O que é o gerenciamento de aplicativos no Azure Active Directory?

O gerenciamento de aplicativos do Azure AD (Azure Active Directory) é o processo de criação, configuração, gerenciamento e monitoramento de aplicativos na nuvem. Quando um aplicativo é registrado em um locatário do Azure AD, os usuários que foram atribuídos a ele podem acessá-lo com segurança. Muitos tipos de aplicativos podem ser registrados no Azure AD. Para obter mais informações, confira Tipos de aplicativo para a plataforma de identidade da Microsoft.

Neste artigo, você aprenderá esTes aspectos importantes do gerenciamento do ciclo de vida de um aplicativo:

  • Desenvolver, adicionar ou conectar – Você segue caminhos diferentes quando está desenvolvendo seu próprio aplicativo, usando um aplicativo pré-integrado ou conectando-se a um aplicativo local.
  • Gerenciar o acesso – o acesso pode ser gerenciado usando o SSO (logon único), atribuindo recursos, definindo a maneira como o acesso é concedido e consentido e usando o provisionamento automatizado.
  • Configurar propriedades – configure os requisitos para entrar no aplicativo e como o aplicativo é representado nos portais do usuário.
  • Proteger o aplicativo – gerencie a configuração de permissões, MFA (autenticação multifator), acesso condicional, tokens e certificados.
  • Controlar e monitorar – gerencie a interação e a atividade de revisão usando recursos de gerenciamento de direitos e relatórios e monitoramento.
  • Limpar – quando o aplicativo não for mais necessário, limpe o locatário removendo o acesso a ele e excluindo-o.

Desenvolver, adicionar ou conectar

Há várias maneiras possíveis de gerenciar aplicativos no Azure AD. A maneira mais fácil de começar a gerenciar um aplicativo é usar um aplicativo pré-integrado da galeria do Azure AD. Desenvolver um aplicativo próprio e registrá-lo no Azure AD é uma opção, ou você pode continuar a usar um aplicativo local.

A imagem a seguir mostra como esses aplicativos interagem com o Azure AD.

Diagrama mostrando como seus aplicativos desenvolvidos, aplicativos pré-integrados e aplicativos locais podem ser usados como aplicativos empresariais.

Aplicações pré-integradas

Muitos aplicativos já estão pré-integrados (mostrados como "Aplicativos de nuvem" na imagem acima) e podem ser definidos com o mínimo de esforço. Cada aplicativo na galeria do Azure AD tem um artigo disponível que mostra as etapas necessárias para configurá-lo. Para ver um exemplo simples de como um aplicativo pode ser adicionado ao seu locatário do Azure AD por meio da galeria, consulte Início Rápido: Adicionar um aplicativo empresarial.

Seus aplicativos

Se você desenvolver um aplicativo de negócios próprio, poderá registrá-lo no Azure AD para aproveitar os recursos de segurança que o locatário fornece. Você pode registrar seu aplicativo em Registros de Aplicativo ou registrá-lo usando o link Criar seu aplicativo ao adicionar um novo aplicativo em Aplicativos empresariais. Considere como a autenticação é implementada em seu aplicativo para integração com o Azure AD.

Se você quiser disponibilizar seu aplicativo por meio da galeria, envie uma solicitação para que ele seja adicionado.

Aplicativos locais

Se você quiser continuar usando um aplicativo local, mas aproveitar o que o Azure AD oferece, conecte-o ao Azure AD usando o Proxy de Aplicativo do Azure AD. O Proxy de Aplicativo pode ser implementado quando você deseja publicar aplicativos locais externamente. Os usuários remotos que precisarem acessar aplicativos internos poderão acessá-los de maneira segura.

Gerenciar acesso

Para gerenciar o acesso a um aplicativo, você deseja responder às seguintes perguntas:

  • Como o acesso é concedido e consentido para o aplicativo?
  • O aplicativo dá suporte a SSO?
  • Quais usuários, grupos e proprietários devem ser atribuídos ao aplicativo?
  • Há outros provedores de identidade que dão suporte ao aplicativo?
  • Será útil automatizar o provisionamento de identidades e funções de usuário?

