Управление доступом к приложению

Интеграция приложения в систему удостоверений организации вызывает проблемы в управлении доступом, оценке использования и отчетности. ИТ-администраторы или сотрудники службы технической поддержки обычно должны контролировать доступ к приложениям. Назначение доступа может попасть в общую или отделальную ИТ-команду, но в идеале руководители бизнес-решений должны быть вовлечены, давая утверждение, прежде чем ИТ-отдел завершит процесс.

Другие организации инвестируют в интеграцию с существующей автоматизированной системой управления удостоверениями и доступом, такими как контроль доступа на основе ролей (RBAC) или контроль доступа на основе атрибутов (ABAC). Как интеграция, так и разработка правил, как правило, являются специализированными и дорогостоящими. Мониторинг или отчетность по подходу управления имеет собственные отдельные, дорогостоящие и сложные инвестиции.

Как помогает идентификатор Microsoft Entra?

Идентификатор Microsoft Entra поддерживает расширенное управление доступом для настроенных приложений, что позволяет организациям легко достичь правильных политик доступа от автоматического назначения на основе атрибутов (сценарии ABAC или RBAC) через делегирование и управление администраторами. С помощью идентификатора Microsoft Entra можно легко достичь сложных политик, сочетая несколько моделей управления для одного приложения и даже повторно использовать правила управления в приложениях с одной аудиторией.

Благодаря идентификатору Microsoft Entra, отчета об использовании и назначении полностью интегрированы, что позволяет администраторам легко сообщать о состоянии назначения, ошибках назначения и даже использовании.

Назначение пользователей и групп приложению

Назначение приложения Microsoft Entra ориентировано на два основных режима назначения:

  • Отдельное назначение ИТ-администратора с разрешениями администратора облачных приложений каталога может выбрать отдельные учетные записи пользователей и предоставить им доступ к приложению.

  • Назначение на основе групп (требуется microsoft Entra ID P1 или P2) ИТ-администратор с разрешениями облачного приложения каталога может назначить группу приложению. Доступ конкретных пользователей определяется тем, являются ли они членами группы в то время, когда они пытаются получить доступ к приложению. Другими словами, администратор может эффективно создать правило назначения, указывающее, что любой текущий член назначенной группы имеет доступ к приложению. С помощью этого параметра администраторы могут воспользоваться любым из вариантов управления группами Microsoft Entra, включая группы динамического членства на основе атрибутов, внешние системные группы (например, локальная служба Active Directory или Workday), а также управляемые администратором или самостоятельно управляемые группы. Одна группа может быть легко назначена нескольким приложениям, что гарантирует, что приложения с сходством назначений могут совместно использовать правила назначения, уменьшая общую сложность управления.

    Заметка

    Членство в вложенных группах в настоящее время не поддерживается для назначения приложений на основе групп.

С помощью этих двух режимов назначения администраторы могут достичь любого желаемого подхода к управлению назначениями.

Требование назначения пользователей для приложения

При использовании определенных типов приложений у вас есть возможность назначать пользователей приложению. Таким образом, вы запрещаете всем входить, кроме тех пользователей, которые вы явно назначите приложению. Следующие типы приложений поддерживают этот параметр:

  • Приложения, настроенные для федеративного единого входа (SSO) с проверкой подлинности на основе SAML
  • Приложения-прокси приложения, использующие предварительную проверку подлинности Microsoft Entra
  • Приложения, созданные на платформе приложений Microsoft Entra, которые используют проверку подлинности OAuth 2.0 / OpenID Connect после согласия пользователя или администратора на это приложение. Некоторые корпоративные приложения обеспечивают более контроль над тем, кто может войти в систему.

Если назначение пользователя требуется, войдите только те пользователи, которые вы назначаете приложению (через прямое назначение пользователя или на основе членства в группах). Они могут получить доступ к приложению на портале Мои приложения или с помощью прямой ссылки.

