Управление доступом к приложению

Непрерывное управление доступом, оценка использования и ведение отчетов продолжают вызывать трудности и после интеграции приложения в систему удостоверений вашей организации. Во многих случаях ИТ-администраторы или сотрудники службы технической поддержки должны принимать постоянное и активное участие в управлении доступом к приложениям. В некоторых случаях назначение выполняется общим ИТ-отделом или ИТ-отделом подразделения. Во многих случаях решение о назначении должно быть направлено на рассмотрение ответственному лицу, прежде чем ИТ-специалисты осуществят такое назначение.

Другие организации вкладывают средства в интеграцию с существующей автоматической системой управления удостоверениями и доступом, такой как контроль доступа на основе ролей (RBAC) или контроль доступа на основе атрибутов (ABAC). Как интеграция, так и разработка правил требуют специальных знаний и существенных затрат. А реализация мониторинга и ведения отчетов при любом из этих подходов к управлению является отдельной сложной и дорогостоящей задачей.

Как помогает идентификатор Microsoft Entra?

Идентификатор Microsoft Entra поддерживает расширенное управление доступом для настроенных приложений, что позволяет организациям легко достичь правильных политик доступа от автоматического назначения на основе атрибутов (сценарии ABAC или RBAC) через делегирование и управление администраторами. С помощью идентификатора Microsoft Entra можно легко достичь сложных политик, сочетая несколько моделей управления для одного приложения и даже повторно использовать правила управления в приложениях с одной аудиторией.

Благодаря идентификатору Microsoft Entra, отчета об использовании и назначении полностью интегрированы, что позволяет администраторам легко сообщать о состоянии назначения, ошибках назначения и даже использовании.

Назначение пользователей и групп для приложения

Назначение приложения Microsoft Entra ориентировано на два основных режима назначения:

• Отдельное назначение. ИТ-администратор с разрешениями глобального администратора каталога может выбрать отдельные учетные записи пользователей и предоставить им доступ к приложению.

• Назначение на основе групп (требуется microsoft Entra ID P1 или P2) ИТ-администратор с разрешениями глобального Администратор istrator каталога может назначить группу приложению. Наличие доступа у конкретных пользователей определяется тем, являются ли они членами группы на момент попытки получения доступа к приложению. Иными словами, администратор может создать правило назначения, в котором указано, что "все текущие члены назначенной группы имеют доступ к приложению". Используя этот параметр назначения, администраторы могут воспользоваться любым из вариантов управления группами Microsoft Entra, включая динамические группы на основе атрибутов, внешние системные группы (например, локальная служба Active Directory или Workday), или Администратор управляемые или управляемые самообслуживанием группы. Одну группу можно легко назначить нескольким приложениям, в результате чего приложения со сходством назначения могут совместно использовать правила назначения, что снижает общий уровень сложности управления.

  Примечание.

  Сейчас членство во вложенных группах не поддерживается для назначения приложений на основе групп.

Используя эти два режима назначения, администраторы могут реализовать любой подход к управлению назначением.

Требование назначения пользователей для приложения

При работе с определенными типами приложений можно сделать обязательным назначение приложения пользователям. Это позволяет запретить вход в систему всем, кроме тех пользователей, которые явно назначены приложению. Эту возможность поддерживают следующие типы приложений:

• Приложения, для которых настроен федеративный единый вход с аутентификацией на основе SAML.
• Приложения-прокси приложения, использующие предварительную проверку подлинности Microsoft Entra
• Приложения, созданные на платформе приложений Microsoft Entra и использующие проверку подлинности OAuth 2.0 или OpenID Connect, для которых пользователь или администратор уже предоставили согласие. Некоторые корпоративные приложения позволяют более точно управлять правами на вход.

Если требуется назначение пользователей, вход будет доступен только пользователям, назначенным приложению (с помощью прямого назначения пользователей или на основе членства в группе). Они могут осуществлять доступ к приложению на портале "Мои приложения" или используя прямую ссылку.

Если назначение пользователя не требуется, неназначенные пользователи не видят приложение в разделе "Мои приложения", но по-прежнему могут входить в само приложение (этот режим называется входом, инициированным поставщиком услуг) или использовать URL-адрес доступа пользователей на странице Свойства приложения (этот режим называется входом, инициируемым поставщиком удостоверений). Дополнительные сведения о конфигурациях требования согласия пользователя см. в статье Настройка приложения.

Этот параметр не влияет на отображение приложения на панели "Мои приложения". Приложения отображаются на панелях доступа пользователей "Мои приложения" после назначения приложению пользователя или группы.

Примечание.

Если приложению требуется назначение, согласие пользователей для этого приложения не предусмотрено. Это справедливо, даже если в противном случае согласие пользователей для него было бы разрешено. Не забудьте предоставить согласие администратора на уровне клиента приложениям, которым требуется назначение.

Для некоторых приложений в свойствах отсутствует параметр, позволяющий сделать обязательным назначение приложения пользователям. В таких случаях можно с помощью PowerShell задать свойство appRoleAssignmentRequired для соответствующего субъекта-службы.

