Distribuera organisationsprinciper för att styra åtkomst till program som är integrerade med Microsoft Entra-ID
I föregående avsnitt definierade du dina styrningsprinciper för ett program och integrerade programmet med Microsoft Entra-ID. I det här avsnittet konfigurerar du funktionerna för villkorlig åtkomst och berättigandehantering i Microsoft Entra för att styra den löpande åtkomsten till dina program. Du upprättar
- Principer för villkorsstyrd åtkomst för hur en användare autentiserar till Microsoft Entra-ID för ett program som är integrerat med Microsoft Entra-ID för enkel inloggning
- Principer för berättigandehantering för hur en användare hämtar och behåller tilldelningar till programroller och medlemskap i grupper
- Åtkomstgranskningsprinciper för hur ofta gruppmedlemskap granskas
När dessa principer har distribuerats kan du övervaka det pågående beteendet för Microsoft Entra-ID när användarna begär och tilldelas åtkomst till programmet.
Distribuera principer för villkorlig åtkomst för SSO-tillämpning
I det här avsnittet upprättar du de principer för villkorsstyrd åtkomst som finns i omfånget för att avgöra om en behörig användare kan logga in i appen, baserat på faktorer som användarens autentiseringsstyrka eller enhetsstatus.
Villkorlig åtkomst är endast möjligt för program som förlitar sig på Microsoft Entra-ID för enkel inloggning (SSO). Om programmet inte kan integreras för enkel inloggning fortsätter du i nästa avsnitt.
- Ladda upp användarvillkoren (TOU) om det behövs. Om du kräver att användarna godkänner en användningsperiod (TOU) innan de kommer åt programmet skapar och laddar du upp TOU-dokumentet så att det kan ingå i en princip för villkorsstyrd åtkomst.
- Kontrollera att användarna är redo för Microsoft Entra multifaktorautentisering. Vi rekommenderar att du kräver Microsoft Entra multifaktorautentisering för affärskritiska program som är integrerade via federation. För dessa program bör det finnas en princip som kräver att användaren har uppfyllt ett krav på multifaktorautentisering innan Microsoft Entra-ID tillåter dem att logga in på programmet. Vissa organisationer kan också blockera åtkomst av platser eller kräva att användaren får åtkomst från en registrerad enhet. Om det inte redan finns någon lämplig princip som innehåller nödvändiga villkor för autentisering, plats, enhet och TOU lägger du till en princip i distributionen av villkorsstyrd åtkomst.
- Ta programmets webbslutpunkt till omfånget för lämplig princip för villkorsstyrd åtkomst. Om du har en befintlig princip för villkorsstyrd åtkomst som har skapats för ett annat program som omfattas av samma styrningskrav, kan du uppdatera principen så att den även gäller för det här programmet för att undvika ett stort antal principer. När du har gjort uppdateringarna kontrollerar du att de förväntade principerna tillämpas. Du kan se vilka principer som skulle gälla för en användare med verktyget Villkorlig åtkomst vad händer om.
- Skapa en återkommande åtkomstgranskning om några användare behöver tillfälliga principundantag. I vissa fall kanske det inte går att tillämpa principer för villkorlig åtkomst omedelbart för varje behörig användare. Vissa användare kanske till exempel inte har någon lämplig registrerad enhet. Om det är nödvändigt att undanta en eller flera användare från principen för villkorsstyrd åtkomst och ge dem åtkomst, konfigurerar du en åtkomstgranskning för den grupp användare som är undantagna från principer för villkorsstyrd åtkomst.
- Dokumentera tokens livslängd och programmets sessionsinställningar. Hur länge en användare som har nekats fortsatt åtkomst kan fortsätta att använda ett federerat program beror på programmets egen sessionslivslängd och på livslängden för åtkomsttoken. Sessionslivslängden för ett program beror på själva programmet. Mer information om hur du styr livslängden för åtkomsttoken finns i Konfigurerbara tokenlivslängder.
Distribuera principer för berättigandehantering för att automatisera åtkomsttilldelning
I det här avsnittet konfigurerar du Microsoft Entra-berättigandehantering så att användarna kan begära åtkomst till programmets roller eller till grupper som används av programmet. För att kunna utföra dessa uppgifter måste du ha rollen Global administratör, Identitetsstyrningsadministratör eller delegeras som katalogskapare och ägare till programmet.
Kommentar
Efter minst behörighetsåtkomst rekommenderar vi att du använder rollen Identitetsstyrningsadministratör här.
- Åtkomstpaket för reglerade program ska finnas i en angiven katalog. Om du inte redan har en katalog för ditt programstyrningsscenario skapar du en katalog i Microsoft Entra-berättigandehantering. Om du har flera kataloger att skapa kan du använda ett PowerShell-skript för att skapa varje katalog.
- Fyll i katalogen med nödvändiga resurser. Lägg till programmet och alla Microsoft Entra-grupper som programmet förlitar sig på som resurser i katalogen. Om du har många resurser kan du använda ett PowerShell-skript för att lägga till varje resurs i en katalog.
- Skapa ett åtkomstpaket för varje roll eller grupp som användarna kan begära. För vart och ett av programmen och för var och en av deras programroller eller grupper skapar du ett åtkomstpaket som innehåller rollen eller gruppen som resurs. I det här skedet av konfigurationen av dessa åtkomstpaket konfigurerar du den första tilldelningsprincipen för åtkomstpaket i varje åtkomstpaket som en princip för direkttilldelning, så att endast administratörer kan skapa tilldelningar. I den principen anger du åtkomstgranskningskraven för befintliga användare, om några, så att de inte behåller åtkomsten på obestämd tid. Om du har många åtkomstpaket kan du använda ett PowerShell-skript för att skapa varje åtkomstpaket i en katalog.