Você pode gerenciar as configurações de consentimento do usuário para escolher se os usuários podem permitir que um aplicativo ou serviço acesse perfis de usuário e dados organizacionais. Quando o acesso é permitido aos aplicativos, os usuários podem entrar em aplicativos integrados ao Azure AD e o aplicativo pode acessar os dados da sua organização para fornecer experiências ricas orientadas por dados.

Os usuários muitas vezes não conseguem consentir com as permissões que um aplicativo está solicitando. Configure o fluxo de trabalho de consentimento do administrador para permitir que os usuários forneçam uma justificativa e solicitem a revisão e a aprovação de um aplicativo por um administrador. Para obter treinamento sobre como configurar o fluxo de trabalho de consentimento do administrador em seu locatário Azure AD, veja Configurar o fluxo de trabalho de consentimento do administrador.

Como administrador, você pode conceder a um aplicativo o consentimento do administrador em todo o locatário. O consentimento do administrador em todo o locatário é necessário quando um aplicativo exige permissões que os usuários regulares não têm permissão para conceder e permite que as organizações implementem processos de revisão próprios. Sempre examine atentamente as permissões solicitadas pelo aplicativo antes de conceder consentimento. Quando um aplicativo tiver recebido consentimento do administrador em todo o locatário, todos os usuários poderão entrar no aplicativo, a menos que ele tenha sido configurado para exigir a atribuição de usuário.

Logon único

Considere implementar o SSO em seu aplicativo. Você pode configurar manualmente a maioria dos aplicativos para SSO. As opções mais populares no Azure AD são SSO baseado em SAML e SSO baseado em OpenID Connect. Antes de começar, verifique se você entende os requisitos de SSO e sabe como planejar a implantação. Para obter treinamento relacionado à configuração do SSO baseado em SAML para um aplicativo empresarial no locatário do Azure AD, consulte Habilitar logon único para um aplicativo usando o Azure Active Directory.

Atribuição de usuário, grupo e proprietário

Por padrão, todos os usuários podem acessar seus aplicativos empresariais sem serem atribuídos a eles. No entanto, se você quiser atribuir o aplicativo a um conjunto de usuários, seu aplicativo exigirá atribuição de usuário. Para ver um exemplo simples de como criar e atribuir uma conta de usuário a um aplicativo, confira o Início Rápido: Criar e atribuir uma conta de usuário.

Se estiver incluído em sua assinatura, atribua grupos a um aplicativo para que você possa delegar o gerenciamento de acesso contínuo ao proprietário do grupo.

Atribuir proprietários é uma maneira simples de conceder a capacidade de gerenciar todos os aspectos da configuração do Azure AD para um aplicativo. Como proprietário, um usuário pode gerenciar a configuração do aplicativo específica a uma organização.

Automatizar o provisionamento

O provisionamento de aplicativo refere-se à criação automática de identidades e funções de usuário nos aplicativos que os usuários precisam acessar. Além de criar identidades de usuário, o provisionamento automático inclui a manutenção e a remoção de identidades de usuário à medida que o status ou as funções mudam.

Provedores de identidade

Você tem um provedor de identidade com o qual deseja que o Azure AD interaja? A Descoberta de Realm Inicial oferece uma configuração que permite que o Azure AD determine com qual provedor de identidade o usuário precisa se autenticar ao entrar.

Portais do usuário

O Azure AD fornece maneiras personalizáveis de implantar aplicativos para usuários em sua organização. Por exemplo, o portal Meus Aplicativos ou o iniciador de aplicativos do Microsoft 365. A página Meus Aplicativos oferece aos usuários um lugar unificado para iniciar os próprios trabalhos e localizar todos os aplicativos aos quais eles têm acesso. Como administrador de um aplicativo, você deve planejar como os usuários em sua organização usarão a página Meus Aplicativos.