Выбор интерфейса пользователя для доступа к приложениям

Идентификатор Microsoft Entra предоставляет несколько настраиваемых способов развертывания приложений для конечных пользователей в вашей организации:

• Microsoft Entra Мои приложения
• Средство запуска приложений Microsoft 365
• прямой вход в федеративные приложения (через субъект-службу);
• прямые ссылки на федеративные приложения, приложения на основе пароля или существующие приложения;

Вы можете выбрать, будут ли пользователи, назначенные корпоративному приложению, видеть его в разделе "Мои приложения" и средстве запуска Microsoft 365.

Пример: сложное назначение приложения с идентификатором Microsoft Entra

Рассмотрим такое приложение, как Salesforce. Во многих организациях приложение Salesforce главным образом используется специалистами по маркетингу и продажам. Часто сотрудники маркетингового отдела имеют привилегированный доступ к Salesforce, а сотрудники отдела продаж — ограниченный доступ. Во многих случаях ограниченный доступ к приложению предоставляется большой группе информационных работников. Исключения из этих правил усложняют ситуацию. Часто обязанности по предоставлению пользователям доступа или изменению их ролей, когда требуется отклониться от этих общих правил, лежат на руководителях отделов маркетинга и продаж.

С помощью идентификатора Microsoft Entra приложения, такие как Salesforce, можно предварительно настроить для единого входа и автоматической подготовки. После настройки приложения администратор может однократно создать и назначить соответствующие группы. В этом примере администратор может выполнить указанные ниже назначения.

• Динамические группы можно определить таким образом, чтобы они автоматически представляли всех членов групп маркетинга и продаж с помощью таких атрибутов, как отдел или роль.

  • Всем членам групп маркетинга в Salesforce будет назначена роль marketing.
  • Всем членам групп продаж в Salesforce будет назначена роль sales. Для дальнейшего уточнения можно использовать несколько групп, представляющих региональные группы продаж, которым назначены различные роли Salesforce.

• Чтобы включить механизм исключений, для каждой роли можно создать группу самообслуживания. Например, можно создать группу "Salesforce marketing exception" в качестве группы самообслуживания. Этой группе можно назначить роль Marketing в Salesforce, а команду руководителей по маркетингу можно назначить в качестве владельца. Члены команды руководителей по маркетингу могут добавлять или удалять пользователей, задавать политику присоединения и даже утверждать или отклонять запросы на присоединение от отдельных пользователей. Этот механизм согласуется с соответствующим рабочим процессом информационных работников, для которого не требуется специальное обучение владельцев или членов.

В этом случае все назначенные пользователи будут автоматически подготовлены для Salesforce. Так как эти пользователи добавляются в разные группы, их назначения ролей в Salesforce будут обновлены. Пользователи могут найти и открыть Salesforce с помощью портала "Мои приложения", веб-клиентов Office и корпоративной страницы для входа в Salesforce. Администратор istrators могут легко просматривать состояние использования и назначения с помощью отчетов идентификатора Microsoft Entra.

Администратор istrator может использовать Условный доступ Microsoft Entra для задания политик доступа для определенных ролей. Эти политики могут указывать, разрешен ли доступ вне корпоративной среды, а также включать в себя многофакторную проверку подлинности или требования к устройствам для обеспечения доступа в различных ситуациях.

Доступ к приложениям Майкрософт

Приложения Майкрософт (например, Exchange, SharePoint, Yammer и т. д.) назначаются и управляются немного отличается от сторонних приложений SaaS или других приложений, которые интегрируются с Идентификатором Microsoft Entra для единого входа.

Есть три основных способа, с помощью которых пользователь может получить доступ к приложению, опубликованному корпорацией Майкрософт.

• Для приложений в Microsoft 365 или других платных наборах доступ пользователям предоставляется посредством назначения лицензии — непосредственно для учетной записи или в группе с помощью нашей возможности по групповому назначению лицензий.

• Для приложений, которые Майкрософт или сторонний разработчик публикуют для свободного использования, пользователи могут получать доступ через согласие пользователя. Пользователи войдите в приложение с помощью рабочей или учебной учетной записи Microsoft Entra и разрешают ему доступ к определенному ограниченному набору данных в своей учетной записи.

• Для приложений, которые корпорация Майкрософт или сторонний разработчик опубликовали для свободного использования, можно также предоставлять доступ через механизм согласия администратора. В этом случае администратор решает, что приложение разрешено использовать всем сотрудникам организации, после чего входит в приложение с помощью учетной записи глобального администратора и предоставляет доступ всем пользователям в организации.

В некоторых приложениях эти методы сочетаются. Например, некоторые приложения Майкрософт входят в подписку Microsoft 365, но для них требуется предоставить согласие.

Пользователи могут получать доступ к приложениям Microsoft 365 через порталы Office 365. Вы также можете показать или скрыть приложения Microsoft 365 в разделе "Мои приложения", используя переключатель видимости в Office 365 на странице Параметры пользователя каталога.

Как и в корпоративных приложениях, вы можете назначить пользователей определенным приложениям Майкрософт через Центр администрирования Microsoft Entra или с помощью PowerShell.

Следующие шаги

• Защита приложений с помощью условного доступа
• Самостоятельное управление группами/SSAA