Совместное использование учетных записей с идентификатором Microsoft Entra

Обзор

В идентификаторе Microsoft Entra часть Microsoft Entra иногда организациям необходимо использовать одно имя пользователя и пароль для нескольких пользователей, что часто происходит в следующих случаях:

• при обращении к приложениям, требующим уникальное имя для входа и пароль для каждого пользователя — это могут быть локальные приложения или пользовательские облачные службы (например, учетные записи корпоративных социальных сетей);
• при создании многопользовательских сред. У вас может быть одна локальная учетная запись с повышенными привилегиями, которая используется для основных действий настройки, администрирования и восстановления. Например, учетная запись приложения Администратор istrator для Microsoft 365 или корневой учетной записи в Salesforce.

Обычно эти учетные записи используются путем распространения учетных данных (имени пользователя и пароля) нужным лицам или их хранения в общем расположении, где несколько доверенных агентов могут получить к ним доступ.

Традиционная модель общего доступа имеет несколько недостатков.

• Для обеспечения доступа к новым приложениям необходимо передавать учетные данные всем тем людям, которым требуется такой доступ.
• Каждому общему приложению может потребоваться собственный уникальный набор общих учетных данных, требующий от пользователей запоминать несколько наборов учетных данных. В связи с этим возрастает уровень риска и уязвимости системы, так как пользователи могут, например, начать записывать пароли.
• Невозможно точно определить круг лиц, имеющих доступ к приложению.
• Вы не можете сообщить, кто обращается к приложению.
• Когда требуется запретить доступ к приложению, необходимо обновить учетные данные и повторно передать их всем людям, которым нужен доступ к этому приложению.

Общий доступ к учетной записи Microsoft Entra

Идентификатор Microsoft Entra предоставляет новый подход к использованию общих учетных записей, которые устраняют эти недостатки.

Администратор Microsoft Entra настраивает приложения, к которым пользователь может получить доступ с помощью Панель доступа и выбора типа единого входа, подходящего для этого приложения. Один из этих типов, единый вход на основе паролей, позволяет Идентификатору Microsoft Entra выступать в качестве своего рода брокера во время процесса входа для этого приложения.

Пользователи выполняют вход один раз с учетной записью организации. Это та же учетная запись, которой они регулярно пользуются для доступа к рабочему столу или электронной почте. Они могут обнаруживать и получать доступ только к тем приложениям, которым они назначены. При использовании общих учетных записей этот список приложений может требовать любого количества общих учетных данных. Пользователю не нужно запоминать или записывать разные учетные данные, которые могут ему понадобиться.

Общие учетные записи не только улучшают контроль и повышают удобство работы, они также повышают уровень безопасности. Пользователи, имеющие право на использование учетных данных, не видят сам общий пароль, вместо этого они получают разрешения на использование пароля в рамках оркестрованного потока проверки подлинности. Кроме того, некоторые приложения единого входа паролей позволяют использовать идентификатор Microsoft Entra для периодического переключения паролей (обновления). В системе используются большие сложные пароли, которые повышают безопасность учетной записи. Администратор может легко предоставить или отозвать доступ к приложению, знает, кто имеет доступ к учетной записи и к которому он получил доступ в прошлом.

Идентификатор Microsoft Entra id поддерживает общие учетные записи для любого плана лицензии Enterprise Mobility Suite (EMS) или Microsoft Entra ID P1 или P2 для всех типов приложений единого входа. Вы можете совместно использовать учетные записи для любого из тысяч предварительно подготовленных приложений в коллекции приложений и добавлять собственное приложение с проверкой подлинности паролей с пользовательскими приложениями единого входа.

Функции Microsoft Entra, которые включают общий доступ к учетным записям:

• Единый вход по паролю
• Агент единого входа по паролю
• Назначение группы
• Приложения с пользовательским паролем
• Панели мониторинга и отчеты об использовании приложения
• Порталы доступа для пользователей
• Прокси приложения
• Azure Marketplace

Общий доступ к учетной записи

Чтобы использовать идентификатор Microsoft Entra для совместного использования учетной записи, необходимо выполнить следующие действия.

• Добавьте приложение из коллекции приложений или пользовательское приложение.
• Настройка приложения для единого входа с паролем (единый вход)
• Выполните назначение на основе групп и выберите способ ввода общих учетных данных.

Вы также можете сделать общую учетную запись более безопасной с многофакторной проверкой подлинности (MFA) (подробнее о защите приложений с помощью идентификатора Microsoft Entra). Вы можете делегировать возможность управлять доступом к приложению с помощью самостоятельного управления группами Microsoft Entra.

Следующие шаги

• Управление приложениями в идентификаторе Microsoft Entra
• Защита приложений с помощью условного доступа
• Самостоятельное управление группами/SSAA