O que é gerenciamento de aplicativos no Microsoft Entra ID?

  • Artigo

O gerenciamento de aplicativos no Microsoft Entra ID é o processo de criação, configuração, gerenciamento e monitoramento de aplicativos na nuvem. Quando um aplicativo é registrado em um locatário do Microsoft Entra, os usuários que já estão atribuídos a ele podem acessá-lo com segurança. Muitos tipos de aplicativos podem ser registrados no Microsoft Entra ID. Para obter mais informações, consulte Tipos de aplicativo para a plataforma de identidade da Microsoft.

Neste artigo, você aprenderá estes aspetos importantes do gerenciamento do ciclo de vida de um aplicativo:

  • Desenvolver, adicionar ou conectar – Você toma caminhos diferentes dependendo se está desenvolvendo seu próprio aplicativo, usando um aplicativo pré-integrado ou conectando-se a um aplicativo local.
  • Gerenciar acesso – O acesso pode ser gerenciado usando o logon único (SSO), atribuindo recursos, definindo a maneira como o acesso é concedido e consentido e usando o provisionamento automatizado.
  • Configurar propriedades – Configure os requisitos para entrar no aplicativo e como o aplicativo é representado nos portais do usuário.
  • Proteger o aplicativo – Gerencie a configuração de permissões, autenticação multifator, acesso condicional, tokens e certificados.
  • Governar e monitorar – Gerencie a interação e a atividade de revisão usando recursos de gerenciamento de direitos e relatórios e monitoramento.
  • Limpeza – Quando seu aplicativo não for mais necessário, limpe seu locatário removendo o acesso a ele e excluindo-o.

Desenvolva, adicione ou conecte-se

Há várias maneiras de gerenciar aplicativos no Microsoft Entra ID. A maneira mais fácil de começar a gerenciar um aplicativo é usar um aplicativo pré-integrado da galeria do Microsoft Entra. Desenvolver seu próprio aplicativo e registrá-lo no Microsoft Entra ID é uma opção, ou você pode continuar a usar um aplicativo local.

A imagem a seguir mostra como esses aplicativos interagem com o Microsoft Entra ID.

Diagram showing how your own developed apps, preintegrated apps, and on-premises apps can be used as enterprise apps.

Aplicações pré-integradas

Muitos aplicativos já estão pré-integrados (mostrados como "aplicativos em nuvem" na imagem anterior deste artigo) e podem ser configurados com o mínimo de esforço. Cada aplicativo na galeria do Microsoft Entra tem um artigo disponível que mostra as etapas necessárias para configurar o aplicativo. Para obter um exemplo simples de como um aplicativo pode ser adicionado ao seu locatário do Microsoft Entra a partir da galeria, consulte Guia de início rápido: adicionar um aplicativo empresarial.

As suas próprias aplicações

Se você desenvolver seu próprio aplicativo de negócios, poderá registrá-lo com o Microsoft Entra ID para aproveitar os recursos de segurança fornecidos pelo locatário. Você pode registrar seu aplicativo em Registros de aplicativos ou pode registrá-lo usando o link Criar seu próprio aplicativo ao adicionar um novo aplicativo em aplicativos corporativos. Considere como a autenticação é implementada em seu aplicativo para integração com o Microsoft Entra ID.

Se quiser disponibilizar a sua candidatura através da galeria, pode submeter um pedido para a disponibilizar.

Aplicações no local

Se você quiser continuar usando um aplicativo local, mas aproveitar o que o Microsoft Entra ID oferece, conecte-o ao Microsoft Entra ID usando o proxy de aplicativo Microsoft Entra. O Proxy de Aplicativo pode ser implementado quando você deseja publicar aplicativos locais externamente. Os usuários remotos que precisam de acesso a aplicativos internos podem acessá-los de forma segura.

Gerir acesso

Para gerenciar o acesso a um aplicativo, você deseja responder às seguintes perguntas:

  • Como é concedido e consentido o acesso à candidatura?
  • O aplicativo suporta SSO?
  • Quais usuários, grupos e proprietários devem ser atribuídos ao aplicativo?
  • Existem outros provedores de identidade que suportam o aplicativo?
  • É útil automatizar o provisionamento de identidades e funções de usuário?

