Definiera organisationsprinciper för att styra åtkomsten till program i din miljö
När du har identifierat ett eller flera program som du vill använda Microsoft Entra-ID för att styra åtkomsten, skriver du ned organisationens principer för att avgöra vilka användare som ska ha åtkomst och eventuella andra begränsningar som systemet bör ange.
Identifierar program och deras roller i omfånget
Organisationer med efterlevnadskrav eller riskhanteringsplaner har känsliga eller affärskritiska program. Om det här programmet är ett befintligt program i din miljö kanske du redan har dokumenterat åtkomstprinciperna för vem som ska ha åtkomst till det här programmet. Annars kan du behöva samråda med olika intressenter, till exempel efterlevnads- och riskhanteringsteam, för att säkerställa att de principer som används för att automatisera åtkomstbeslut är lämpliga för ditt scenario.
Samla in de roller och behörigheter som varje program tillhandahåller. Vissa program kanske bara har en enda roll, till exempel ett program som bara har rollen "Användare". Mer komplexa program kan visa flera roller som ska hanteras via Microsoft Entra-ID. Dessa programroller gör vanligtvis breda begränsningar för den åtkomst som en användare med den rollen skulle ha i appen. Till exempel kan ett program som har en administratörspersona ha två roller, "Användare" och "Administratör". Andra program kan också förlita sig på gruppmedlemskap eller anspråk för mer detaljerade rollkontroller, som kan tillhandahållas programmet från Microsoft Entra-ID vid etablering eller anspråk som utfärdas med hjälp av federationsprotokoll för enkel inloggning eller skrivs till AD som ett medlemskap i säkerhetsgruppen. Slutligen kan det finnas programspecifika roller som inte visas i Microsoft Entra-ID– programmet kanske inte tillåter att administratörer i Microsoft Entra-ID definieras, utan i stället förlitar sig på sina egna auktoriseringsregler för att identifiera administratörer. SAP Cloud Identity Services har bara en roll, Användare, tillgänglig för tilldelning.
Kommentar
Om du använder ett program från Microsoft Entra-programgalleriet som stöder etablering kan Microsoft Entra-ID importera definierade roller i programmet och automatiskt uppdatera programmanifestet med programmets roller automatiskt när etableringen har konfigurerats.
Välj vilka roller och grupper som ska styras i Microsoft Entra-ID. Baserat på efterlevnads- och riskhanteringskrav prioriterar organisationer ofta de programroller eller grupper som ger privilegierad åtkomst eller åtkomst till känslig information.
Definiera organisationens princip med krav och andra begränsningar för åtkomst till programmet
I det här avsnittet skriver du ned de organisationsprinciper som du planerar att använda för att fastställa åtkomsten till programmet. Du kan registrera detta som en tabell i ett kalkylblad, till exempel
| Approll | Krav för åtkomst | Godkännare | Standardvaraktighet för åtkomst | Ansvarsbegränsningsavgränsning | Principer för villkorlig åtkomst |
|---|---|---|---|---|---|
| Western Sales | Medlem i säljteamet | användarens chef | Årlig granskning | Det går inte att ha åtkomst till Eastern Sales | Multifaktorautentisering (MFA) och registrerad enhet krävs för åtkomst |
| Western Sales | Alla anställda utanför försäljningen | chef för försäljningsavdelningen | 90 dagar | Ej tillämpligt | MFA och registrerad enhet krävs för åtkomst |
| Western Sales | Säljare som inte är anställd | chef för försäljningsavdelningen | 30 dagar | Ej tillämpligt | MFA krävs för åtkomst |
| Östlig försäljning | Medlem i säljteamet | användarens chef | Årlig granskning | Det går inte att ha åtkomst till Western Sales | MFA och registrerad enhet krävs för åtkomst |
| Östlig försäljning | Alla anställda utanför försäljningen | chef för försäljningsavdelningen | 90 dagar | Ej tillämpligt | MFA och registrerad enhet krävs för åtkomst |
| Östlig försäljning | Säljare som inte är anställd | chef för försäljningsavdelningen | 30 dagar | Ej tillämpligt | MFA krävs för åtkomst |
Om du redan har en definition av organisationsrollen kan du läsa mer om hur du migrerar en organisationsroll .
