Vad är programhantering i Microsoft Entra-ID?
Programhantering i Microsoft Entra-ID är processen för att skapa, konfigurera, hantera och övervaka program i molnet. När ett program är registrerat i en Microsoft Entra-klientorganisation kan användare som redan har tilldelats det på ett säkert sätt komma åt det. Många typer av program kan registreras i Microsoft Entra-ID. Mer information finns i Programtyper för Microsofts identitetsplattform.
I den här artikeln får du lära dig följande viktiga aspekter av att hantera livscykeln för ett program:
- Utveckla, lägga till eller ansluta – Du använder olika sökvägar beroende på om du utvecklar ditt eget program, använder ett förintegrerat program eller ansluter till ett lokalt program.
- Hantera åtkomst – Åtkomst kan hanteras med enkel inloggning (SSO), tilldela resurser, definiera hur åtkomst beviljas och samtycka till och använda automatisk etablering.
- Konfigurera egenskaper – Konfigurera kraven för att logga in på programmet och hur programmet representeras i användarportaler.
- Skydda programmet – Hantera konfiguration av behörigheter, multifaktorautentisering, villkorlig åtkomst, token och certifikat.
- Styr och övervaka – Hantera interaktion och granskningsaktivitet med hjälp av berättigandehantering och rapporterings- och övervakningsresurser.
- Rensa – När programmet inte längre behövs rensar du klientorganisationen genom att ta bort åtkomsten till den och ta bort den.
Utveckla, lägga till eller ansluta
Det finns flera sätt att hantera program i Microsoft Entra-ID. Det enklaste sättet att börja hantera ett program är att använda ett förintegrerat program från Microsoft Entra-galleriet. Att utveckla ditt eget program och registrera det i Microsoft Entra-ID är ett alternativ, eller så kan du fortsätta att använda ett lokalt program.
Följande bild visar hur dessa program interagerar med Microsoft Entra-ID.
Förintegrerade program
Många program är redan förintegrerade (visas som "Molnprogram" i föregående bild i den här artikeln) och kan konfigureras med minimal ansträngning. Varje program i Microsoft Entra-galleriet har en artikel tillgänglig som visar de steg som krävs för att konfigurera programmet. Ett enkelt exempel på hur ett program kan läggas till i din Microsoft Entra-klientorganisation från galleriet finns i Snabbstart: Lägg till ett företagsprogram.
Dina egna program
Om du utvecklar ett eget affärsprogram kan du registrera det med Microsoft Entra-ID för att dra nytta av de säkerhetsfunktioner som klientorganisationen tillhandahåller. Du kan registrera ditt program i Appregistreringar eller registrera det med hjälp av länken Skapa ditt eget program när du lägger till ett nytt program i Företagsprogram. Överväg hur autentisering implementeras i ditt program för integrering med Microsoft Entra-ID.
Om du vill göra programmet tillgängligt via galleriet kan du skicka en begäran för att göra den tillgänglig.
Lokala program
Om du vill fortsätta använda ett lokalt program, men dra nytta av vad Microsoft Entra ID erbjuder, ansluter du det med Microsoft Entra-ID med hjälp av Microsoft Entra-programproxy. Programproxy kan implementeras när du vill publicera lokala program externt. Fjärranvändare som behöver åtkomst till interna program kan sedan komma åt dem på ett säkert sätt.
Hantera åtkomst
Om du vill hantera åtkomst för ett program vill du svara på följande frågor:
- Hur beviljas och godkänns åtkomst för programmet?
- Stöder programmet enkel inloggning?
- Vilka användare, grupper och ägare ska tilldelas till programmet?
- Finns det andra identitetsprovidrar som stöder programmet?
- Är det bra att automatisera etableringen av användaridentiteter och roller?
Åtkomst och medgivande
Du kan hantera inställningar för användarmedgivande för att välja om användare kan tillåta att ett program eller en tjänst får åtkomst till användarprofiler och organisationsdata. När program beviljas åtkomst kan användarna logga in på program som är integrerade med Microsoft Entra-ID och programmet kan komma åt organisationens data för att leverera omfattande datadrivna upplevelser.
