikersaccount maken en toewijzenvoor een eenvoudig voorbeeld van het maken en toewijzen van een gebruikersaccount aan een toepassing.

Als dit deel uitmaakt van uw abonnement, wijst u groepen toe aan een toepassing, zodat u doorlopend toegangsbeheer kunt delegeren aan de groepseigenaar.

Het toewijzen van eigenaren is een eenvoudige manier om alle aspecten van de Microsoft Entra-configuratie voor een toepassing te beheren. Als eigenaar kan een gebruiker de organisatie-specifieke configuratie van de toepassing beheren. Als best practice moet u proactief toepassingen in uw tenant bewaken om ervoor te zorgen dat ze ten minste twee eigenaren hebben, om de situatie van toepassingen zonder eigenaar te voorkomen.

Inrichting automatiseren

Toepassingsinrichting verwijst naar het automatisch maken van gebruikersidentiteiten en -rollen in de toepassingen die voor gebruikers toegankelijk moeten zijn. Naast het maken van gebruikersidentiteiten omvat automatische inrichting het onderhoud en de verwijdering van gebruikersidentiteiten, zoals gewijzigde status of rollen.

Id-providers

Hebt u een id-provider waarmee u microsoft Entra ID wilt laten communiceren? Home Realm Discovery biedt een configuratie waarmee Microsoft Entra-id kan bepalen met welke id-provider een gebruiker zich moet verifiëren wanneer deze zich aanmeldt.

Gebruikersportals

Microsoft Entra ID biedt aanpasbare manieren om toepassingen te implementeren voor gebruikers in uw organisatie. Bijvoorbeeld de Mijn apps-portal of het startprogramma voor Microsoft 365-toepassingen. Mijn apps biedt gebruikers één locatie om hun werk te starten en alle toepassingen te vinden waartoe ze toegang hebben. Als beheerder van een toepassing moet u plannen hoe de gebruikers in uw organisatie Mijn apps gebruiken.

Eigenschappen configureren

Wanneer u een toepassing toevoegt aan uw Microsoft Entra-tenant, hebt u de mogelijkheid om eigenschappen te configureren die van invloed zijn op de manier waarop gebruikers met de toepassing kunnen communiceren. U kunt de mogelijkheid om u aan te melden in- of uitschakelen en de toepassing zo instellen dat gebruikerstoewijzing is vereist. U kunt ook de zichtbaarheid van de toepassing bepalen, welk logo de toepassing vertegenwoordigt en eventuele opmerkingen over de toepassing. Raadpleeg Eigenschappen van een bedrijfstoepassing voor meer informatie over de eigenschappen die u kunt configureren.

De toepassing beveiligen

Er zijn verschillende methoden beschikbaar om uw bedrijfstoepassingen veilig te houden. U kunt bijvoorbeeld de toegang van tenants beperken, de zichtbaarheid, gegevens en analyses beheren en mogelijk hybride toegang verlenen. Het beveiligen van uw bedrijfstoepassingen omvat ook het beheren van de configuratie van machtigingen, MFA, voorwaardelijke toegang, tokens en certificaten.

Bevoegdheden

Het is belangrijk de machtigingen regelmatig te controleren en, indien nodig, de machtigingen te beheren die zijn verleend aan een toepassing of service. Zorg ervoor dat u alleen de gepaste toegang toestaat tot uw toepassingen door regelmatig te evalueren of er verdachte activiteiten bestaan.

Machtigingsclassificaties biedt u de mogelijkheid de impact te identificeren die verschillende machtigingen hebben op basis van het beleid en de risico-evaluaties van uw organisatie. U kunt bijvoorbeeld machtigingsclassificaties gebruiken in toestemmingsbeleid om de set machtigingen te identificeren waarvoor gebruikers toestemming mogen geven.

Meervoudige verificatie en voorwaardelijke toegang

Met meervoudige verificatie van Microsoft Entra kunt u de toegang tot gegevens en toepassingen beveiligen door een andere beveiligingslaag te bieden met behulp van een tweede vorm van verificatie. Er zijn tal van methoden die kunnen worden gebruikt voor een twee-factor-verificatie. Voordat u begint, plant u de implementatie van MFA voor uw toepassing in uw organisatie.

Organisaties kunnen MFA met voorwaardelijke toegang inschakelen om de oplossing aan hun specifieke behoeften te laten voldoen. Met beleid voor voorwaardelijke toegang kunnen beheerders besturingselementen toewijzen aan specifieke toepassingen, acties of verificatiecontext.

Tokens en certificaten

Verschillende typen beveiligingstokens worden gebruikt in een verificatiestroom in Microsoft Entra-id, afhankelijk van het gebruikte protocol. Zo worden bijvoorbeeld SAML-tokens gebruikt voor het SAML-protocol en id-tokens en toegangstokens worden gebruikt voor het OpenID Connect-protocol. Tokens worden ondertekend met het unieke certificaat dat door Microsoft Entra ID wordt gegenereerd en door specifieke standaardalgoritmen.

U kunt meer beveiliging bieden door het token te versleutelen. U kunt ook de informatie in een token beheren, inclusief de rollen die zijn toegestaan voor de toepassing.

Microsoft Entra ID maakt standaard gebruik van het SHA-256-algoritme om het SAML-antwoord te ondertekenen. Gebruik SHA-256 tenzij SHA-1 is vereist voor de toepassing. Stel een proces in voor het beheer van de levensduur van het certificaat. De maximale levensduur van een handtekeningcertificaat is drie jaar. Als u storingen vanwege een verlopen certificaat wilt voorkomen of minimaliseren, gebruikt u rollen en e-maildistributielijsten om ervoor te zorgen dat certificaatgerelateerde wijzigingsmeldingen nauw worden bewaakt.

Beheren en bewaken

Met rechtenbeheer in Microsoft Entra-id kunt u interactie tussen toepassingen en beheerders, cataloguseigenaren, toegangspakketbeheerders, goedkeurders en aanvragers beheren.

Uw Microsoft Entra-rapportage- en bewakingsoplossing is afhankelijk van uw juridische, beveiligings- en operationele vereisten en uw bestaande omgeving en processen. Er zijn verschillende logboeken die worden onderhouden in Microsoft Entra-id. Daarom moet u plannen voor rapportage- en bewakingsimplementatie om de beste ervaring voor uw toepassing te behouden.

Opschonen

U kunt de toegang tot toepassingen opschonen. Bijvoorbeeld, de toegang verwijderen van een gebruiker. U kunt ook uitschakelen hoe een gebruiker zich aanmeldt. En ten slotte kunt u de toepassing verwijderen als deze niet meer nodig is voor de organisatie. Zie de quickstart: Een bedrijfstoepassing verwijderen voor meer informatie over het verwijderen van een bedrijfstoepassing uit uw Microsoft Entra-tenant.

Stapsgewijze instructies

Voor een stapsgewijze uitleg van veel van de aanbevelingen in dit artikel raadpleegt u de begeleide instructies voor Microsoft 365 Uw cloud-apps beveiligen met Single sign-on (SSO).

Volgende stappen