Åtkomst till ett program
Pågående åtkomsthantering, användningsutvärdering och rapportering fortsätter att vara en utmaning när en app har integrerats i organisationens identitetssystem. I många fall måste IT-administratörer eller supportavdelningen ta en pågående aktiv roll i hanteringen av åtkomst till dina appar. Ibland utförs tilldelningen av ett allmänt eller divisionellt IT-team. Tilldelningsbeslutet är ofta avsett att delegeras till företagets beslutsfattare, vilket kräver deras godkännande innan IT-administratören gör uppgiften.
Andra organisationer investerar i integrering med ett befintligt automatiserat identitets- och åtkomsthanteringssystem, till exempel Role-Based Access Control (RBAC) eller Attribute-Based Access Control (ABAC). Både integreringen och regelutvecklingen tenderar att vara specialiserad och dyr. Övervakning eller rapportering av endera hanteringsmetoden är en egen separat, kostsam och komplex investering.
Hur hjälper Azure Active Directory?
Azure AD stöder omfattande åtkomsthantering för konfigurerade program, vilket gör det möjligt för organisationer att enkelt uppnå rätt åtkomstprinciper, från automatiska, attributbaserade tilldelningar (ABAC- eller RBAC-scenarier) till delegering och inklusive administratörshantering. Med Azure AD kan du enkelt uppnå komplexa principer, kombinera flera hanteringsmodeller för ett enda program och även återanvända hanteringsregler mellan program med samma målgrupp.
Med Azure AD är användnings- och tilldelningsrapportering helt integrerad, vilket gör det möjligt för administratörer att enkelt rapportera om tilldelningstillstånd, tilldelningsfel och till och med användning.
Tilldela användare och grupper till en app
Tilldelningen av appar i Azure AD är fokuserad kring två primära tilldelningslägen:
Individuell tilldelning En IT-administratör med behörighet som global administratör för katalogen kan välja enskilda användarkonton och ge dem åtkomst till programmet.
Gruppbaserad tilldelning (kräver Azure AD Premium P1 eller P2) En IT-administratör med behörighet som global administratör för katalogen kan tilldela en grupp till programmet. Specifika användares åtkomst bestäms av om de är medlemmar i gruppen när de försöker komma åt programmet. Med andra ord kan en administratör effektivt skapa en tilldelningsregel som anger att "alla aktuella medlemmar i den tilldelade gruppen har åtkomst till programmet". Med det här tilldelningsalternativet kan administratörer dra nytta av något av Azure AD alternativ för grupphantering, inklusive attributbaserade dynamiska grupper, externa systemgrupper (till exempel lokal Active Directory eller Workday) eller administratörshanterade eller självbetjäningshanterade grupper. En enda grupp kan enkelt tilldelas till flera appar, vilket gör att program med tilldelningstillhörighet kan dela tilldelningsregler, vilket minskar den övergripande hanteringskomplexiteten.
Anteckning
Kapslade gruppmedlemskap stöds inte för gruppbaserad tilldelning till program just nu.
Med hjälp av dessa två tilldelningslägen kan administratörer uppnå valfri metod för tilldelningshantering.
Kräva användartilldelning för en app
Med vissa typer av program kan du välja att kräva att användare tilldelas till programmet. Genom att göra det förhindrar du att alla loggar in förutom de användare som du uttryckligen tilldelar till programmet. Följande typer av program har stöd för det här alternativet:
- Program som konfigurerats för federerad enkel inloggning (SSO) med SAML-baserad autentisering
- Programproxy program som använder Azure Active Directory-förautentisering
- Program som bygger på programplattformen Azure AD och använder autentisering via OAuth 2.0/OpenID Connect när en användare eller administratör har gett samtycke till programmet. Vissa företagsprogram ger mer kontroll över vem som får logga in.
När det krävs användartilldelning kan bara de användare du tilldelar till appen (antingen via direkt användartilldelning eller baserat på gruppmedlemskap) logga in. De kan komma åt appen på Mina appar-portalen eller via en direktlänk.
När användartilldelning inte krävs ser inte otilldelade användare appen på sina Mina appar, men de kan fortfarande logga in på själva programmet (även kallat SP-initierad inloggning) eller använda URL:en för användaråtkomst på programmets egenskapssida (kallas även IDP-initierad inloggning). Mer information om hur du kräver konfigurationer för användartilldelning finns i Konfigurera ett program
Den här inställningen påverkar inte om ett program visas på Mina appar eller inte. Program visas på användarnas Mina appar åtkomstpaneler när du har tilldelat en användare eller grupp till programmet.
Anteckning
När ett program kräver tilldelning tillåts inte användarens medgivande för programmet. Det här gäller även om användarmedgivande annars skulle ha tillåtits för appen. Se till att bevilja administratörsmedgivande för hela klientorganisationen för appar som kräver tilldelning.
För vissa program är alternativet att kräva användartilldelning inte tillgängligt i programmets egenskaper. I dessa fall kan du använda PowerShell för att ange egenskapen appRoleAssignmentRequired för tjänstens huvudnamn.