Если назначение пользователя не требуется, неназначенные пользователи не видят приложение на своей Мои приложения, но они по-прежнему могут войти в приложение (также известный как вход, инициированный поставщиком услуг) или использовать URL-адрес доступа пользователей на странице свойств приложения (также известный как вход, инициированный поставщиком удостоверений). Дополнительные сведения о необходимости настройки назначений пользователей см. в разделе "Настройка приложения"

Этот параметр не влияет на то, отображается ли приложение на Мои приложения. Приложения отображаются на портале Мои приложения пользователей после назначения пользователю или группе приложению.

Заметка

Если приложению требуется назначение, согласие пользователя для этого приложения не допускается. Это верно, даже если согласие пользователей для этого приложения в противном случае было бы разрешено. Не забудьте предоставить согласие администратора на уровне клиента приложениям, которым требуется назначение.

Для некоторых приложений параметр, который требует назначения пользователей, недоступен в свойствах приложения. В этих случаях можно использовать PowerShell для задания свойства appRoleAssignmentRequired в субъекте-службе.

Определение пользовательского интерфейса для доступа к приложениям

Идентификатор Microsoft Entra предоставляет несколько настраиваемых способов развертывания приложений для конечных пользователей в вашей организации:

  • Microsoft Entra Мои приложения
  • Средство запуска приложений Microsoft 365
  • Прямой вход в федеративные приложения (service-pr)
  • Глубокие ссылки на федеративные, пароли или существующие приложения

Вы можете определить, могут ли пользователи, назначенные корпоративному приложению, видеть его в Мои приложения и средства запуска приложений Microsoft 365.

Пример: сложное назначение приложения с идентификатором Microsoft Entra

Рассмотрим приложение, например Salesforce. Во многих организациях Salesforce в основном используется командами по маркетингу и продажам. Часто члены маркетинговой группы имеют высокий уровень привилегированного доступа к Salesforce, а члены команды продаж получают ограниченный доступ. Во многих случаях широкое население информационных работников получает ограниченный доступ к приложению. Исключения в этих правилах усложняют вопросы. Часто это прерогатива групп руководителей по маркетингу или продажам, чтобы предоставить пользователю доступ или изменить свои роли независимо от этих универсальных правил.

С помощью идентификатора Microsoft Entra приложения, такие как Salesforce, можно предварительно настроить для единого входа и автоматической подготовки. После настройки приложения администратор может выполнить однократное действие для создания и назначения соответствующих групп. В этом примере администратор может выполнить следующие назначения:

  • Динамические группы можно определить для автоматического представления всех членов маркетинговых и продаж групп с помощью таких атрибутов, как отдел или роль:

    • Все члены маркетинговых групп будут назначены роли "маркетинга" в Salesforce
    • Всем членам групп отдела продаж будет назначена роль "продажи" в Salesforce. Дополнительное уточнение может использовать несколько групп, представляющих региональные группы продаж, назначенные разным ролям Salesforce.
  • Чтобы включить механизм исключения, для каждой роли можно создать группу самообслуживания. Например, группу "Исключение salesforce маркетинга" можно создать как группу самообслуживания. Группу можно назначить роли маркетинга Salesforce, а команде руководства по маркетингу можно сделать владельцем. Члены маркетинговой команды руководства могут добавлять или удалять пользователей, устанавливать политику присоединения или даже утверждать или запрещать отдельным пользователям запросы на присоединение. Этот механизм поддерживается через соответствующий информационный рабочий процесс, который не требует специализированного обучения для владельцев или членов.

В этом случае все назначенные пользователи будут автоматически подготовлены в Salesforce. По мере добавления в разные группы их назначение ролей обновляется в Salesforce. Пользователи могут обнаруживать и получать доступ к Salesforce через Мои приложения, веб-клиенты Office или перейдя на страницу входа в Организацию Salesforce. Администраторы могут легко просматривать состояние использования и назначения с помощью отчетов идентификатора Microsoft Entra.

Администраторы могут использовать условный доступ Microsoft Entra для задания политик доступа для определенных ролей. Эти политики могут включать, разрешен ли доступ за пределами корпоративной среды и даже многофакторной проверки подлинности или требований к устройству для обеспечения доступа в различных случаях.

