Zarządzanie dostępem do aplikacji

  • Artykuł

Ciągłe zarządzanie dostępem, ocena użycia i raportowanie nadal stanowi wyzwanie po zintegrowaniu aplikacji z systemem tożsamości organizacji. W wielu przypadkach dział IT Administracja istratory lub dział pomocy technicznej muszą podjąć stałą aktywną rolę w zarządzaniu dostępem do aplikacji. Czasami przypisanie jest wykonywane przez ogólny lub działowy zespół IT. Często decyzja o przypisaniu jest przeznaczona do delegowania do twórcy decyzji biznesowych, co wymaga zatwierdzenia przed dokonaniem przydziału przez IT.

Inne organizacje inwestują w integrację z istniejącym zautomatyzowanym systemem zarządzania tożsamościami i dostępem, takimi jak kontrola dostępu oparta na rolach (RBAC) lub kontrola dostępu oparta na atrybutach (ABAC). Zarówno integracja, jak i opracowywanie reguł zwykle są wyspecjalizowane i kosztowne. Monitorowanie lub raportowanie podejścia do zarządzania jest własnymi oddzielnymi, kosztowną i złożoną inwestycją.

Jak pomoc dotycząca identyfikatora Entra firmy Microsoft?

Microsoft Entra ID obsługuje rozbudowane zarządzanie dostępem dla skonfigurowanych aplikacji, umożliwiając organizacjom łatwe osiągnięcie odpowiednich zasad dostępu, począwszy od automatycznego przypisywania opartego na atrybutach (ABAC lub RBAC) za pośrednictwem delegowania i w tym zarządzania administratorami. Dzięki identyfikatorowi Entra firmy Microsoft można łatwo osiągnąć złożone zasady, łącząc wiele modeli zarządzania dla jednej aplikacji, a nawet ponownie używać reguł zarządzania w aplikacjach z tymi samymi odbiorcami.

Dzięki funkcji Microsoft Entra ID raportowanie użycia i przypisania jest w pełni zintegrowane, dzięki czemu administratorzy mogą łatwo zgłaszać stan przypisania, błędy przypisania, a nawet użycie.

Przypisywanie użytkowników i grup do aplikacji

Przypisanie aplikacji Microsoft Entra koncentruje się na dwóch podstawowych trybach przypisywania:

  • Przypisanie indywidualne administrator IT z katalogiem Uprawnienia globalne Administracja istrator może wybrać poszczególne konta użytkowników i przyznać im dostęp do aplikacji.

  • Przypisanie oparte na grupach (wymaga identyfikatora Microsoft Entra ID P1 lub P2) Administrator IT z uprawnieniami globalnego Administracja istratora katalogu może przypisać grupę do aplikacji. Określony dostęp użytkowników określa, czy są członkami grupy w momencie próby uzyskania dostępu do aplikacji. Innymi słowy administrator może skutecznie utworzyć regułę przypisania z informacją" każdy bieżący członek przypisanej grupy ma dostęp do aplikacji". Korzystając z tej opcji przypisania, administratorzy mogą korzystać z dowolnych opcji zarządzania grupami firmy Microsoft Entra, w tym grup dynamicznych opartych na atrybutach, grup systemu zewnętrznego (na przykład lokalna usługa Active Directory lub Workday) lub grup zarządzanych przez Administracja istratora lub grup zarządzanych przez samoobsługę. Pojedyncza grupa może być łatwo przypisana do wielu aplikacji, upewniając się, że aplikacje z koligacją przypisań mogą współdzielić reguły przypisywania, co zmniejsza ogólną złożoność zarządzania.

    Uwaga

    Członkostwa w grupach zagnieżdżonych nie są obecnie obsługiwane w przypadku przypisywania opartego na grupach do aplikacji.

Korzystając z tych dwóch trybów przypisywania, administratorzy mogą osiągnąć dowolne pożądane podejście do zarządzania przypisaniami.

Wymaganie przypisania użytkownika dla aplikacji

W przypadku niektórych typów aplikacji masz możliwość przypisania użytkowników do aplikacji. Dzięki temu wszyscy użytkownicy nie mogą się logować, z wyjątkiem tych, którzy jawnie przypiszesz do aplikacji. Następujące typy aplikacji obsługują tę opcję:

  • Aplikacje skonfigurowane do federacyjnego logowania jednokrotnego (SSO) z uwierzytelnianiem opartym na protokole SAML
  • serwer proxy aplikacji aplikacje korzystające z uwierzytelniania wstępnego firmy Microsoft
  • Aplikacje oparte na platformie aplikacji Microsoft Entra, korzystające z uwierzytelniania OAuth 2.0 / OpenID Connect, po tym, jak użytkownik lub administrator wyraził zgodę na korzystanie z tej aplikacji. Niektóre aplikacje dla przedsiębiorstw zapewniają większą kontrolę nad tym, kto może się zalogować.

