Hantera åtkomst till ett program
Integreringen av en app i organisationens identitetssystem medför utmaningar inom åtkomsthantering, användningsutvärdering och rapportering. IT-administratörer eller supportpersonal behöver vanligtvis övervaka appåtkomsten. Åtkomsttilldelningen kan tillhöra ett allmänt eller divisionellt IT-team, men helst bör beslutsfattarna vara med och ge godkännande innan IT-avdelningen slutför processen.
Andra organisationer investerar i integrering med ett befintligt automatiserat system för identitets- och åtkomsthantering, till exempel rollbaserad åtkomstkontroll (RBAC) eller attributbaserad åtkomstkontroll (ABAC). Både integreringen och regelutvecklingen tenderar att vara specialiserad och dyr. Övervakning eller rapportering av endera hanteringsmetoden har egna separata, kostsamma och komplexa investeringar.
Hur hjälper Microsoft Entra ID?
Microsoft Entra ID stöder omfattande åtkomsthantering för konfigurerade program, vilket gör det möjligt för organisationer att enkelt uppnå rätt åtkomstprinciper, allt från automatiska, attributbaserade tilldelningar (ABAC eller RBAC-scenarier) via delegering och inklusive administratörshantering. Med Microsoft Entra-ID kan du enkelt uppnå komplexa principer genom att kombinera flera hanteringsmodeller för ett enda program och även återanvända hanteringsregler mellan program med samma målgrupp.
Med Microsoft Entra-ID är användnings- och tilldelningsrapportering helt integrerad, vilket gör det möjligt för administratörer att enkelt rapportera om tilldelningstillstånd, tilldelningsfel och till och med användning.
Tilldela användare och grupper till en app
Microsoft Entra-programtilldelning fokuserar på två primära tilldelningslägen:
Individuell tilldelning En IT-administratör med behörigheter som molnprogramadministratör kan välja enskilda användarkonton och ge dem åtkomst till programmet.
Gruppbaserad tilldelning (kräver Microsoft Entra ID P1 eller P2) En IT-administratör med katalogbehörigheter för molnprogram kan tilldela en grupp till programmet. Specifika användares åtkomst bestäms av om de är medlemmar i gruppen när de försöker komma åt programmet. Med andra ord kan en administratör effektivt skapa en tilldelningsregel som anger att "alla aktuella medlemmar i den tilldelade gruppen har åtkomst till programmet". Med det här tilldelningsalternativet kan administratörer dra nytta av något av microsoft Entra-grupphanteringsalternativen, inklusive attributbaserade dynamiska medlemskapsgrupper, externa systemgrupper (till exempel lokal Active Directory eller Workday) eller administratörshanterade eller självbetjäningshanterade grupper. En enda grupp kan enkelt tilldelas till flera appar och se till att program med tilldelningstillhörighet kan dela tilldelningsregler, vilket minskar den övergripande hanteringskomplexiteten.
Not
Kapslade gruppmedlemskap stöds inte för gruppbaserad tilldelning till program just nu.
Med dessa två tilldelningslägen kan administratörer uppnå valfri metod för tilldelningshantering.
Kräva användartilldelning för en app
Med vissa typer av program har du möjlighet att kräva att användare tilldelas till programmet. Genom att göra det förhindrar du att alla loggar in förutom de användare som du uttryckligen tilldelar programmet. Följande typer av program stöder det här alternativet:
- Program som konfigurerats för federerad enkel inloggning (SSO) med SAML-baserad autentisering
- Programproxy program som använder Microsoft Entra-förautentisering
- Program som bygger på Microsoft Entra-programplattformen som använder OAuth 2.0/OpenID Connect-autentisering efter att en användare eller administratör har godkänt programmet. Vissa företagsprogram ger mer kontroll över vem som får logga in.
När användartilldelning krävs kan endast de användare som du tilldelar programmet (antingen via direkt användartilldelning eller baserat på gruppmedlemskap) logga in. De kan komma åt appen på Mina appar-portalen eller med hjälp av en direktlänk.
