Alkalmazások hozzáférésének szabályozása a környezetben

Microsoft Entra ID-kezelés lehetővé teszi, hogy a megfelelő folyamatokkal és láthatósággal kiegyensúlyozza a szervezet biztonsági és alkalmazotti hatékonyságra vonatkozó igényét. A funkciók biztosítják, hogy a megfelelő személyek megfelelő hozzáféréssel rendelkezzenek a megfelelő erőforrásokhoz a szervezetben a megfelelő időben.

A megfelelőségi követelményekkel vagy kockázatkezelési tervekkel rendelkező szervezetek érzékeny vagy üzleti szempontból kritikus alkalmazásokkal rendelkeznek. Az alkalmazás bizalmassága a célja vagy a benne található adatok, például a szervezet ügyfeleinek pénzügyi adatai vagy személyes adatai alapján történhet. Ezekben az alkalmazásokban a szervezet összes felhasználójának csak egy részhalmaza jogosult a hozzáférésre, és a hozzáférés csak dokumentált üzleti követelmények alapján engedélyezett. A szervezet hozzáférés-kezelési vezérlőinek részeként a Microsoft Entra funkcióit a következőkre használhatja:

• megfelelő hozzáférés beállítása
• felhasználók üzembe helyezése alkalmazásokhoz
• hozzáférés-ellenőrzések kényszerítése
• jelentéseket készíthet, amelyek bemutatják, hogyan használják ezeket az ellenőrzéseket a megfelelőségi és kockázatkezelési célkitűzések teljesítéséhez.

Az alkalmazáshozzáférés-szabályozási forgatókönyvön kívül más forgatókönyvekhez is használhat Microsoft Entra ID-kezelés funkciókat és a Microsoft Entra egyéb funkcióit, például a felhasználók áttekintését és eltávolítását más szervezetekből, vagy a feltételes hozzáférési szabályzatokból kizárt felhasználók kezelését. Ha szervezete több rendszergazdával rendelkezik a Microsoft Entra ID-ban vagy az Azure-ban, B2B vagy önkiszolgáló csoportkezelést használ, akkor érdemes megterveznie a hozzáférési felülvizsgálatok üzembe helyezését ezekhez a forgatókönyvekhez.

Licenckövetelmények

A funkció használatához Microsoft Entra ID-kezelés licencek szükségesek. A követelményeknek megfelelő licenc megtalálásához tekintse meg Microsoft Entra ID-kezelés licencelési alapjait.

Az alkalmazásokhoz való hozzáférés szabályozásának első lépései

Microsoft Entra ID-kezelés számos alkalmazással integrálható olyan szabványok használatával, mint az OpenID Csatlakozás, az SAML, az SCIM, az SQL és az LDAP. Ezen szabványok segítségével a Microsoft Entra ID-t számos népszerű SaaS-alkalmazással, helyszíni alkalmazással és a szervezet által kifejlesztett alkalmazásokkal használhatja. Miután előkészítette a Microsoft Entra-környezetet az alábbi szakaszban leírtak szerint, a három lépésből álló terv bemutatja, hogyan csatlakoztathat egy alkalmazást a Microsoft Entra-azonosítóhoz, és hogyan engedélyezheti az adott alkalmazás identitásszabályozási funkcióinak használatát.

1. A szervezeti szabályzatok meghatározása az alkalmazáshoz való hozzáférés szabályozásához
2. Integrálja az alkalmazást a Microsoft Entra-azonosítóval , hogy csak a jogosult felhasználók férhessenek hozzá az alkalmazáshoz, és tekintse át a felhasználó meglévő hozzáférését az alkalmazáshoz, és állítsa be az összes áttekintett felhasználó alapkonfigurációját. Ez lehetővé teszi a hitelesítést és a felhasználók kiépítését
3. Ezen szabályzatok üzembe helyezése az egyszeri bejelentkezés (SSO) szabályozásához és az adott alkalmazás hozzáférési hozzárendeléseinek automatizálásához

Előfeltételek a Microsoft Entra-azonosító és Microsoft Entra ID-kezelés identitásszabályozáshoz való konfigurálása előtt

Mielőtt elkezdené az alkalmazáshozzáférés szabályozását Microsoft Entra ID-kezelés, ellenőrizze, hogy a Microsoft Entra-környezet megfelelően van-e konfigurálva.

