Tutorial: Verwalten von Anwendungszugriff und Sicherheit

Der IT-Administrator bei Fabrikam hat eine Anwendung aus dem Microsoft Entra-Anwendungskatalog hinzugefügt und konfiguriert. Er muss nun die Funktionen kennen, die zum Verwalten des Zugriffs auf die Anwendung verfügbar sind, und sicherstellen, dass die Anwendung sicher ist. Anhand der Informationen in diesem Tutorial lernen Administratoren Folgendes:

• Erteilen der Zustimmung für die Anwendung im Namen aller Benutzer
• Aktivieren der Multi-Faktor-Authentifizierung, um die Anmeldung sicherer zu machen
• Kommunizieren eines Nutzungsbegriffs für Benutzer der Anwendung
• Erstellen einer Sammlung im „Meine Apps“-Portal

Voraussetzungen

• Ein Azure-Konto mit einem aktiven Abonnement. Erstellen Sie kostenlos ein Konto.
• Eine der folgenden Rollen: Administrator für privilegierte Rollen, Cloudanwendungsadministrator oder Anwendungsadministrator.
• Eine Unternehmensanwendung, die in Ihrem Microsoft Entra-Mandanten konfiguriert wurde.
• Mindestens ein Benutzerkonto wurde der Anwendung hinzugefügt und zugewiesen. Weitere Informationen finden Sie in der Schnellstartanleitung: Erstellen und Zuweisen eines Benutzerkontos.

Erteilen einer mandantenweiten Administratoreinwilligung

Die Anwendung, die der Administrator dem Mandanten hinzugefügt hat, soll so eingerichtet werden, dass alle Benutzer in der Organisation sie verwenden können und nicht einzeln die Zustimmung zur Verwendung anfordern müssen. Damit keine Benutzereinwilligung erforderlich ist, kann er die Einwilligung für die Anwendung für alle Benutzer in der Organisation erteilen. Weitere Informationen finden Sie in der Übersicht über Zustimmung und Berechtigungen.

1. Melden Sie sich mindestens als Cloudanwendungsadministrator beim Microsoft Entra Admin Center an.
2. Navigieren Sie zu Entra ID>Enterprise-Apps.
3. Wählen Sie die Anwendung aus, der Sie eine mandantenweite Administratoreinwilligung erteilen möchten.
4. Wählen Sie unter "Sicherheit" die Option "Berechtigungen" aus.
5. Überprüfen Sie sorgfältig die Berechtigungen, die die Anwendung anfordert. Wenn Sie den berechtigungen zustimmen, die die Anwendung erfordert, wählen Sie "Administratorzustimmung erteilen" aus.

Erstellen einer Richtlinie für bedingten Zugriff

Der Administrator möchte sicherstellen, dass sich nur die Personen, die er der Anwendung zuweist, sicher anmelden können. Hierzu kann er eine Richtlinie für bedingten Zugriff für eine Gruppe von Benutzern konfigurieren, die die Multi-Faktor-Authentifizierung erzwingt. Weitere Informationen finden Sie unter Was ist bedingter Zugriff?.

Erstellen einer Gruppe

Es ist für einen Administrator einfacher, den Zugriff auf die Anwendung zu verwalten, indem er alle Benutzer der Anwendung einer Gruppe zuweist. Der Administrator kann dann den Zugriff auf Gruppenebene verwalten.

1. Wählen Sie im linken Menü der Mandantenübersicht "Alle> aus.
2. Wählen Sie oben im Bereich " Neue Gruppe" aus.
3. Geben Sie MFA-Test-Group für den Namen der Gruppe ein.
4. Wählen Sie „Keine Mitglieder ausgewählt“ und dann das Benutzerkonto aus, das Sie der Anwendung zugewiesen haben.
5. Wählen Sie "Erstellen" aus.

Erstellen einer Richtlinie für bedingten Zugriff für die Gruppe

1. Wählen Sie im linken Menü der Mandantenübersicht Entra ID>Conditional Access aus.
2. Wählen Sie +Neue Richtlinie und dann " Neue Richtlinie erstellen" aus.
3. Geben Sie einen Namen für die Richtlinie ein, z. B. MFA-Pilot.
4. Wählen Sie unter AufgabenBenutzer oder Workload-Identitäten aus.
5. Wählen Sie auf der Registerkarte "Einschließen " die Option " Benutzer und Gruppen auswählen" und dann "Benutzer und Gruppen" aus.
6. Suchen Sie nach der MFA-Test-Group, die Sie zuvor erstellt haben, wählen Sie sie aus, und wählen Sie dann Auswählen aus.
7. Wählen Sie noch nicht Erstellen aus. Sie fügen der Richtlinie im nächsten Abschnitt MFA hinzu.