När användartilldelning inte krävs ser inte otilldelade användare appen på sina Mina appar, men de kan fortfarande logga in på själva programmet (även kallat SP-initierad inloggning) eller använda URL:en för användaråtkomst på programmets egenskapssida (även kallat IDP-initierad inloggning). Mer information om hur du kräver konfigurationer för användartilldelning finns i Konfigurera ett program
Den här inställningen påverkar inte om ett program visas på Mina appar eller inte. Program visas på användarnas Mina appar portal när du tilldelar en användare eller grupp till programmet.
Not
När ett program kräver tilldelning tillåts inte användarens medgivande för programmet. Detta gäller även om användarnas medgivande för appen annars skulle ha tillåtits. Se till att bevilja administratörsmedgivande för hela klientorganisationen till appar som kräver tilldelning.
För vissa program är alternativet att kräva användartilldelning inte tillgängligt i programmets egenskaper. I dessa fall kan du använda PowerShell för att ange egenskapen appRoleAssignmentRequired på tjänstens huvudnamn.
Fastställa användarupplevelsen för åtkomst till appar
Microsoft Entra ID innehåller flera anpassningsbara sätt att distribuera program till slutanvändare i din organisation:
- Microsoft Entra Mina appar
- Microsoft 365-programstartsprogram
- Direkt inloggning till federerade appar (service-pr)
- Djupa länkar till federerade, lösenordsbaserade eller befintliga appar
Du kan avgöra om användare som är tilldelade till en företagsapp kan se den i Mina appar och Microsoft 365-programstartsprogrammet.
Exempel: Komplex programtilldelning med Microsoft Entra-ID
Överväg ett program som Salesforce. I många organisationer används Salesforce främst av marknadsförings- och säljteamen. Ofta har medlemmar i marknadsföringsteamet mycket privilegierad åtkomst till Salesforce, medan medlemmar i säljteamet får begränsad åtkomst. I många fall får en bred befolkning av informationsarbetare begränsad åtkomst till programmet. Undantag från dessa regler komplicerar saker och ting. Det är ofta marknadsförings- eller säljledarteamens behörighet att ge en användare åtkomst eller ändra sina roller oberoende av dessa allmänna regler.
Med Microsoft Entra-ID kan program som Salesforce förkonfigureras för enkel inloggning (SSO) och automatisk etablering. När programmet har konfigurerats kan en administratör vidta engångsåtgärden för att skapa och tilldela lämpliga grupper. I det här exemplet kan en administratör köra följande tilldelningar:
Dynamiska grupper kan definieras för att automatiskt representera alla medlemmar i marknadsförings- och säljteamen med hjälp av attribut som avdelning eller roll:
- Alla medlemmar i marknadsföringsgrupper skulle tilldelas rollen "marknadsföring" i Salesforce
- Alla medlemmar i säljteamgrupper skulle tilldelas rollen "försäljning" i Salesforce. En ytterligare förfining kan använda flera grupper som representerar regionala säljteam som tilldelats olika Salesforce-roller.
För att aktivera undantagsmekanismen kan en självbetjäningsgrupp skapas för varje roll. Till exempel kan gruppen "Salesforce marketing exception" skapas som en självbetjäningsgrupp. Gruppen kan tilldelas marknadsföringsrollen Salesforce och marknadsföringsledningen kan bli ägare. Medlemmar i marknadsföringsledningen kan lägga till eller ta bort användare, ange en kopplingsprincip eller till och med godkänna eller neka enskilda användares begäranden om anslutning. Den här mekanismen stöds via en informationsarbetares lämpliga upplevelse som inte kräver specialiserad utbildning för ägare eller medlemmar.
I det här fallet skulle alla tilldelade användare automatiskt etableras till Salesforce. När de läggs till i olika grupper uppdateras deras rolltilldelning i Salesforce. Användare kan identifiera och komma åt Salesforce via Mina appar, Office-webbklienter eller genom att navigera till organisationens salesforce-inloggningssida. Administratörer kan enkelt visa användnings- och tilldelningsstatus med hjälp av Microsoft Entra-ID-rapportering.
Administratörer kan använda villkorsstyrd åtkomst i Microsoft Entra för att ange åtkomstprinciper för specifika roller. Dessa principer kan omfatta om åtkomst tillåts utanför företagsmiljön och till och med krav på multifaktorautentisering eller enhet för att uppnå åtkomst i olika fall.
