Konfigurowanie środowiska testowego firmy Microsoft Entra aplikacji

  • Artykuł

Aby ułatwić przenoszenie aplikacji przez cykl projektowania, testowania i produkcji, skonfiguruj środowisko testowe firmy Microsoft Entra. Środowisko testowe Firmy Microsoft Entra można używać we wczesnych etapach tworzenia aplikacji i długoterminowego jako środowiska testowego.

Dedykowana dzierżawa testowa lub produkcyjna dzierżawa firmy Microsoft Entra?

Pierwszym zadaniem jest podjęcie decyzji między użyciem dzierżawy firmy Microsoft Entra dedykowanej do testowania lub dzierżawy produkcyjnej jako środowiska testowego.

Użycie dzierżawy produkcyjnej może ułatwić niektóre aspekty testowania aplikacji, ale wymaga odpowiedniego poziomu izolacji między zasobami testowymi i produkcyjnymi. Izolacja jest szczególnie ważna w scenariuszach o wysokich uprawnieniach.

Nie używaj produkcyjnej dzierżawy firmy Microsoft Entra, jeśli:

  • Aplikacja używa ustawień, które wymagają unikatowości całej dzierżawy. Na przykład aplikacja może wymagać dostępu do zasobów dzierżawy samodzielnie, a nie w imieniu użytkownika, przy użyciu uprawnień tylko do aplikacji. Dostęp tylko do aplikacji wymaga zgody administratora, która ma zastosowanie do całej dzierżawy. Takie uprawnienia trudno jest bezpiecznie ograniczyć zakres w granicach dzierżawy.
  • Masz niską tolerancję ryzyka dla potencjalnego nieautoryzowanego dostępu do zasobów testowych przez członków dzierżawy.
  • Zmiany konfiguracji mogą negatywnie wpłynąć na krytyczne działanie środowiska produkcyjnego.
  • Nie możesz utworzyć użytkowników lub innych danych testowych w dzierżawie produkcyjnej.
  • Zasady są włączone w dzierżawie produkcyjnej, która wymaga interakcji użytkownika podczas uwierzytelniania. Jeśli na przykład uwierzytelnianie wieloskładnikowe jest wymagane dla wszystkich użytkowników, nie można używać zautomatyzowanych logów do testowania integracji.
  • Dodanie zasobów nieprodukcyjnych i/lub obciążenia do dzierżawy produkcyjnej spowodowałoby przekroczenie limitów usługi lub ograniczenia przepustowości dla dzierżawy.

Jeśli którekolwiek z tych ograniczeń ma zastosowanie, skonfiguruj środowisko testowe w oddzielnej dzierżawie.

Jeśli żadne z tych ograniczeń nie ma zastosowania, możesz skonfigurować środowisko testowe w dzierżawie produkcyjnej. Należy pamiętać, że globalne Administracja istratory w dzierżawie produkcyjnej mogą w dowolnym momencie uzyskiwać dostęp do swoich zasobów i zmieniać konfigurację. Aby zapobiec dostępowi do jakichkolwiek zasobów testowych lub konfiguracji, umieść te dane w oddzielnej dzierżawie.

Konfigurowanie środowiska testowego w oddzielnej dzierżawie

Jeśli nie możesz bezpiecznie ograniczyć aplikacji testowej w dzierżawie produkcyjnej, utwórz oddzielną dzierżawę na potrzeby programowania i testowania.

Uzyskiwanie dzierżawy testowej

Jeśli nie masz jeszcze dedykowanej dzierżawy testowej, możesz ją utworzyć bezpłatnie przy użyciu programu deweloperów platformy Microsoft 365 lub ręcznie utworzyć go samodzielnie.

Program dla deweloperów platformy Microsoft 365 jest bezpłatny i może automatycznie dodawać konta użytkowników testowych i przykładowe pakiety danych do dzierżawy.

  1. Kliknij przycisk Dołącz teraz na ekranie.
  2. Zaloguj się przy użyciu nowego konta Microsoft lub użyj istniejącego konta (służbowego).
  3. Na stronie rejestracji wybierz swój region, wprowadź nazwę firmy i zaakceptuj warunki i postanowienia programu przed kliknięciem przycisku Dalej.
  4. Kliknij pozycję Skonfiguruj subskrypcję. Określ region, w którym chcesz utworzyć nową dzierżawę, utwórz nazwę użytkownika, domenę i wprowadź hasło. Spowoduje to utworzenie nowej dzierżawy i pierwszego administratora dzierżawy.
  5. Wprowadź informacje o zabezpieczeniach, które są potrzebne do ochrony konta administratora nowej dzierżawy. Spowoduje to skonfigurowanie uwierzytelniania wieloskładnikowego dla konta.