Jeśli wymagane jest przypisanie użytkownika, będą mogli się zalogować tylko użytkownicy przypisani do aplikacji (przez bezpośrednie przypisanie użytkownika lub na podstawie członkostwa w grupie). Mogą oni uzyskać dostęp do aplikacji w portalu Moje aplikacje lub za pomocą linku bezpośredniego.

Jeśli przypisanie użytkownika nie jest wymagane, nieprzypisane użytkownicy nie widzą aplikacji na Moje aplikacje, ale nadal mogą logować się do samej aplikacji (znanej również jako logowanie inicjowane przez dostawcę usług) lub mogą używać adresu URL dostępu użytkowników na stronie Właściwości aplikacji (nazywanej również logowaniem inicjowanym przez dostawcę tożsamości). Aby uzyskać więcej informacji na temat wymagania konfiguracji przypisania użytkownika, zobacz Konfigurowanie aplikacji

To ustawienie nie ma wpływu na to, czy aplikacja jest wyświetlana w Moje aplikacje. Aplikacje są wyświetlane na Moje aplikacje użytkowników paneli dostępu po przypisaniu użytkownika lub grupy do aplikacji.

Uwaga

Gdy aplikacja wymaga przypisania, zgoda użytkownika dla tej aplikacji jest niedozwolona. Jest tak nawet w przypadkach, w których zgoda użytkownika na aplikację byłaby dozwolona. Pamiętaj, aby udzielić zgody administratora dla całej dzierżawy na aplikacje wymagające przypisania.

W przypadku niektórych aplikacji opcja wymagania przypisania użytkownika nie jest dostępna we właściwościach aplikacji. W takich przypadkach można użyć programu PowerShell, aby ustawić właściwość appRoleAssignmentRequired w jednostce usługi.

Określanie środowiska użytkownika na potrzeby uzyskiwania dostępu do aplikacji

Identyfikator Entra firmy Microsoft udostępnia kilka dostosowywalnych sposobów wdrażania aplikacji dla użytkowników końcowych w organizacji:

  • Microsoft Entra Moje aplikacje
  • Uruchamianie aplikacji platformy Microsoft 365
  • Bezpośrednie logowanie do aplikacji federacyjnych (service-pr)
  • Linki bezpośrednie do federacyjnych, opartych na hasłach lub istniejących aplikacjach

Możesz określić, czy użytkownicy przypisani do aplikacji dla przedsiębiorstw mogą ją zobaczyć w Moje aplikacje i uruchamianiu aplikacji platformy Microsoft 365.

Przykład: złożone przypisanie aplikacji przy użyciu identyfikatora Entra firmy Microsoft

Rozważmy aplikację, na przykład Salesforce. W wielu organizacjach usługa Salesforce jest używana głównie przez zespoły ds. marketingu i sprzedaży. Często członkowie zespołu ds. marketingu mają wysoce uprzywilejowany dostęp do usługi Salesforce, podczas gdy członkowie zespołu sprzedaży mają ograniczony dostęp. W wielu przypadkach szeroka populacja pracowników przetwarzających informacje ma ograniczony dostęp do aplikacji. Wyjątki od tych reguł komplikują sprawy. Często jest to prerogatywą zespołów ds. marketingu lub liderów sprzedaży, aby udzielić użytkownikowi dostępu lub zmienić ich role niezależnie od tych ogólnych reguł.

Dzięki identyfikatorowi Entra firmy Microsoft aplikacje, takie jak Salesforce, można wstępnie skonfigurować na potrzeby logowania jednokrotnego (SSO) i automatycznej aprowizacji. Po skonfigurowaniu aplikacji Administracja istrator może wykonać jednorazową akcję w celu utworzenia i przypisania odpowiednich grup. W tym przykładzie administrator może wykonać następujące przypisania:

  • Grupy dynamiczne można zdefiniować tak, aby automatycznie reprezentować wszystkich członków zespołów ds. marketingu i sprzedaży przy użyciu atrybutów, takich jak dział lub rola:

    • Wszyscy członkowie grup marketingowych zostaną przypisani do roli "marketing" w usłudze Salesforce
    • Wszyscy członkowie grup zespołów sprzedaży zostaną przypisani do roli "sales" w usłudze Salesforce. Dalsze uściślenie może użyć wielu grup reprezentujących regionalne zespoły sprzedaży przypisane do różnych ról usługi Salesforce.