Åtkomst till Microsoft-program
Microsoft-program (t.ex. Exchange, SharePoint, Yammer och så vidare) tilldelas och hanteras lite annorlunda än saaS-program som inte kommer från Microsoft eller andra program, som du integrerar med Microsoft Entra-ID för enkel inloggning.
Det finns tre huvudsakliga sätt som en användare kan få åtkomst till ett Microsoft-publicerat program på.
För program i Microsoft 365 eller andra betalpaket beviljas användare åtkomst via licenstilldelning antingen direkt till sitt användarkonto eller via en grupp som använder vår gruppbaserade licenstilldelningsfunktion.
För program som Microsoft eller en icke-Microsoft-organisation publicerar fritt för alla att använda kan användare beviljas åtkomst via användarmedgivande. Användarna loggar in på programmet med sitt Microsoft Entra-arbets- eller skolkonto och tillåter att det har åtkomst till en begränsad uppsättning data på sitt konto.
För program som Microsoft eller en icke-Microsoft-organisation publicerar fritt för vem som helst att använda kan användarna också beviljas åtkomst via administratörsmedgivande. Det innebär att en administratör har fastställt att programmet kan användas av alla i organisationen, så att de loggar in på programmet med rollen Privilegierad rolladministratör och ger åtkomst till alla i organisationen.
Vissa program kombinerar dessa metoder. Vissa Microsoft-program ingår till exempel i en Microsoft 365-prenumeration, men kräver fortfarande medgivande.
Användare kan komma åt Microsoft 365-program via sina Office 365-portaler. Du kan också visa eller dölja Microsoft 365-program i Mina appar med växlingsknappen För Office 365-synlighet i katalogens användarinställningar.
Precis som med företagsappar kan du tilldela användare till vissa Microsoft-program via administrationscentret för Microsoft Entra eller med hjälp av PowerShell.
Förhindra programåtkomst via lokala konton
Med Microsoft Entra-ID kan din organisation konfigurera enkel inloggning för att skydda hur användare autentiserar till program med villkorlig åtkomst, multifaktorautentisering osv. Vissa program har historiskt sett ett eget lokalt användararkiv och tillåter användare att logga in på programmet med hjälp av lokala autentiseringsuppgifter eller en programspecifik autentiseringsmetod för säkerhetskopiering, i stället för att använda enkel inloggning. Dessa programfunktioner kan missbrukas och göra det möjligt för användare att behålla åtkomsten till program även efter att de inte längre har tilldelats programmet i Microsoft Entra-ID eller inte längre kan logga in på Microsoft Entra-ID och kan tillåta angripare att försöka kompromettera programmet utan att visas i Microsoft Entra-ID-loggarna. För att säkerställa att inloggningar till dessa program skyddas av Microsoft Entra-ID:
- Identifiera vilka program som är anslutna till din katalog för enkel inloggning så att slutanvändarna kan kringgå enkel inloggning med en lokal programautentiseringsuppgift eller en autentiseringsmetod för säkerhetskopiering. Du måste granska dokumentationen som tillhandahålls av programleverantören för att förstå om detta är möjligt och vilka inställningar som är tillgängliga. I dessa program inaktiverar du sedan de inställningar som gör att slutanvändarna kan kringgå enkel inloggning. Testa att slutanvändarupplevelsen har skyddats genom att öppna en webbläsare i InPrivate, ansluta till programmets inloggningssida, ange identiteten för en användare i din klientorganisation och kontrollera att det inte finns något annat alternativ att logga in än via Microsoft Entra.
- Om ditt program tillhandahåller ett API för att hantera användarlösenord tar du bort de lokala lösenorden eller anger ett unikt lösenord för varje användare med hjälp av API:erna. Detta förhindrar att slutanvändarna loggar in i programmet med lokala autentiseringsuppgifter.
- Om ditt program tillhandahåller ett API för att hantera användare konfigurerar du Microsoft Entra-användaretablering till programmet för att inaktivera eller ta bort användarkonton när användarna inte längre omfattas av programmet eller klientorganisationen.