Identifiera om det finns krav, standarder som en användare måste uppfylla innan de får åtkomst till ett program. Under normala omständigheter bör till exempel endast heltidsanställda, eller anställda på en viss avdelning eller kostnadsställe, ha åtkomst till en viss avdelnings program. Du kan också kräva principen för berättigandehantering för en användare från någon annan avdelning som begär åtkomst för att ha en eller flera ytterligare godkännare. Även om flera steg i godkännandet kan göra den övergripande processen för en användare som får åtkomst långsammare, säkerställer dessa extra steg att åtkomstbegäranden är lämpliga och att beslut är ansvariga. Till exempel kan begäranden om åtkomst av en anställd ha två godkännandefaser, först av den begärande användarens chef, och för det andra av en av resursägarna som ansvarar för data som lagras i programmet.
Avgör hur länge en användare som har godkänts för åtkomst ska ha åtkomst och när den åtkomsten ska försvinna. För många program kan en användare behålla åtkomsten på obestämd tid tills de inte längre är anslutna till organisationen. I vissa situationer kan åtkomst kopplas till vissa projekt eller milstolpar, så att åtkomsten tas bort automatiskt när projektet slutar. Eller om bara ett fåtal användare använder ett program via en princip kan du konfigurera kvartalsvisa eller årliga granskningar av allas åtkomst via den principen, så att det sker regelbunden tillsyn.
Om din organisation redan styr åtkomsten med en organisationsrollmodell planerar du att föra in den organisationsrollmodellen i Microsoft Entra-ID. Du kan ha en organisationsroll definierad som tilldelar åtkomst baserat på en användares egenskap, till exempel deras position eller avdelning. De här processerna kan se till att användarna förlorar åtkomst så småningom när åtkomsten inte längre behövs, även om det inte finns något förutbestämt slutdatum för projektet.
Fråga om det finns begränsningar för avgränsning av skyldigheter. Du kan till exempel ha ett program med två approller, Western Sales och Eastern Sales, och du vill se till att en användare bara kan ha ett försäljningsområde i taget. Ta med en lista över eventuella par med approller som är inkompatibla för ditt program, så att om en användare har en roll får de inte begära den andra rollen.
Välj lämplig princip för villkorsstyrd åtkomst för åtkomst till programmet. Vi rekommenderar att du analyserar dina program och grupperar dem i program som har samma resurskrav för samma användare. Om det här är det första federerade SSO-programmet som du integrerar med Microsoft Entra ID-styrning för identitetsstyrning kan du behöva skapa en ny princip för villkorsstyrd åtkomst för att uttrycka begränsningar, till exempel krav för multifaktorautentisering (MFA) eller platsbaserad åtkomst. Du kan konfigurera att användarna måste godkänna användningsvillkoren. Mer information om hur du definierar en princip för villkorsstyrd åtkomst finns i Planera en distribution av villkorsstyrd åtkomst.
Fastställ hur undantag till dina kriterier ska hanteras. Ett program kan till exempel vanligtvis bara vara tillgängligt för utsedda anställda, men en revisor eller leverantör kan behöva tillfällig åtkomst för ett visst projekt. Eller så kan en anställd som reser kräva åtkomst från en plats som normalt blockeras eftersom din organisation inte har någon närvaro på den platsen. I dessa situationer kan du välja att också ha en princip för berättigandehantering för godkännande som kan ha olika faser, en annan tidsgräns eller en annan godkännare. En leverantör som är inloggad som gästanvändare i din Microsoft Entra-klientorganisation kanske inte har någon chef, så i stället kan deras åtkomstbegäranden godkännas av en sponsor för organisationen eller av en resursägare eller en säkerhetsansvarig.
Eftersom organisationspolicyn för vem som ska ha åtkomst granskas av intressenterna kan du börja integrera programmet med Microsoft Entra-ID. På så sätt är du i ett senare steg redo att distribuera de organisationsgodkända principerna för åtkomst i Microsoft Entra ID-styrning.