Udostępnianie kont za pomocą identyfikatora Microsoft Entra ID

Omówienie

W usłudze Microsoft Entra ID, część firmy Microsoft Entra, czasami organizacje muszą używać jednej nazwy użytkownika i hasła dla wielu osób, co często występuje w następujących przypadkach:

• W przypadku uzyskiwania dostępu do aplikacji, które wymagają unikatowego logowania i hasła dla każdego użytkownika, niezależnie od tego, czy aplikacje lokalne, czy usługi w chmurze dla konsumentów (na przykład firmowe konta w mediach społecznościowych).
• Podczas tworzenia środowisk z wieloma użytkownikami. Być może masz jedno konto lokalne z podwyższonym poziomem uprawnień i służy do wykonywania podstawowych działań związanych z konfiguracją, administracją i odzyskiwaniem. Na przykład konto usługi Application Administracja istrator dla platformy Microsoft 365 lub konta głównego w usłudze Salesforce.

Tradycyjnie te konta są udostępniane przez dystrybucję poświadczeń (nazwy użytkownika i hasła) do odpowiednich osób lub przechowywanie ich w lokalizacji udostępnionej, w której wielu zaufanych agentów może uzyskać do nich dostęp.

Tradycyjny model udostępniania ma kilka wad:

• Włączenie dostępu do nowych aplikacji wymaga dystrybuowania poświadczeń do wszystkich, którzy potrzebują dostępu.
• Każda aplikacja udostępniona może wymagać własnego unikatowego zestawu poświadczeń udostępnionych, co wymaga od użytkowników zapamiętania wielu zestawów poświadczeń. Gdy użytkownicy muszą pamiętać wiele poświadczeń, ryzyko zwiększa się, że uciekają się do ryzykownych praktyk. (na przykład zapisywanie haseł).
• Nie można określić, kto ma dostęp do aplikacji.
• Nie można określić, kto uzyskiwał dostęp do aplikacji.
• Jeśli chcesz usunąć dostęp do aplikacji, musisz zaktualizować poświadczenia i rozpowszechnić je wszystkim, którzy potrzebują dostępu do tej aplikacji.

Udostępnianie konta Microsoft Entra

Microsoft Entra ID zapewnia nowe podejście do korzystania z kont udostępnionych, które eliminują te wady.

Administrator firmy Microsoft Entra konfiguruje aplikacje, do których użytkownik może uzyskać dostęp, korzystając z Panel dostępu i wybierając typ logowania jednokrotnego najlepiej odpowiedni dla tej aplikacji. Jedno z tych typów, oparte na hasłach logowanie jednokrotne, umożliwia usłudze Microsoft Entra ID działanie jako rodzaj "brokera" podczas procesu logowania dla tej aplikacji.

Użytkownicy logują się raz przy użyciu konta organizacyjnego. To konto jest tym samym, którego regularnie używają do uzyskiwania dostępu do pulpitu lub poczty e-mail. Mogą odnajdywać i uzyskiwać dostęp tylko do tych aplikacji, do których są przypisane. W przypadku kont udostępnionych ta lista aplikacji może zawierać dowolną liczbę poświadczeń udostępnionych. Użytkownik końcowy nie musi pamiętać ani zapisywać różnych kont, z których mogą korzystać.

Udostępnione konta nie tylko zwiększają nadzór i zwiększają użyteczność, ale także zwiększają bezpieczeństwo użytkowników. Użytkownicy z uprawnieniami do używania poświadczeń nie widzą udostępnionego hasła, ale raczej uzyskują uprawnienia do używania hasła w ramach przepływu aranżowanego uwierzytelniania. Ponadto niektóre aplikacje logowania jednokrotnego haseł umożliwiają używanie identyfikatora Entra firmy Microsoft do okresowego przerzucania (aktualizacji) haseł. System używa dużych, złożonych haseł, co zwiększa bezpieczeństwo konta. Administrator może łatwo udzielić lub odwołać dostępu do aplikacji, wie, kto ma dostęp do konta i kto uzyskiwał do niego dostęp w przeszłości.

Identyfikator Entra firmy Microsoft obsługuje konta udostępnione dla dowolnego pakietu Enterprise Mobility Suite (EMS) lub planu licencji Microsoft Entra ID P1 lub P2 we wszystkich typach aplikacji logowania jednokrotnego haseł. Możesz udostępniać konta dla dowolnego z tysięcy wstępnie zintegrowanych aplikacji w galerii aplikacji i dodać własną aplikację uwierzytelniania haseł za pomocą niestandardowych aplikacji logowania jednokrotnego.

Funkcje firmy Microsoft Entra, które umożliwiają udostępnianie kont, obejmują:

• Logowanie jednokrotne przy użyciu hasła
• Agent logowania jednokrotnego haseł
• Przypisanie grupy
• Niestandardowe aplikacje haseł
• Pulpit nawigacyjny/raporty użycia aplikacji
• Portale dostępu użytkowników końcowych
• Serwer proxy aplikacji
• Azure Marketplace

Udostępnianie konta

Aby użyć identyfikatora Entra firmy Microsoft do udostępnienia konta, musisz:

• Dodawanie galerii aplikacji lub aplikacji niestandardowej
• Konfigurowanie aplikacji na potrzeby logowania jednokrotnego przy użyciu hasła
• Użyj przypisania opartego na grupach i wybierz opcję wprowadzenia poświadczeń udostępnionych

Możesz również zwiększyć bezpieczeństwo konta udostępnionego za pomocą uwierzytelniania wieloskładnikowego (MFA) (dowiedz się więcej o zabezpieczaniu aplikacji przy użyciu identyfikatora Entra firmy Microsoft). Możesz delegować możliwość zarządzania osobami mającymi dostęp do aplikacji przy użyciu samoobsługowego zarządzania grupami firmy Microsoft.

Następne kroki

• Zarządzanie aplikacjami w usłudze Microsoft Entra ID
• Ochrona aplikacji przy użyciu dostępu warunkowego
• Samoobsługowe zarządzanie grupami/SSAA