Você pode gerenciar as configurações de consentimento do usuário para escolher se os usuários podem permitir que um aplicativo ou serviço acesse perfis de usuário e dados organizacionais. Quando os aplicativos recebem acesso, os usuários podem entrar em aplicativos integrados com o Microsoft Entra ID e o aplicativo pode acessar os dados da sua organização para oferecer experiências avançadas orientadas por dados.

Em situações em que os usuários não conseguem consentir com as permissões que um aplicativo está solicitando, considere configurar o fluxo de trabalho de consentimento de administrador. O fluxo de trabalho permite que os usuários forneçam uma justificativa e solicitem a revisão e aprovação de um aplicativo pelo administrador. Para saber como configurar o fluxo de trabalho de consentimento de administrador em seu locatário do Microsoft Entra, consulte Configurar fluxo de trabalho de consentimento de administrador.

Como administrador, você pode conceder consentimento de administrador de todo o locatário para um aplicativo. O consentimento de administrador de todo o locatário é necessário quando um aplicativo requer permissões que os usuários comuns não têm permissão para conceder. A concessão de consentimento de administrador em todo o locatário também permite que as organizações implementem seus próprios processos de revisão. Analise sempre cuidadosamente as permissões que o aplicativo está solicitando antes de conceder consentimento. Quando um aplicativo recebe consentimento de administrador de todo o locatário, todos os usuários podem entrar no aplicativo, a menos que você o configure para exigir atribuição de usuário.

Início de sessão único

Considere implementar o SSO em seu aplicativo. Você pode configurar manualmente a maioria dos aplicativos para SSO. As opções mais populares no Microsoft Entra ID são SSO baseado em SAML e SSO baseado em OpenID Connect. Antes de começar, certifique-se de entender os requisitos para SSO e como planejar a implantação. Para obter mais informações sobre como configurar o SSO baseado em SAML para um aplicativo corporativo em seu locatário do Microsoft Entra, consulte Habilitar logon único para um aplicativo usando a ID do Microsoft Entra.

Atribuição de usuário, grupo e proprietário

Por predefinição, todos os utilizadores podem aceder às aplicações empresariais sem necessidade de atribuição de acesso. No entanto, se você quiser atribuir o aplicativo a um conjunto de usuários, configure o aplicativo para exigir atribuição de usuário e atribua os usuários selecionados ao aplicativo. Para obter um exemplo simples de como criar e atribuir uma conta de usuário a um aplicativo, consulte Guia de início rápido: criar e atribuir uma conta de usuário.

Se estiver incluído na sua subscrição, atribua grupos a uma aplicação para que possa delegar a gestão de acesso contínuo ao proprietário do grupo.

Atribuir proprietários é uma maneira simples de conceder a capacidade de gerenciar todos os aspetos da configuração do Microsoft Entra para um aplicativo. Como proprietário, um usuário pode gerenciar a configuração específica da organização do aplicativo. Como prática recomendada, você deve monitorar proativamente os aplicativos em seu locatário para garantir que eles tenham pelo menos dois proprietários, para evitar a situação de aplicativos sem dono.

Automatize o provisionamento

O provisionamento de aplicativos refere-se à criação automática de identidades e funções de usuário nos aplicativos que os usuários precisam acessar. Além de criar identidades de usuário, o provisionamento automático inclui a manutenção e a remoção de identidades de usuário à medida que o status ou as funções mudam.

Fornecedores de identidade

Você tem um provedor de identidade com o qual deseja que o Microsoft Entra ID interaja? O Home Realm Discovery fornece uma configuração que permite que o Microsoft Entra ID determine com qual provedor de identidade um usuário precisa se autenticar quando entrar.

Portais de utilizador

O Microsoft Entra ID fornece maneiras personalizáveis de implantar aplicativos para usuários em sua organização. Por exemplo, o portal Meus Aplicativos ou o inicializador de aplicativos do Microsoft 365. Meus aplicativos oferece aos usuários um único lugar para iniciar seu trabalho e encontrar todos os aplicativos aos quais eles têm acesso. Como administrador de um aplicativo, você deve planejar como os usuários em sua organização usam Meus Aplicativos.