Konfigurieren der mehrstufigen Authentifizierung

In diesem Tutorial kann der Administrator die grundlegenden Schritte zum Konfigurieren der Anwendung finden, aber er sollte vor dem Start einen Plan für MFA erstellen. Weitere Informationen finden Sie unter Planen einer mehrstufigen Bereitstellung der Microsoft Entra-Authentifizierung.

1. Wählen Sie unter Cloud-Apps oder -Aktionen"Keine Cloud-Apps, -Aktionen oder -Authentifizierungskontexte" aus. Wählen Sie in diesem Lernprogramm auf der Registerkarte "Einschließen " die Option "Ressourcen auswählen" aus.
2. Suchen Sie nach Ihrer Anwendung, und wählen Sie sie aus, und wählen Sie dann "Auswählen" aus.
3. Wählen Sie unter Zugriffssteuerungen und Erteilen die Option 0 Steuerelemente ausgewählt aus.
4. Aktivieren Sie das Kontrollkästchen für Multifaktor-Authentifizierung erforderlich machen, und wählen Sie dann "Auswählen".
5. Legen Sie Richtlinie aktivieren auf Ein fest.
6. Um die Richtlinie für bedingten Zugriff anzuwenden, wählen Sie "Erstellen" aus.

Testen der Multi-Faktor-Authentifizierung

1. Öffnen Sie ein neues Browserfenster im InPrivate- oder Inkognitomodus, und navigieren Sie zur URL der Anwendung.
2. Melden Sie sich mit dem Benutzerkonto an, das Sie der Anwendung zugewiesen haben. Sie müssen sich für die Multi-Faktor-Authentifizierung von Microsoft Entra registrieren und diese verwenden. Befolgen Sie die angezeigten Anweisungen, um den Prozess abzuschließen und zu verifizieren, dass Sie sich beim Microsoft Entra Admin Center anmelden können.
3. Schließen Sie das Browserfenster.

Erstellen einer Nutzungsbedingungenanweisung

Juan möchte sicherstellen, dass bestimmte Geschäftsbedingungen den Benutzern bekannt sind, bevor sie mit der Verwendung der Anwendung beginnen. Weitere Informationen finden Sie unter Microsoft Entra Nutzungsbedingungen.

1. Erstellen Sie in Microsoft Word ein neues Dokument.
2. Geben Sie "Meine Nutzungsbedingungen" ein, und speichern Sie das Dokument dann auf Ihrem Computer als mytou.pdf.
3. Wählen Sie unter "Verwalten" im Menü " Bedingter Zugriff " die Nutzungsbedingungen aus.
4. Wählen Sie im oberen Menü +Neue Ausdrücke aus.
5. Geben Sie im Textfeld "Name""My TOU" ein.
6. Geben Sie im Textfeld "Anzeigename" den Namen "My TOU" ein.
7. Laden Sie Ihre Nutzungsbedingungen als PDF-Datei hoch.
8. Wählen Sie für "Sprache" die Option "Englisch" aus.
9. Wählen Sie für Benutzer müssen die Nutzungsbedingungen erweitern die Option Ein aus.
10. Wählen Sie für Mit Richtlinienvorlagen für bedingten Zugriff erzwingen die Option Benutzerdefinierte Richtlinie aus.
11. Wählen Sie "Erstellen" aus.

Hinzufügen der Nutzungsbedingungen zur Richtlinie

1. Navigieren Sie zu Entra ID-Richtlinien> fürbedingten Zugriff>.
2. Wählen Sie in der Liste der Richtlinien die MFA-Pilotrichtlinie aus.
3. Wählen Sie unter Zugriffssteuerungen und Erteilen den Link „Steuerelemente ausgewählt“ aus.
4. Wählen Sie Meine Nutzungsbedingungen aus.
5. Wählen Sie "Alle ausgewählten Steuerelemente anfordern" aus, und wählen Sie dann "Auswählen" aus.
6. Wählen Sie "Speichern" aus.

Erstellen einer Sammlung im „Meine Apps“-Portal

Mit dem „Meine Apps“-Portal können Administratoren und Benutzer die in der Organisation verwendeten Anwendungen verwalten. Weitere Informationen finden Sie unter Endbenutzeroberflächen für Anwendungen.

Hinweis

Anwendungen werden erst dann im Portal „Meine Apps“ eines Benutzers angezeigt, nachdem der Benutzer der Anwendung zugewiesen wurde und die Anwendung so konfiguriert ist, dass sie für Benutzer sichtbar ist. Informationen zum Sichtbarmachen der Anwendung für Benutzer finden Sie unter Konfigurieren von Anwendungseigenschaften .

Standardmäßig werden alle Anwendungen auf einer einzelnen Seite aufgelistet. Sie können jedoch mithilfe von Auflistungen verwandte Anwendungen gruppieren und sie auf einer separaten Registerkarte präsentieren, damit sie leichter zu finden sind. So können Sie mit Auflistungen beispielsweise logische Gruppierungen von Anwendungen für bestimmte Positionen, Aufgaben, Projekte usw. erstellen. In diesem Abschnitt erstellen Sie eine Sammlung und weisen sie Benutzern und Gruppen zu.