Configurar propriedades

Ao adicionar um aplicativo ao locatário do Azure AD, você terá a oportunidade de configurar as propriedades que afetam a maneira como os usuários podem interagir com o aplicativo. Você pode habilitar ou desabilitar a capacidade de entrar, e a atribuição de usuário pode ser necessária. Você também pode determinar a visibilidade do aplicativo, qual logotipo representa o aplicativo e eventuais anotações sobre o aplicativo. Para obter mais informações sobre as propriedades que podem ser configuradas, consulte Propriedades de um aplicativo empresarial.

Proteger o aplicativo

Há vários métodos disponíveis para ajudar você a manter seus aplicativos empresariais seguros. Por exemplo, você pode restringir o acesso de locatário, gerenciar visibilidade, dados e análise e, possivelmente, fornecer acesso híbrido. Manter seus aplicativos empresariais seguros também envolve gerenciar a configuração de permissões, a MFA, o acesso condicional, os tokens e os certificados.

Permissões

É importante revisar periodicamente e, se necessário, gerenciar as permissões concedidas a um aplicativo ou serviço. Certifique-se de permitir apenas o acesso apropriado aos seus aplicativos avaliando regularmente se há atividades suspeitas.

As classificações de permissão permitem que você identifique o efeito das diferentes permissões de acordo com as políticas e avaliações de risco de sua organização. Por exemplo, você pode usar classificações de permissão em políticas de consentimento para identificar o conjunto de permissões no qual os usuários têm permissão para consentir.

Autenticação multifator e acesso condicional

A Azure AD MFA ajuda a proteger o acesso a dados e aplicativos ao fornecer mais uma camada de segurança usando uma segunda forma de autenticação. Há muitos métodos que podem ser usados em uma autenticação de dois fatores. Antes de começar, planeje a implantação da MFA para seu aplicativo em sua organização.

As organizações podem usar o acesso condicional adequar a solução às próprias necessidades específicas. As políticas de acesso condicional permitem que administradores atribuam controles a aplicativos, ações ou contexto de autenticação específicos.

Tokens e certificados

Diferentes tipos de tokens de segurança são usados em um fluxo de autenticação no Azure AD, dependendo do protocolo usado. Por exemplo, tokens SAML são usados para o protocolo SAML e tokens de ID e tokens de acesso são usados para o protocolo OpenID Connect. Os tokens são assinados com o certificado exclusivo que é gerado no Azure AD e por algoritmos padrão específicos.

Você pode fornecer mais segurança criptografando o token. Você também pode gerenciar as informações em um token, incluindo as funções permitidas para o aplicativo.

O Azure AD usa o algoritmo SHA-256 por padrão para assinar a resposta SAML. Use SHA-256, a menos que o aplicativo exija SHA-1. Estabeleça um processo para gerenciar o tempo de vida do certificado. O tempo de vida máximo de assiantura de um certificado é de três anos. Para evitar ou minimizar a paralisação devido à expiração de um certificado, use funções e listas de distribuição de email para garantir que as notificações de alteração relacionadas ao certificado sejam monitoradas de perto.

Controlar e monitorar

O gerenciamento de direitos no Azure AD permite que você gerencie a interação entre aplicativos e administradores, proprietários de catálogo, gerenciadores de pacotes de acesso, aprovadores e solicitantes.

A solução de monitoramento e relatório do Azure AD depende dos seus requisitos legais, de segurança e operacionais, bem como do ambiente e dos processos existentes. Há vários logs que são mantidos no Azure AD, e você deve planejar a implantação de relatórios e monitoramento para manter a melhor experiência possível para seu aplicativo.

Limpeza

Você pode limpar o acesso a aplicativos. Por exemplo, removendo o acesso de um usuário. Também é possível desabilitar o modo como um usuário se conecta. E, por fim, você poderá excluir o aplicativo se não for mais necessário à organização. Para ver um exemplo simples de como excluir um aplicativo empresarial do locatário do Azure AD, confira Início Rápido: Excluir um aplicativo empresarial.

Próximas etapas