定義組織原則以控管環境中的應用程式存取
當您識別出要使用 Microsoft Entra ID 來控管存取的一或多個應用程式後,請記下組織的原則,以判斷哪些使用者應具有存取權,以及系統應提供的任何其他條件約束。
選取應用程式及其範圍中的角色
具有合規性需求或風險管理計劃的組織會有敏感性或業務關鍵性應用程式。 如果此應用程式是您環境中的現有應用程式,您可能已記錄關於哪些人「應有權存取」此應用程式的存取原則。 如果沒有,您可能需要洽詢多方的專案關係人 (例如合規性和風險管理小組),以確定用來自動做出存取決策的原則適用於您的案例。
收集每個應用程式提供的角色和權限。 某些應用程式可能只有單一角色,例如,只有「使用者」角色的應用程式。 較複雜的應用程式可能會有多個角色需透過 Microsoft Entra ID 來管理。 這些應用程式角色通常會對具有該角色的使用者在應用程式內擁有的存取權施加廣泛的限制。 例如,具有系統管理員角色的應用程式可能有兩個角色:「使用者」和「系統管理員」。 其他應用程式可能也會依賴群組成員資格或宣告進行更精細的角色檢查,這些檢查可以在佈建或使用同盟 SSO 通訊協定發出的宣告中,從 Microsoft Entra ID 提供給應用程式,或以安全性群組成員資格寫入至 AD。 最後,可能有應用程式特定角色未出現在 Microsoft Entra ID 中,或許因為應用程式不允許在 Microsoft Entra ID 中定義系統管理員,而是依賴其本身的授權規則來識別系統管理員。 SAP 雲端識別服務只有一個角色 (使用者) 可供指派。
注意
如果您使用 Microsoft Entra 應用程式庫中支援佈建的應用程式,則 Microsoft Entra ID 可能會在應用程式中匯入已定義的角色,並在設定佈建之後,以應用程式的角色自動更新應用程式資訊清單。
選取哪些角色和群組具有要在 Microsoft Entra ID 中控管的成員資格。 根據合規性和風險管理需求,組織通常會優先處理提供特殊權限存取權或敏感性資訊存取權的應用程式角色或群組。
使用存取應用程式的必要條件和其他條件約束來定義組織的原則
在本節中,您將撰寫預計要用來判定應用程式存取權的組織原則。 您可以將其記錄為試算表中的資料表,例如
| 應用程式角色 | 存取的必要條件 | 核准者 | 預設存取持續時間 | 職責區分條件約束 | 條件式存取原則 |
|---|---|---|---|---|---|
| 西部銷售 | 銷售小組的成員 | 使用者的主管 | 每年檢閱 | 無法存取東部銷售 | 需要多重要素驗證 (MFA) 和註冊的裝置以進行存取 |
| 西部銷售 | 銷售部門外的任何員工 | 銷售部門主管 | 90 天 | N/A | 需要 MFA 和註冊的裝置以進行存取 |
| 西部銷售 | 非員工銷售代表 | 銷售部門主管 | 30 天 | N/A | 需要 MFA 以進行存取 |
| 東部銷售 | 銷售小組的成員 | 使用者的主管 | 每年檢閱 | 無法存取西部銷售 | 需要 MFA 和註冊的裝置以進行存取 |
| 東部銷售 | 銷售部門外的任何員工 | 銷售部門主管 | 90 天 | N/A | 需要 MFA 和註冊的裝置以進行存取 |
| 東部銷售 | 非員工銷售代表 | 銷售部門主管 | 30 天 | N/A | 需要 MFA 以進行存取 |
如果您已有組織角色定義,請參閱如何移轉組織角色以取得詳細資訊。
識別是否有必要條件需求,即使用者為了獲得應用程式的存取權所須符合的標準。 例如,在正常情況下,只有全職員工、特定部門或成本中心的員工才能存取特定部門的應用程式。 此外,您可以使用權利管理原則,要求其他部門中要求存取權的使用者必須通過一或多個額外核准者的核准。 雖然使用多階段的核准可能會導致使用者取得存取權的整體程序變慢,但這些額外的階段可確保存取要求的適切性,並釐清決策的權責。 例如,員工的存取要求可能需經過兩個階段的核准,首先由要求方使用者的經理核准,其次由負責管理應用程式所含資料的資源擁有者之一核准。
判定使用者在通過存取核准後應具有多久的存取權,及該存取權何時應失效。 對於許多應用程式,使用者可能會無限期地保留存取權,直到他們與組織已無關聯為止。 在某些情況下,存取權可能會繫結至特定專案或里程碑,因此在專案結束後,存取權將自動移除。 或者,如果只有少數使用者透過原則使用應用程式,您可以透過該原則設定成每季或每年檢閱每個人的存取權,以便定期監督。
如果您的組織已使用組織角色模型來管理存取權,請計劃將該組織角色模型帶入 Microsoft Entra ID。 您可能已定義一個組織角色,該角色會根據使用者的屬性指派存取權,例如其職位或部門。 這些程序可確保使用者最終會在不再需要存取時失去存取權,即使沒有預先決定的專案結束日期亦然。
詢問是否有職責區分條件約束。 例如,您可能有一個具有兩個應用程式角色 (西部銷售和東部銷售) 的應用程式,並想確保使用者一次只能有一個銷售領域。 請列出與您的應用程式不相容的任一組應用程式角色,如此,只要使用者有一個角色,即不允許他們要求第二個角色。
選取適當的條件式存取原則,以存取應用程式。 建議您分析您的應用程式,並將其分組,各應用程式組別對於相同的使用者具備相同的資源需求。 如果這是您要與 Microsoft Entra ID 控管整合以進行身分識別控管的第一個同盟 SSO 應用程式,您可能必須建立新的條件式存取原則來表示條件約束,例如多重要素驗證 (MFA) 或位置型存取的需求。 您可以將使用者設定為必須同意使用規定。 如需如何定義條件式存取原則的詳細資訊,請參閱規劃條件式存取部署 (部分機器翻譯)。
判定應如何處理準則的例外狀況。 例如,應用程式通常僅適用於指定的員工,但稽核者或廠商可能需要特定專案的暫時存取權。 或者,出差的員工可能需要從通常會遭到封鎖的位置 (因為您的組織在該處沒有據點) 存取。 在這些情況下,您也可以選擇使用具有不同階段、不同時間限制,或不同核准者的權利管理原則來進行核准。 在您的 Microsoft Entra 租用戶中以來賓使用者身分登入的廠商可能沒有管理員,因此,其存取要求可由組織的贊助者、資源擁有者或安全性人員進行核准。
當專案關係人檢閱誰應擁有存取權的組織政策時,您即可開始整合應用程式 與 Microsoft Entra ID。 如此,您就可以在稍後的步驟中部署組織核准的原則(部分機器翻譯),以進行 Microsoft Entra ID 控管下的存取。