I situationer där användarna inte kan samtycka till de behörigheter som ett program begär bör du överväga att konfigurera arbetsflödet för administratörsmedgivande. Med arbetsflödet kan användarna ange en motivering och begära en administratörs granskning och godkännande av ett program. Information om hur du konfigurerar arbetsflöde för administratörsmedgivande i din Microsoft Entra-klient finns i Konfigurera arbetsflöde för administratörsmedgivande.
Som administratör kan du bevilja administratörsmedgivande för hela klientorganisationen till ett program. Administratörsmedgivande för hela klientorganisationen krävs när ett program kräver behörigheter som vanliga användare inte får bevilja. Genom att bevilja administratörsmedgivande för hela klientorganisationen kan organisationer implementera sina egna granskningsprocesser. Granska alltid noggrant de behörigheter som programmet begär innan du beviljar medgivande. När ett program beviljas administratörsmedgivande för hela klientorganisationen kan alla användare logga in på programmet om du inte konfigurerar det för att kräva användartilldelning.
Enkel inloggning
Överväg att implementera enkel inloggning i ditt program. Du kan konfigurera de flesta program för enkel inloggning manuellt. De mest populära alternativen i Microsoft Entra ID är SAML-baserad enkel inloggning och OpenID Anslut-baserad enkel inloggning. Innan du börjar bör du se till att du förstår kraven för enkel inloggning och hur du planerar för distribution. Mer information om hur du konfigurerar SAML-baserad enkel inloggning för ett företagsprogram i din Microsoft Entra-klient finns i Aktivera enkel inloggning för ett program med hjälp av Microsoft Entra-ID.
Tilldelning av användare, grupp och ägare
Som standard kan alla användare komma åt dina företagsprogram utan att bli tilldelade till dem. Men om du vill tilldela programmet till en uppsättning användare konfigurerar du programmet så att det kräver användartilldelning och tilldelar de valda användarna till programmet. Ett enkelt exempel på hur du skapar och tilldelar ett användarkonto till ett program finns i Snabbstart: Skapa och tilldela ett användarkonto.
Om det ingår i din prenumeration tilldelar du grupper till ett program så att du kan delegera löpande åtkomsthantering till gruppägaren.
Att tilldela ägare är ett enkelt sätt att ge möjlighet att hantera alla aspekter av Microsoft Entra-konfigurationen för ett program. Som ägare kan en användare hantera den organisationsspecifika konfigurationen av programmet. Som bästa praxis bör du proaktivt övervaka program i din klientorganisation för att säkerställa att de har minst två ägare för att undvika situationen för ägarlösa program.
Automatisera etablering
Programetablering syftar på att automatiskt skapa användaridentiteter och roller i de program som användarna behöver åtkomst till. Förutom att skapa användaridentiteter inkluderar automatisk etablering underhåll och borttagning av användaridentiteter när status eller roller ändras.
Identitetsprovidrar
Har du en identitetsprovider som du vill att Microsoft Entra-ID ska interagera med? Home Realm Discovery tillhandahåller en konfiguration som gör att Microsoft Entra-ID kan avgöra vilken identitetsprovider en användare behöver autentisera med när de loggar in.
Användarportaler
Med Microsoft Entra-ID kan du distribuera program till användare i din organisation på ett anpassningsbart sätt. Till exempel Mina appar-portalen eller Microsoft 365-programstartsprogrammet. Mina appar ger användarna en enda plats där de kan börja sitt arbete och hitta alla program som de har åtkomst till. Som administratör för ett program bör du planera hur användarna i din organisation använder Mina appar.
Konfigurera egenskaper
När du lägger till ett program i din Microsoft Entra-klientorganisation har du möjlighet att konfigurera egenskaper som påverkar hur användare kan interagera med programmet. Du kan aktivera eller inaktivera möjligheten att logga in och ange att programmet ska kräva användartilldelning. Du kan också bestämma programmets synlighet, vilken logotyp som representerar programmet och eventuella anteckningar om programmet. Mer information om de egenskaper som kan konfigureras finns i Egenskaper för ett företagsprogram.