  • Aby włączyć mechanizm wyjątków, można utworzyć grupę samoobsługową dla każdej roli. Na przykład grupę "Wyjątek marketingu usługi Salesforce" można utworzyć jako grupę samoobsługową. Grupę można przypisać do roli marketingu usługi Salesforce, a zespół kierowniczy ds. marketingu może zostać właścicielem. Członkowie zespołu kierowniczego ds. marketingu mogą dodawać lub usuwać użytkowników, ustawiać zasady dołączania, a nawet zatwierdzać lub odrzucać żądania poszczególnych użytkowników dotyczące dołączenia. Ten mechanizm jest obsługiwany za pośrednictwem odpowiedniego środowiska procesu roboczego informacji, które nie wymaga specjalistycznego szkolenia dla właścicieli lub członków.

W takim przypadku wszyscy przypisani użytkownicy zostaną automatycznie aprowizowani w usłudze Salesforce. W miarę dodawania ich do różnych grup ich przypisanie roli zostanie zaktualizowane w usłudze Salesforce. Użytkownicy mogą odnajdywać i uzyskiwać dostęp do usługi Salesforce za pośrednictwem Moje aplikacje, klientów internetowych pakietu Office lub przechodząc do swojej organizacji strony logowania usługi Salesforce. Administracja istratory mogą łatwo wyświetlać stan użycia i przypisania przy użyciu raportowania identyfikatorów Entra firmy Microsoft.

Administracja istratorzy mogą stosować Dostęp warunkowy firmy Microsoft Entra do ustawiania zasad dostępu dla określonych ról. Te zasady mogą obejmować, czy dostęp jest dozwolony poza środowiskiem firmowym, a nawet uwierzytelnianie wieloskładnikowe lub wymagania dotyczące urządzeń w celu uzyskania dostępu w różnych przypadkach.

Dostęp do aplikacji firmy Microsoft

Aplikacje firmy Microsoft (takie jak Exchange, SharePoint, Yammer itp.) są przypisywane i zarządzane nieco inaczej niż aplikacje SaaS innych firm lub inne aplikacje zintegrowane z usługą Microsoft Entra ID na potrzeby logowania jednokrotnego.

Istnieją trzy główne sposoby uzyskiwania dostępu przez użytkownika do aplikacji opublikowanej przez firmę Microsoft.

  • W przypadku aplikacji w rozwiązaniu Microsoft 365 lub innych płatnych pakietach użytkownicy otrzymują dostęp za pośrednictwem przypisania licencji bezpośrednio do konta użytkownika lub za pośrednictwem grupy korzystającej z naszej funkcji przypisywania licencji opartej na grupach.

  • W przypadku aplikacji publikowanych bezpłatnie przez firmę Microsoft lub innej firmy, które mogą być używane przez użytkowników, użytkownicy mogą mieć dostęp za pośrednictwem zgody użytkownika. Użytkownicy logują się do aplikacji przy użyciu konta służbowego microsoft Entra i zezwalają na dostęp do niektórych ograniczonych zestawów danych na swoim koncie.

  • W przypadku aplikacji publikowanych bezpłatnie przez firmę Microsoft lub innej firmy, użytkownicy mogą również uzyskać dostęp za pośrednictwem zgody administratora. Oznacza to, że administrator ustalił, że aplikacja może być używana przez wszystkich użytkowników w organizacji, więc logują się do aplikacji przy użyciu konta Global Administracja istrator i udzielają dostępu wszystkim w organizacji.

Niektóre aplikacje łączą te metody. Na przykład niektóre aplikacje firmy Microsoft są częścią subskrypcji platformy Microsoft 365, ale nadal wymagają zgody.

Użytkownicy mogą uzyskiwać dostęp do aplikacji platformy Microsoft 365 za pośrednictwem portali usługi Office 365. Możesz również wyświetlać lub ukrywać aplikacje platformy Microsoft 365 w Moje aplikacje za pomocą przełącznikawidoczności usługi Office 365 w ustawieniach użytkownika katalogu.

Podobnie jak w przypadku aplikacji dla przedsiębiorstw, można przypisywać użytkowników do niektórych aplikacji firmy Microsoft za pośrednictwem centrum administracyjnego firmy Microsoft lub przy użyciu programu PowerShell.

Następne kroki