Совместное использование учетных записей с идентификатором Microsoft Entra

Обзор

В идентификаторе Microsoft Entra часть Microsoft Entra иногда организациям необходимо использовать одно имя пользователя и пароль для нескольких пользователей, что часто происходит в следующих случаях:

• при обращении к приложениям, требующим уникальное имя для входа и пароль для каждого пользователя — это могут быть локальные приложения или пользовательские облачные службы (например, учетные записи корпоративных социальных сетей);
• при создании многопользовательских сред. У вас может быть одна локальная учетная запись с повышенными привилегиями, которая используется для основных действий настройки, администрирования и восстановления. Например, локальная учетная запись глобального администратора в Microsoft 365 или учетная запись root в Salesforce.

Обычно доступ к таким учетным записям предоставляется так: при передаче учетных данных (имени пользователя и пароля) соответствующим лицам или при их сохранении в общем расположении, где к ним смогут обращаться несколько доверенных агентов.

Традиционная модель общего доступа имеет несколько недостатков.

• Для обеспечения доступа к новым приложениям необходимо передавать учетные данные всем тем людям, которым требуется такой доступ.
• Для каждого совместно используемого приложения может требоваться уникальный набор учетных данных, из-за чего пользователю понадобится запоминать несколько наборов учетных данных. В связи с этим возрастает уровень риска и уязвимости системы, так как пользователи могут, например, начать записывать пароли.
• Невозможно точно определить круг лиц, имеющих доступ к приложению.
• Невозможно определить, кто именно осуществлял доступ к приложению.
• Когда требуется запретить доступ к приложению, необходимо обновить учетные данные и повторно передать их всем людям, которым нужен доступ к этому приложению.

Общий доступ к учетной записи Microsoft Entra

Идентификатор Microsoft Entra предоставляет новый подход к использованию общих учетных записей, которые устраняют эти недостатки.

Администратор Microsoft Entra настраивает приложения, к которым пользователь может получить доступ с помощью Панель доступа и выбора типа единого входа, подходящего для этого приложения. Один из этих типов, единый вход на основе паролей, позволяет Идентификатору Microsoft Entra выступать в качестве своего рода брокера во время процесса входа для этого приложения.

Пользователи выполняют вход один раз с учетной записью организации. Это та же учетная запись, которой они регулярно пользуются для доступа к рабочему столу или электронной почте. Они могут видеть и использовать только те приложения, которые им назначены. При использовании общих учетных записей этот список приложений может требовать любого количества общих учетных данных. Пользователю не нужно запоминать или записывать разные учетные данные, которые могут ему понадобиться.

Общие учетные записи не только улучшают контроль и повышают удобство работы, они также повышают уровень безопасности. Пользователи, имеющие право на использование учетных данных, не видят сам общий пароль, вместо этого они получают разрешения на использование пароля в рамках оркестрованного потока проверки подлинности. Кроме того, некоторые приложения единого входа паролей позволяют использовать идентификатор Microsoft Entra для периодического переключения паролей (обновления). Система использует большие и сложные пароли, что повышает уровень защиты учетной записи. Администратор может легко предоставлять или запрещать доступ к приложению. Также он знает, у кого есть доступ к учетной записи и кто обращался к ней в прошлом.

Идентификатор Microsoft Entra id поддерживает общие учетные записи для любого плана лицензии Enterprise Mobility Suite (EMS) или Microsoft Entra ID P1 или P2 для всех типов приложений единого входа. Общие учетные записи можно использовать для любого из тысяч предварительно интегрированных приложений в коллекции приложений, также можно добавить собственное приложение с проверкой подлинности по паролю с помощью пользовательских приложений единого входа.

Функции Microsoft Entra, которые включают общий доступ к учетным записям:

• Единый вход по паролю
• Агент единого входа по паролю
• Назначение группы
• Приложения с пользовательским паролем
• Панели мониторинга и отчеты об использовании приложения
• Порталы доступа для пользователей
• Прокси приложения
• Azure Marketplace

Общий доступ к учетной записи

Чтобы использовать идентификатор Microsoft Entra для совместного использования учетной записи, необходимо выполнить следующие действия.

• Добавьте приложение из коллекции приложений или пользовательское приложение.
• настройте приложение для единого входа по паролю;
• Выполните назначение на основе групп и выберите способ ввода общих учетных данных.

Вы также можете сделать общую учетную запись более безопасной с помощью многофакторной проверки подлинности (MFA) (дополнительные сведения о защите приложений с помощью идентификатора Microsoft Entra) и предоставить возможность управлять доступом к приложению с помощью самостоятельного управления группами Microsoft Entra.

Следующие шаги

• Управление приложениями в идентификаторе Microsoft Entra
• Защита приложений с помощью условного доступа
• Самостоятельное управление группами/SSAA