Доступ к приложениям Майкрософт

Приложения Майкрософт (например, Exchange, SharePoint, Yammer и т. д.) назначаются и управляются немного отличается от приложений SaaS или других приложений, которые интегрируются с Идентификатором Microsoft Entra для единого входа.

Существует три основных способа, которым пользователь может получить доступ к опубликованному корпорацией Майкрософт приложению.

  • Для приложений в Microsoft 365 или других платных наборах пользователи получают доступ через назначение лицензий напрямую к учетной записи пользователя или через группу с помощью возможности назначения лицензий на основе групп.

  • Для приложений, публикуемых корпорацией Майкрософт или не корпорацией Майкрософт, бесплатно для всех пользователей, пользователи могут предоставлять доступ через согласие пользователя. Пользователи войдите в приложение с помощью рабочей или учебной учетной записи Microsoft Entra и разрешают ему доступ к определенному ограниченному набору данных в своей учетной записи.

  • Для приложений, публикуемых корпорацией Майкрософт или не корпорацией Майкрософт, бесплатно для всех пользователей, пользователи также могут предоставлять доступ через согласие администратора. Это означает, что администратор определил, что приложение может использоваться всеми пользователями в организации, поэтому они входят в приложение с ролью администратора привилегированных ролей и предоставляют доступ всем пользователям в организации.

Некоторые приложения объединяют эти методы. Например, некоторые приложения Майкрософт являются частью подписки Microsoft 365, но по-прежнему требуют согласия.

Пользователи могут получить доступ к приложениям Microsoft 365 с помощью порталов Office 365. Вы также можете отображать или скрывать приложения Microsoft 365 в Мои приложения с помощью переключателя видимости Office 365 в параметрах пользователя каталога.

Как и в корпоративных приложениях, вы можете назначить пользователей определенным приложениям Майкрософт через Центр администрирования Microsoft Entra или с помощью PowerShell.

Предотвращение доступа к приложению с помощью локальных учетных записей

Идентификатор Microsoft Entra позволяет вашей организации настроить единый вход для защиты проверки подлинности пользователей в приложениях с условным доступом, многофакторной проверкой подлинности и т. д. Некоторые приложения исторически имеют собственное локальное хранилище пользователей и позволяют пользователям входить в приложение с помощью локальных учетных данных или метода проверки подлинности резервного копирования приложения вместо использования единого входа. Эти возможности приложений могут быть неправильно использованы и разрешать пользователям сохранять доступ к приложениям даже после того, как они больше не назначены приложению в идентификаторе Microsoft Entra ID или больше не могут войти в идентификатор Microsoft Entra, и могут позволить злоумышленникам пытаться скомпрометировать приложение без отображения в журналах идентификатора Microsoft Entra ID. Чтобы убедиться, что входы в эти приложения защищены идентификатором Microsoft Entra:

  • Определите, какие приложения, подключенные к каталогу, позволяют конечным пользователям обойти единый вход с помощью учетных данных локального приложения или метода проверки подлинности резервного копирования. Вам потребуется просмотреть документацию, предоставленную поставщиком приложений, чтобы понять, возможно ли это, и какие параметры доступны. Затем в этих приложениях отключите параметры, позволяющие конечным пользователям обойти единый вход. Протестируйте взаимодействие с конечным пользователем, открыв браузер в InPrivate, подключившись к странице входа приложений, предоставив удостоверение пользователя в вашем клиенте и убедитесь, что отсутствует возможность входа, кроме microsoft Entra.
  • Если приложение предоставляет API для управления паролями пользователей, удалите локальные пароли или задайте уникальный пароль для каждого пользователя с помощью API. Это позволит предотвратить вход конечных пользователей в приложение с помощью локальных учетных данных.
  • Если приложение предоставляет API для управления пользователями, настройте подготовку пользователей Microsoft Entra для этого приложения, чтобы отключить или удалить учетные записи пользователей, когда пользователи больше не находятся в области применения приложения или клиента.

Дальнейшие действия