Configurar propriedades

Ao adicionar um aplicativo ao locatário do Microsoft Entra, você tem a oportunidade de configurar propriedades que afetam a maneira como os usuários podem interagir com o aplicativo. Você pode habilitar ou desabilitar a capacidade de entrar e definir o aplicativo para exigir atribuição de usuário. Você também pode determinar a visibilidade do aplicativo, qual logotipo representa o aplicativo e quaisquer notas sobre o aplicativo. Para obter mais informações sobre as propriedades que podem ser configuradas, consulte Propriedades de um aplicativo empresarial.

Proteja o aplicativo

Há vários métodos disponíveis para ajudá-lo a manter seus aplicativos corporativos seguros. Por exemplo, você pode restringir o acesso do locatário, gerenciar visibilidade, dados e análises e, possivelmente, fornecer acesso híbrido. Manter seus aplicativos corporativos seguros também envolve o gerenciamento da configuração de permissões, MFA, Acesso Condicional, tokens e certificados.

Permissões

É importante revisar periodicamente e, se necessário, gerenciar as permissões concedidas a um aplicativo ou serviço. Certifique-se de que apenas permite o acesso adequado às suas aplicações, avaliando regularmente se existem atividades suspeitas.

As classificações de permissão permitem identificar o efeito de diferentes permissões de acordo com as políticas e avaliações de risco da sua organização. Por exemplo, você pode usar classificações de permissão em políticas de consentimento para identificar o conjunto de permissões que os usuários têm permissão para consentir.

Autenticação multifator e acesso condicional

A autenticação multifator Microsoft Entra ajuda a proteger o acesso a dados e aplicativos, fornecendo outra camada de segurança usando uma segunda forma de autenticação. Há muitos métodos que podem ser usados para uma autenticação de segundo fator. Antes de começar, planeje a implantação do MFA para seu aplicativo em sua organização.

As organizações podem habilitar o MFA com Acesso Condicional para fazer com que a solução atenda às suas necessidades específicas. As políticas de Acesso Condicional permitem que os administradores atribuam controles a aplicativos, ações ou contexto de autenticação específicos.

Tokens e certificados

Diferentes tipos de tokens de segurança são usados em um fluxo de autenticação no Microsoft Entra ID, dependendo do protocolo usado. Por exemplo, tokens SAML são usados para o protocolo SAML, e tokens de ID e tokens de acesso são usados para o protocolo OpenID Connect. Os tokens são assinados com o certificado exclusivo que o Microsoft Entra ID gera e por algoritmos padrão específicos.

Você pode fornecer mais segurança criptografando o token. Você também pode gerenciar as informações em um token, incluindo as funções permitidas para o aplicativo.

O Microsoft Entra ID usa o algoritmo SHA-256 por padrão para assinar a resposta SAML. Utilize o SHA-256, a menos que a aplicação necessite do SHA-1. Estabeleça um processo para gerenciar o tempo de vida do certificado. A duração máxima de um certificado de assinatura é de três anos. Para evitar ou minimizar a interrupção devido à expiração de um certificado, use funções e listas de distribuição de e-mail para garantir que as notificações de alteração relacionadas ao certificado sejam monitoradas de perto.

Governar e monitorizar

O gerenciamento de direitos no Microsoft Entra ID permite gerenciar a interação entre aplicativos e administradores, proprietários de catálogos, gerenciadores de pacotes de acesso, aprovadores e solicitantes.

Sua solução de relatório e monitoramento do Microsoft Entra depende de seus requisitos legais, operacionais e de segurança e de seu ambiente e processos existentes. Existem vários logs que são mantidos no Microsoft Entra ID. Portanto, você deve planejar a implantação de relatórios e monitoramento para manter a melhor experiência possível para seu aplicativo.

Limpeza

Você pode limpar o acesso aos aplicativos. Por exemplo, remover o acesso de um usuário. Também pode desativar a forma como um utilizador inicia sessão. E, finalmente, você pode excluir o aplicativo se ele não for mais necessário para a organização. Para obter mais informações sobre como excluir um aplicativo corporativo do locatário do Microsoft Entra, consulte Guia de início rápido: excluir um aplicativo empresarial.

Passo a passo guiado

Para obter um passo a passo guiado de muitas das recomendações neste artigo, consulte o passo a passo guiado do Microsoft 365 Proteja seus aplicativos na nuvem com logon único (SSO).

Próximos passos