• Győződjön meg arról, hogy a Microsoft Entra-azonosító és a Microsoft Online Services-környezet készen áll az integrálandó és megfelelő licenccel rendelkező alkalmazások megfelelőségi követelményeire. A megfelelőség a Microsoft, a felhőszolgáltatók (CSP-k) és a szervezetek közös felelőssége. Ha a Microsoft Entra ID-t szeretné használni az alkalmazásokhoz való hozzáférés szabályozásához, az alábbi licenckombinációk egyikével kell rendelkeznie a bérlőjében:

  • Microsoft Entra ID-kezelés és előfeltétele, a Microsoft Entra ID P1
  • Microsoft Entra ID-kezelés P2 Microsoft Entra-azonosítóra és annak előfeltételeire vonatkozó lépés: P2 Microsoft Entra ID vagy Enterprise Mobility + Security (EMS) E5

  A bérlőnek legalább annyi licenccel kell rendelkeznie, mint azoknak a tagoknak (nem vendégfelhasználóknak) a száma, akik rendelkeznek vagy kérhetnek hozzáférést az alkalmazásokhoz, jóváhagyhatják vagy felülvizsgálhatják az alkalmazásokhoz való hozzáférést. Ha megfelelő licenccel rendelkezik ezekhez a felhasználókhoz, felhasználónként legfeljebb 1500 alkalmazáshoz szabályozhatja a hozzáférést.

• Ha ön fogja szabályozni a vendég alkalmazáshoz való hozzáférését, kapcsolja össze Microsoft Entra-bérlőjét egy MAU-számlázásra vonatkozó előfizetéssel. Erre a lépésre a vendégkérés vagy a hozzáférés ellenőrzése előtt van szükség. További információ: Microsoft Entra Külső ID számlázási modellje.

• Ellenőrizze, hogy a Microsoft Entra ID már elküldi-e a naplóját, és opcionálisan más naplókat is az Azure Monitorba. Az Azure Monitor nem kötelező, de hasznos az alkalmazásokhoz való hozzáférés szabályozásához, mivel a Microsoft Entra csak 30 napig tárolja a naplózási eseményeket a naplójában. A naplózási adatokat az alapértelmezett megőrzési időszaknál hosszabb ideig tárolhatja, a Microsoft Entra ID mennyi ideig tárolja a jelentéskészítési adatokat?, és használhatja az Azure Monitor-munkafüzeteket és egyéni lekérdezéseket és jelentéseket az előzménynapló-adatokról. A Microsoft Entra konfigurációjában ellenőrizheti, hogy az Azure Monitort használja-e, a Microsoft Entra Felügyeleti központban található Microsoft Entra-azonosítóban a Munkafüzetek elemre kattintva. Ha ez az integráció nincs konfigurálva, és rendelkezik Azure-előfizetéssel, és a szerepkörökben vagy Security Administrator szerepkörökben van, konfigurálhatja a Global Administrator Microsoft Entra-azonosítót az Azure Monitor használatára.

• Győződjön meg arról, hogy a Microsoft Entra-bérlőben csak a jogosult felhasználók rendelkeznek kiemelt rendszergazdai szerepkörökben. Rendszergazda istratorok a Global Rendszergazda istrator, Identity Governance Rendszergazda istrator, User Rendszergazda istrator, Application Rendszergazda istrator, Cloud Application Rendszergazda istrator és Privileged Role Rendszergazda istrator módosíthatja a felhasználókat és az alkalmazásszerepkör-hozzárendeléseket. Ha a szerepkörök tagságát még nem vizsgálták át nemrég, szüksége van egy olyan felhasználóra, aki a Globális Rendszergazda istrator vagy a Privileged Role Rendszergazda istrator tagja, hogy a címtárszerepkörök hozzáférés-felülvizsgálatát megkezdhesse. Arról is gondoskodnia kell, hogy az Azure-szerepkörök felhasználói az Azure Monitort, a Logic Appst és a Microsoft Entra-konfiguráció működéséhez szükséges egyéb erőforrásokat tartalmazó előfizetésekben felül legyenek vizsgálva.

• Ellenőrizze, hogy a bérlő megfelelő elkülönítésben van-e. Ha a szervezet helyszíni Active Directoryt használ, és ezek az AD-tartományok a Microsoft Entra-azonosítóhoz vannak csatlakoztatva, akkor gondoskodnia kell arról, hogy a felhőalapú szolgáltatások magas szintű rendszergazdai műveletei elkülönítve legyenek a helyszíni fiókoktól. Ellenőrizze, hogy konfigurálta-e a rendszereket a Microsoft 365-ös felhőkörnyezet helyszíni veszélyeztetés elleni védelméhez.

Miután ellenőrizte, hogy a Microsoft Entra-környezet készen áll-e, folytassa az alkalmazások szabályozási szabályzatainak meghatározásával.

Következő lépések

• Szabályozási szabályzatok definiálása
• Alkalmazás integrálása a Microsoft Entra-azonosítóval
• Szabályozási szabályzatok üzembe helyezése