- Konfigurera åtkomstpaket för att framtvinga ansvarsfördelningskrav. Om du har ansvarsfördelningskrav konfigurerar du de inkompatibla åtkomstpaketen eller befintliga grupper för ditt åtkomstpaket. Om ditt scenario kräver möjligheten att åsidosätta en ansvarsavgränsningskontroll kan du även konfigurera ytterligare åtkomstpaket för dessa åsidosättningsscenarier.
- Lägg till tilldelningar av befintliga användare, som redan har åtkomst till programmet, till åtkomstpaketen. För varje åtkomstpaket tilldelar du befintliga användare av programmet i motsvarande roll, eller medlemmar i den gruppen, åtkomstpaketet och dess direkttilldelningsprincip. Du kan tilldela en användare direkt till ett åtkomstpaket med hjälp av administrationscentret för Microsoft Entra eller massvis via Graph eller PowerShell.
- Skapa ytterligare principer för att tillåta användare att begära åtkomst. I varje åtkomstpaket skapar du ytterligare principer för tilldelning av åtkomstpaket så att användarna kan begära åtkomst. Konfigurera kraven för godkännande och återkommande åtkomstgranskning i den principen.
- Skapa återkommande åtkomstgranskningar för andra grupper som används av programmet. Om det finns grupper som används av programmet men inte är resursroller för ett åtkomstpaket skapar du åtkomstgranskningar för medlemskap i dessa grupper.
Visa rapporter om åtkomst
Microsoft Entra ID och Microsoft Entra ID Governance med Azure Monitor innehåller flera rapporter som hjälper dig att förstå vem som har åtkomst till ett program och om de använder den åtkomsten.
- En administratör eller en katalogägare kan hämta listan över användare som har åtkomstpakettilldelningar via administrationscentret för Microsoft Entra, Graph eller PowerShell.
- Du kan också skicka granskningsloggarna till Azure Monitor och visa en historik över ändringar i åtkomstpaketet, i administrationscentret för Microsoft Entra eller via PowerShell.
- Du kan visa de senaste 30 dagarnas inloggningar till ett program i inloggningsrapporten i administrationscentret för Microsoft Entra eller via Graph.
- Du kan också skicka inloggningsloggarna till Azure Monitor för att arkivera inloggningsaktiviteten i upp till två år.
Övervaka för att justera principer för berättigandehantering och åtkomst efter behov
Med jämna mellanrum, till exempel veckovis, månadsvis eller kvartalsvis, baserat på mängden ändringar av programåtkomsttilldelningen för ditt program, använder du administrationscentret för Microsoft Entra för att säkerställa att åtkomst beviljas i enlighet med principerna. Du kan också se till att de identifierade användarna för godkännande och granskning fortfarande är rätt personer för dessa uppgifter.
Håll utkik efter programrolltilldelningar och gruppmedlemskapsändringar. Om du har konfigurerat Microsoft Entra-ID för att skicka granskningsloggen
Application role assignment activity
till Azure Monitor använder du i Azure Monitor för att övervaka och rapportera eventuella programrolltilldelningar som inte har gjorts via berättigandehantering. Om det finns rolltilldelningar som skapats direkt av en programägare bör du kontakta programägaren för att avgöra om tilldelningen har auktoriserats. Om programmet förlitar sig på Microsoft Entra-säkerhetsgrupper övervakar du även ändringar i dessa grupper.Titta också efter användare som beviljats åtkomst direkt i programmet. Om följande villkor uppfylls är det möjligt för en användare att få åtkomst till ett program utan att vara en del av Microsoft Entra-ID eller utan att läggas till i programmets användarkontoarkiv av Microsoft Entra-ID:
- Programmet har ett lokalt användarkontoarkiv i appen
- Användarkontoarkivet finns i en databas eller i en LDAP-katalog
- Programmet förlitar sig inte enbart på Microsoft Entra-ID för enkel inloggning.
För ett program med egenskaperna i föregående lista bör du regelbundet kontrollera att användarna bara har lagts till i programmets lokala användararkiv via Microsoft Entra-etablering. Om användare som har skapats direkt i programmet kontaktar du programägaren för att avgöra om tilldelningen har auktoriserats.
Se till att godkännare och granskare hålls uppdaterade. För varje åtkomstpaket som du konfigurerade i föregående avsnitt kontrollerar du att tilldelningsprinciperna för åtkomstpaket fortsätter att ha rätt godkännare och granskare. Uppdatera dessa principer om godkännare och granskare som tidigare har konfigurerats inte längre finns i organisationen eller har en annan roll.
Kontrollera att granskare fattar beslut under en granskning. Övervaka att återkommande åtkomstgranskningar för dessa åtkomstpaket slutförs korrekt för att säkerställa att granskarna deltar och fattar beslut om att godkänna eller neka användarens fortsatta behov av åtkomst.
Kontrollera att etablering och avetablering fungerar som förväntat. Om du tidigare hade konfigurerat etablering av användare till programmet, när resultatet av en granskning tillämpas eller om en användares tilldelning till ett åtkomstpaket upphör att gälla, börjar Microsoft Entra-ID avetablera nekade användare från programmet. Du kan övervaka processen för avetablering av användare. Om etableringen indikerar ett fel med programmet kan du ladda ned etableringsloggen för att undersöka om det uppstod ett problem med programmet.
Uppdatera Microsoft Entra-konfigurationen med eventuella roll- eller gruppändringar i programmet. Om programadministratören lägger till nya approller i sitt manifest, uppdaterar befintliga roller eller förlitar sig på ytterligare grupper måste du uppdatera åtkomstpaketen och åtkomstgranskningarna för att ta hänsyn till de nya rollerna eller grupperna.