Styra åtkomsten för program i din miljö
Med Microsoft Entra ID Governance kan du balansera organisationens behov av säkerhet och medarbetarnas produktivitet med rätt processer och synlighet. Dess funktioner säkerställer att rätt personer har rätt åtkomst till rätt resurser i din organisation vid rätt tidpunkt.
Organisationer med efterlevnadskrav eller riskhanteringsplaner har känsliga eller affärskritiska program. Programmets känslighet kan baseras på dess syfte eller de data som det innehåller, till exempel ekonomisk information eller personlig information om organisationens kunder. För dessa program kommer endast en delmängd av alla användare i organisationen vanligtvis att ha behörighet att ha åtkomst, och åtkomst bör endast tillåtas baserat på dokumenterade affärskrav. Som en del av organisationens kontroller för att hantera åtkomst kan du använda Microsoft Entra-funktioner för att:
- konfigurera lämplig åtkomst
- etablera användare till program
- framtvinga åtkomstkontroller
- skapa rapporter för att visa hur dessa kontroller används för att uppfylla dina efterlevnads- och riskhanteringsmål.
Förutom scenariot för styrning av programåtkomst kan du även använda Microsoft Entra ID-styrningsfunktioner och andra Microsoft Entra-funktioner för andra scenarier, till exempel granska och ta bort användare från andra organisationer eller hantera användare som är undantagna från principer för villkorlig åtkomst. Om din organisation har flera administratörer i Microsoft Entra ID eller Azure, använder B2B eller grupphantering via självbetjäning bör du planera en distribution av åtkomstgranskningar för dessa scenarier.
Licenskrav
För att kunna använda den här funktionen krävs Microsoft Entra ID-styrning eller Microsoft Entra Suite-licenser. Information om hur du hittar rätt licens för dina krav finns i Grunderna för Microsoft Entra ID-styrningslicensiering.
Komma igång med att styra åtkomsten till program
Microsoft Entra ID-styrning kan integreras med många program med hjälp av standarder som OpenID Connect, SAML, SCIM, SQL och LDAP. Med dessa standarder kan du använda Microsoft Entra-ID med många populära SaaS-program, lokala program och program som din organisation har utvecklat. När du har förberett din Microsoft Entra-miljö, enligt beskrivningen i avsnittet nedan, beskriver trestegsplanen hur du ansluter ett program till Microsoft Entra-ID och gör det möjligt att använda identitetsstyrningsfunktioner för programmet.
- Definiera organisationens principer för att styra åtkomsten till programmet
- Integrera programmet med Microsoft Entra-ID för att säkerställa att endast behöriga användare kan komma åt programmet och granska användarens befintliga åtkomst till programmet för att ange en baslinje för alla användare som har granskats. Detta möjliggör autentisering och användaretablering
- Distribuera dessa principer för att kontrollera enkel inloggning (SSO) och automatisera åtkomsttilldelningar för programmet
Förutsättningar innan du konfigurerar Microsoft Entra-ID och Microsoft Entra ID-styrning för identitetsstyrning
Innan du påbörjar processen med att styra programåtkomst från Microsoft Entra ID-styrning bör du kontrollera att din Microsoft Entra-miljö är korrekt konfigurerad.
Se till att din Microsoft Entra-ID och Microsoft Online Services-miljö är redo för efterlevnadskraven för att programmen ska integreras och licensieras korrekt. Efterlevnad är ett delat ansvar mellan Microsoft, molntjänstleverantörer och organisationer. Om du vill använda Microsoft Entra-ID för att styra åtkomsten till program måste du ha någon av följande licenskombinationer i klientorganisationen:
- Microsoft Entra ID-styrning och dess krav, Microsoft Entra ID P1
- Microsoft Entra ID Governance Step Up for Microsoft Entra ID P2 and its prerequisite, either Microsoft Entra ID P2 or Enterprise Mobility + Security (EMS) E5
Din klient måste ha minst lika många licenser som antalet medlemsanvändare (icke-gästanvändare) som styrs, inklusive de som har eller kan begära åtkomst till programmen, godkänna eller granska åtkomsten till programmen. Med en lämplig licens för dessa användare kan du sedan styra åtkomsten till upp till 1 500 program per användare.
Om du kommer att styra gästens åtkomst till programmet länkar du din Microsoft Entra-klientorganisation till en prenumeration för MAU-fakturering. Det här steget är nödvändigt innan du har en gästbegäran eller granskar deras åtkomst. Mer information finns i faktureringsmodellen för Externt ID för Microsoft Entra.
Kontrollera att Microsoft Entra-ID redan skickar granskningsloggen och eventuellt andra loggar till Azure Monitor. Azure Monitor är valfritt, men användbart för att styra åtkomsten till appar, eftersom Microsoft Entra endast lagrar granskningshändelser i upp till 30 dagar i granskningsloggen. Du kan behålla granskningsdata under längre tid än standardkvarhållningsperioden, som beskrivs i Hur länge lagrar Microsoft Entra-ID rapporteringsdata?, och använda Azure Monitor-arbetsböcker och anpassade frågor och rapporter om historiska granskningsdata. Du kan kontrollera Microsoft Entra-konfigurationen för att se om den använder Azure Monitor i Microsoft Entra-ID i administrationscentret för Microsoft Entra genom att klicka på Arbetsböcker. Om den här integreringen inte har konfigurerats och du har en Azure-prenumeration och har rollerna
Global Administrator
ellerSecurity Administrator
kan du konfigurera Microsoft Entra-ID:t att använda Azure Monitor.Kontrollera att endast behöriga användare har de mycket privilegierade administrativa rollerna i din Microsoft Entra-klientorganisation. Administratörer i global administratör, identitetsstyrningsadministratör, användaradministratör, programadministratör, molnprogramadministratör och privilegierad rolladministratör kan göra ändringar i användare och deras programrolltilldelningar. Om medlemskapen i dessa roller ännu inte har granskats nyligen behöver du en användare som är global administratör eller privilegierad rolladministratör för att säkerställa att åtkomstgranskningen av dessa katalogroller startas. Du bör också se till att användare i Azure-roller i prenumerationer som innehåller Azure Monitor, Logic Apps och andra resurser som behövs för att använda Microsoft Entra-konfigurationen har granskats.
Kontrollera att klientorganisationen har lämplig isolering. Om din organisation använder Active Directory lokalt och dessa AD-domäner är anslutna till Microsoft Entra-ID måste du se till att mycket privilegierade administrativa åtgärder för molnbaserade tjänster är isolerade från lokala konton. Kontrollera att du har konfigurerat dina system för att skydda din Microsoft 365-molnmiljö från lokala kompromisser.
När du har kontrollerat att Din Microsoft Entra-miljö är klar fortsätter du med att definiera styrningsprinciperna för dina program.