Ręczne tworzenie dzierżawy

Możesz ręcznie utworzyć dzierżawę, która będzie pusta podczas tworzenia i będzie musiała zostać skonfigurowana przy użyciu danych testowych.

Wypełnianie dzierżawy użytkownikami

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Dla wygody możesz zaprosić siebie i innych członków zespołu deweloperów do bycia użytkownikami-gośćmi w dzierżawie. Spowoduje to utworzenie oddzielnych obiektów gościa w dzierżawie testowej, ale oznacza to, że musisz zarządzać tylko jednym zestawem poświadczeń dla konta firmowego i konta testowego.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako deweloper aplikacji.
  2. Przejdź do pozycji Tożsamość>Użytkownicy>Wszyscy użytkownicy.
  3. Wybierz pozycję Nowy użytkownik Zaproś użytkownika> zewnętrznego i zaproś swój adres e-mail konta służbowego.
  4. Powtórz dla innych członków zespołu deweloperów i/lub testowych dla aplikacji.

Możesz również utworzyć użytkowników testowych w dzierżawie testowej. Jeśli użyto jednego z przykładowych pakietów platformy Microsoft 365, być może masz już niektórych użytkowników testowych w dzierżawie. Jeśli nie, musisz mieć możliwość samodzielnego utworzenia roli administratora dzierżawy.

  1. Przejdź do pozycji Tożsamość>Użytkownicy>Wszyscy użytkownicy.
  2. Wybierz pozycję Nowy użytkownik Utwórz nowego użytkownika> i utwórz nowych użytkowników testowych w katalogu.

Uzyskiwanie subskrypcji firmy Microsoft Entra (opcjonalnie)

Jeśli chcesz w pełni przetestować funkcje microsoft Entra ID P1 lub P2 w aplikacji, musisz zarejestrować dzierżawę w celu uzyskania licencji Premium P1 lub Premium P2.

Jeśli zarejestrujesz się przy użyciu programu Microsoft 365 Developer, dzierżawa testowa będzie korzystać z licencji Microsoft Entra ID P2. Jeśli nie, nadal możesz włączyć miesięczną bezpłatną wersję próbną microsoft Entra ID P1 lub P2.

Tworzenie i konfigurowanie rejestracji aplikacji

Musisz utworzyć rejestrację aplikacji do użycia w środowisku testowym. Powinna to być oddzielna rejestracja od rejestracji ostatecznej aplikacji produkcyjnej, aby zachować izolację zabezpieczeń między środowiskiem testowym a środowiskiem produkcyjnym. Sposób konfigurowania aplikacji zależy od typu tworzonej aplikacji. Aby uzyskać więcej informacji, zapoznaj się z krokami rejestracji aplikacji dla scenariusza aplikacji w okienku nawigacji po lewej stronie, podobnie jak w tym artykule dotyczącym rejestracji aplikacji internetowej.

Wypełnianie dzierżawy zasadami

Jeśli aplikacja będzie używana głównie przez jedną organizację (często nazywaną pojedynczą dzierżawą) i masz dostęp do tej dzierżawy produkcyjnej, należy spróbować zreplikować ustawienia dzierżawy produkcyjnej, które mogą mieć wpływ na zachowanie aplikacji. Pozwoli to zmniejszyć prawdopodobieństwo nieoczekiwanych błędów podczas pracy w środowisku produkcyjnym.

Zasady dostępu warunkowego

Replikowanie zasad dostępu warunkowego gwarantuje, że nie napotkasz nieoczekiwanego zablokowanego dostępu podczas przechodzenia do środowiska produkcyjnego, a aplikacja może odpowiednio obsłużyć błędy, które prawdopodobnie będą odbierane.

Wyświetlanie zasad dostępu warunkowego dzierżawy produkcyjnej może być konieczne przez Administracja istrator dostępu warunkowego.

  1. Przejdź do pozycji Identity Applications Enterprise Applications Conditional Access (Dostęp warunkowy aplikacji dla przedsiębiorstw w aplikacjach>>dla>przedsiębiorstw).
  2. Wyświetl listę zasad w dzierżawie. Kliknij pierwszy.
  3. Przejdź do obszaru Aplikacje lub akcje w chmurze.
  4. Jeśli zasady dotyczą tylko wybranej grupy aplikacji, przejdź do następnych zasad. Jeśli tak nie jest, prawdopodobnie zostanie ona zastosowana do aplikacji, a także po przejściu do środowiska produkcyjnego. Należy skopiować zasady do dzierżawy testowej.

W nowej karcie lub sesji przeglądarki zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator dostępu warunkowego, aby uzyskać dostęp do dzierżawy testowej.