Skydda programmet
Det finns flera tillgängliga metoder som hjälper dig att skydda dina företagsprogram. Du kan till exempel begränsa klientåtkomst, hantera synlighet, data och analys och eventuellt ge hybridåtkomst. Att skydda dina företagsprogram innebär också att hantera konfiguration av behörigheter, MFA, villkorlig åtkomst, token och certifikat.
Behörigheter
Det är viktigt att regelbundet granska och vid behov hantera de behörigheter som beviljats till ett program eller en tjänst. Se till att du endast tillåter lämplig åtkomst till dina program genom att regelbundet utvärdera om misstänkt aktivitet finns.
Med behörighetsklassificeringar kan du identifiera effekten av olika behörigheter enligt organisationens principer och riskutvärderingar. Du kan till exempel använda behörighetsklassificeringar i medgivandeprinciper för att identifiera den uppsättning behörigheter som användarna får samtycka till.
Multifaktorautentisering och villkorlig åtkomst
Microsoft Entra multifaktorautentisering hjälper till att skydda åtkomsten till data och program, vilket ger ett annat säkerhetslager med hjälp av en andra form av autentisering. Det finns många metoder som kan användas för en andra faktorautentisering. Planera distributionen av MFA för ditt program i din organisation innan du börjar.
Organisationer kan aktivera MFA med villkorsstyrd åtkomst för att få lösningen att passa deras specifika behov. Principer för villkorsstyrd åtkomst gör att administratörer kan tilldela kontroller till specifika program, åtgärder eller autentiseringskontext.
Token och certifikat
Olika typer av säkerhetstoken används i ett autentiseringsflöde i Microsoft Entra-ID beroende på vilket protokoll som används. Till exempel används SAML-token för SAML-protokollet, och ID-token och åtkomsttoken används för OpenID Anslut-protokollet. Token signeras med det unika certifikat som Microsoft Entra-ID genererar och av specifika standardalgoritmer.
Du kan ge mer säkerhet genom att kryptera token. Du kan också hantera informationen i en token, inklusive de roller som tillåts för programmet.
Microsoft Entra ID använder SHA-256-algoritmen som standard för att signera SAML-svaret. Använd SHA-256 om inte programmet kräver SHA-1. Upprätta en process för att hantera certifikatets livslängd. Den maximala livslängden för ett signeringscertifikat är tre år. För att förhindra eller minimera avbrott på grund av att ett certifikat upphör att gälla använder du roller och distributionslistor för e-post för att säkerställa att certifikatrelaterade ändringsmeddelanden övervakas noggrant.
Styra och övervaka
Berättigandehantering i Microsoft Entra-ID gör att du kan hantera interaktion mellan program och administratörer, katalogägare, åtkomstpakethanterare, godkännare och beställare.
Din rapporterings- och övervakningslösning i Microsoft Entra beror på dina juridiska krav, säkerhet och driftskrav samt din befintliga miljö och dina processer. Det finns flera loggar som underhålls i Microsoft Entra-ID. Därför bör du planera för rapportering och övervakningsdistribution för att upprätthålla bästa möjliga upplevelse för ditt program.
Rensa
Du kan rensa åtkomsten till program. Du kan till exempel ta bort en användares åtkomst. Du kan också inaktivera hur en användare loggar in. Slutligen kan du ta bort programmet om det inte längre behövs för organisationen. Mer information om hur du tar bort ett företagsprogram från din Microsoft Entra-klient finns i Snabbstart: Ta bort ett företagsprogram.
Guidad genomgång
En guidad genomgång av många av rekommendationerna i den här artikeln finns i guidad genomgång av Microsoft 365 Secure your cloud apps with Enkel inloggning (SSO).
Nästa steg
- Kom igång genom att lägga till ditt första företagsprogram med snabbstarten : Lägg till ett företagsprogram.