1. Melden Sie sich mindestens als Cloudanwendungsadministrator beim Microsoft Entra Admin Center an.
2. Navigieren Sie zu Entra ID>Enterprise-Apps .
3. Unter Verwalten wählen Sie App-Startprogramme>Sammlungen aus.
4. Wählen Sie "Neue Sammlung" aus. Geben Sie auf der Seite "Neue Sammlung" einen Namen für die Auflistung ein (es wird empfohlen, "Collection" nicht im Namen zu verwenden). Geben Sie dann eine Beschreibung ein.
5. Wählen Sie die Registerkarte "Anwendungen " aus. Wählen Sie +Anwendung hinzufügen aus, und wählen Sie dann auf der Seite "Anwendungen hinzufügen" alle Anwendungen aus, die Sie der Auflistung hinzufügen möchten, oder verwenden Sie das Suchfeld, um Anwendungen zu finden.
6. Wenn Sie mit dem Hinzufügen von Anwendungen fertig sind, wählen Sie "Hinzufügen" aus. Die Liste der ausgewählten Anwendungen wird angezeigt. Mithilfe der Pfeile können Sie die Reihenfolge der Anwendungen in der Liste ändern.
7. Wählen Sie die Registerkarte " Besitzer" aus . Wählen Sie +Benutzer und Gruppen hinzufügen aus, und wählen Sie dann auf der Seite "Benutzer und Gruppen hinzufügen" die Benutzer oder Gruppen aus, die Sie den Besitz zuweisen möchten. Wenn Sie mit der Auswahl von Benutzern und Gruppen fertig sind, wählen Sie "Auswählen" aus.
8. Wählen Sie die Registerkarte "Benutzer und Gruppen" aus . Wählen Sie +Benutzer und Gruppen hinzufügen aus, und wählen Sie dann auf der Seite " Benutzer und Gruppen hinzufügen " die Benutzer oder Gruppen aus, die Sie der Sammlung zuweisen möchten. Oder verwenden Sie das Feld Suchen, um nach Benutzern oder Gruppen zu suchen. Wenn Sie mit der Auswahl von Benutzern und Gruppen fertig sind, wählen Sie "Auswählen" aus.
9. Wählen Sie "Überprüfen" und "Erstellen" und dann " Erstellen" aus. Die Eigenschaften für die neue Sammlung werden angezeigt.

Überprüfen der Sammlung im Portal „Meine Apps“

1. Öffnen Sie ein neues Browserfenster im InPrivate- oder Inkognitomodus, und navigieren Sie zum Portal "Meine Apps ".
2. Melden Sie sich mit dem Benutzerkonto an, das Sie der Anwendung zugewiesen haben.
3. Überprüfen Sie, ob die erstellte Sammlung im Portal „Meine Apps“ angezeigt wird.
4. Schließen Sie das Browserfenster.

Bereinigen von Ressourcen

Sie können die Ressourcen für die zukünftige Verwendung beibehalten. Wenn Sie die in diesem Tutorial erstellten Ressourcen nicht mehr verwenden möchten, löschen Sie sie mit den folgenden Schritten.

Löschen der Anwendung

1. Wählen Sie im linken Menü Enterprise-Anwendungen aus. Der Bereich "Alle Anwendungen " wird geöffnet und zeigt eine Liste der Anwendungen in Ihrem Microsoft Entra-Mandanten an. Suchen Sie nach der Anwendung, die Sie löschen möchten, und wählen Sie diese aus.
2. Wählen Sie im Abschnitt "Verwalten" im linken Menü "Eigenschaften" aus.
3. Wählen Sie oben im Eigenschaftenbereich"Löschen" und dann " Ja " aus, um zu bestätigen, dass Sie die Anwendung aus Ihrem Microsoft Entra-Mandanten löschen möchten.

Löschen der Richtlinie für bedingten Zugriff

1. Unter Entra ID>Richtlinien> für bedingten Zugriff.
2. Suchen Sie nach dem MFA-Pilotprojekt, und wählen Sie es aus.
3. Wählen Sie oben im Bereich "Löschen" aus.

Die Gruppe löschen.

1. Wählen Sie Entra-ID-Gruppen> aus.
2. Suchen Sie auf der Seite "Alle Gruppen " nach der Gruppe "MFA-Test-Group" , und wählen Sie sie aus.
3. Wählen Sie auf der Übersichtsseite "Löschen" aus.

Nächste Schritte

Informationen dazu, wie Sie sicherstellen können, dass Ihre Anwendung fehlerfrei ist und ordnungsgemäß verwendet wird, finden Sie unter:

Steuern und Überwachen Ihrer Anwendung