Fastställa användarupplevelsen för åtkomst till appar
Azure AD tillhandahåller flera anpassningsbara sätt att distribuera program till slutanvändare i din organisation:
- Azure AD Mina appar
- Startprogram för Microsoft 365-program
- Direkt inloggning till federerade appar (service-pr)
- Djuplänkar till federerade, lösenordsbaserade eller befintliga appar
Du kan avgöra om användare som är tilldelade till en företagsapp kan se den i Mina appar och Microsoft 365-programstartaren.
Exempel: Komplex programtilldelning med Azure AD
Tänk dig ett program som Salesforce. I många organisationer används Salesforce främst av marknadsförings- och säljteamen. Ofta har medlemmar i marknadsföringsteamet mycket privilegierad åtkomst till Salesforce, medan medlemmar i säljteamet har begränsad åtkomst. I många fall har en bred population av informationsarbetare begränsad åtkomst till programmet. Undantag från dessa regler komplicerar saken. Det är ofta marknadsförings- eller säljledarteamens behörighet att bevilja en användare åtkomst eller ändra sina roller oberoende av dessa allmänna regler.
Med Azure AD kan program som Salesforce förkonfigureras för enkel inloggning (SSO) och automatisk etablering. När programmet har konfigurerats kan en administratör vidta engångsåtgärden för att skapa och tilldela lämpliga grupper. I det här exemplet kan en administratör utföra följande tilldelningar:
Dynamiska grupper kan definieras för att automatiskt representera alla medlemmar i marknadsförings- och säljteamen med hjälp av attribut som avdelning eller roll:
- Alla medlemmar i marknadsföringsgrupper skulle tilldelas rollen "marknadsföring" i Salesforce
- Alla medlemmar i säljteamgrupper skulle tilldelas rollen "försäljning" i Salesforce. En ytterligare förfining skulle kunna använda flera grupper som representerar regionala säljteam som tilldelats olika Salesforce-roller.
För att aktivera undantagsmekanismen kan en självbetjäningsgrupp skapas för varje roll. Till exempel kan gruppen "Salesforce marketing exception" skapas som en självbetjäningsgrupp. Gruppen kan tilldelas marknadsföringsrollen Salesforce och marknadsföringsledningen kan bli ägare. Medlemmar i marknadsföringsledningen kan lägga till eller ta bort användare, ange en kopplingsprincip eller till och med godkänna eller neka enskilda användares begäranden om att ansluta. Den här mekanismen stöds via en informationsarbetares lämpliga erfarenhet som inte kräver specialiserad utbildning för ägare eller medlemmar.
I det här fallet etableras alla tilldelade användare automatiskt till Salesforce. När de läggs till i olika grupper uppdateras deras rolltilldelning i Salesforce. Användare kan identifiera och komma åt Salesforce via Mina appar, Office-webbklienter eller genom att gå till organisationens Salesforce-inloggningssida. Administratörer kan enkelt visa användnings- och tilldelningsstatus med hjälp av Azure AD rapportering.
Administratörer kan använda Azure AD villkorlig åtkomst för att ange åtkomstprinciper för specifika roller. Dessa principer kan omfatta om åtkomst tillåts utanför företagsmiljön och till och med multifaktorautentisering eller enhetskrav för att uppnå åtkomst i olika fall.
Åtkomst till Microsoft-program
Microsoft-program (till exempel Exchange, SharePoint, Yammer osv.) tilldelas och hanteras lite annorlunda än SaaS-program från tredje part eller andra program som du integrerar med Azure AD för enkel inloggning.
Det finns tre huvudsakliga sätt som en användare kan få åtkomst till ett Microsoft-publicerat program på.
För program i Microsoft 365 eller andra betalpaket beviljas användare åtkomst via licenstilldelning antingen direkt till sitt användarkonto eller via en grupp som använder vår gruppbaserade licenstilldelningsfunktion.
För program som Microsoft eller en tredje part publicerar fritt för alla att använda, kan användare beviljas åtkomst via användarmedgivande. Användarna loggar in på programmet med sitt Azure AD arbets- eller skolkonto och ger det åtkomst till en begränsad uppsättning data på sitt konto.
För program som Microsoft eller en tredje part publicerar fritt för alla att använda, kan användare också beviljas åtkomst via administratörsmedgivande. Det innebär att en administratör har fastställt att programmet kan användas av alla i organisationen, så att de loggar in på programmet med ett globalt administratörskonto och beviljar åtkomst till alla i organisationen.
Vissa program kombinerar dessa metoder. Vissa Microsoft-program ingår till exempel i en Microsoft 365-prenumeration, men kräver fortfarande medgivande.
Användare kan komma åt Microsoft 365-program via sina Office 365 portaler. Du kan också visa eller dölja Microsoft 365-program i Mina appar med Office 365 synlighetsväxling i katalogens användarinställningar.
Precis som med företagsappar kan du tilldela användare till vissa Microsoft-program via Azure Portal eller, om portalalternativet inte är tillgängligt, med hjälp av PowerShell.