  1. Przejdź do strony Ochrona>dostępu warunkowego.
  2. Wybierz pozycję Utwórz nowe zasady
  3. Skopiuj ustawienia z zasad dzierżawy produkcyjnej zidentyfikowanych w poprzednich krokach.

Zasady udzielania uprawnień

Zasady udzielania uprawnień replikowania zapewniają, że nie występują nieoczekiwane monity o zgodę administratora podczas przechodzenia do środowiska produkcyjnego.

Przejdź do pozycji Identity>Applications Dla aplikacji>>dla przedsiębiorstw Zgoda i uprawnienia>Ustawienia zgody użytkownika. Skopiuj ustawienia do dzierżawy testowej.

Zasady okresu istnienia tokenu

Replikowanie zasad okresu istnienia tokenu gwarantuje, że tokeny wystawione dla aplikacji nie wygasną nieoczekiwanie w środowisku produkcyjnym.

Zasady okresu istnienia tokenu można obecnie zarządzać tylko za pomocą programu PowerShell. Przeczytaj o konfigurowalnych okresach istnienia tokenów, aby dowiedzieć się więcej na temat identyfikowania zasad okresu istnienia tokenu, które mają zastosowanie do całej organizacji produkcyjnej. Skopiuj te zasady do dzierżawy testowej.

Konfigurowanie środowiska testowego w dzierżawie produkcyjnej

Jeśli możesz bezpiecznie ograniczyć aplikację testową w dzierżawie produkcyjnej, przejdź do przodu i skonfiguruj dzierżawę do celów testowych.

Tworzenie i konfigurowanie rejestracji aplikacji

Musisz utworzyć rejestrację aplikacji do użycia w środowisku testowym. Powinna to być oddzielna rejestracja od rejestracji ostatecznej aplikacji produkcyjnej, aby zachować izolację zabezpieczeń między środowiskiem testowym a środowiskiem produkcyjnym. Sposób konfigurowania aplikacji zależy od typu tworzonej aplikacji. Aby uzyskać więcej informacji, zapoznaj się z krokami rejestracji aplikacji dla scenariusza aplikacji w okienku nawigacji po lewej stronie.

Tworzenie niektórych użytkowników testowych

Musisz utworzyć niektórych użytkowników testowych ze skojarzonymi danymi testowymi, aby używać ich podczas testowania scenariuszy. Może być konieczne wykonanie tego kroku przez administratora.

  1. Przejdź do pozycji Tożsamość>Użytkownicy>Wszyscy użytkownicy.
  2. Wybierz pozycję Nowy użytkownik Utwórz nowego użytkownika> i utwórz nowych użytkowników testowych w katalogu.

Dodawanie użytkowników testowych do grupy (opcjonalnie)

Dla wygody można przypisać wszystkich tych użytkowników do grupy, co ułatwia wykonywanie innych operacji przypisywania.

  1. Przejdź do pozycji Grupy tożsamości>>Wszystkie grupy.
  2. Wybierz pozycję Nowa grupa.
  3. Wybierz pozycję Zabezpieczenia lub Platforma Microsoft 365 dla typu grupy.
  4. Nadaj grupie nazwę.
  5. Dodaj użytkowników testowych utworzonych w poprzednim kroku.

Ograniczanie aplikacji testowej do określonych użytkowników

Możesz ograniczyć użytkowników w dzierżawie, którzy mogą używać aplikacji testowej do określonych użytkowników lub grup za pomocą przypisania użytkownika. Po utworzeniu aplikacji za pośrednictwem Rejestracje aplikacji reprezentacja aplikacji została również utworzona w aplikacjach dla przedsiębiorstw. Użyj ustawień aplikacji dla przedsiębiorstw, aby ograniczyć, kto może używać aplikacji w dzierżawie.

Ważne

Jeśli aplikacja jest aplikacją wielodostępną, ta operacja nie ogranicza użytkowników w innych dzierżawach do logowania się do aplikacji i korzystania z tej aplikacji. Ograniczy tylko użytkowników w dzierżawie, w których skonfigurowano przypisanie użytkownika.

Aby uzyskać szczegółowe instrukcje dotyczące ograniczania aplikacji do określonych użytkowników w dzierżawie, przejdź do tematu ograniczenia aplikacji do zestawu użytkowników.

Następne kroki

Dowiedz się więcej o ograniczeniach użycia i limitach usług firmy Microsoft, które możesz osiągnąć tutaj. Ogólne limity subskrypcji i usług platformy Azure, limity przydziału i ograniczenia można znaleźć tutaj.

Aby uzyskać bardziej szczegółowe informacje na temat środowisk testowych, zobacz Zabezpieczanie środowisk platformy Azure przy użyciu identyfikatora Entra firmy Microsoft.