Åtkomst till ett program
Löpande åtkomsthantering, användningsutvärdering och rapportering fortsätter att vara en utmaning när en app har integrerats i organisationens identitetssystem. I många fall måste IT-administratörer eller supportavdelningen ta en aktiv roll i hanteringen av åtkomst till dina appar. Ibland utförs tilldelningen av ett allmänt eller divisionellt IT-team. Tilldelningsbeslutet är ofta avsett att delegeras till företagets beslutsfattare, vilket kräver deras godkännande innan IT gör tilldelningen.
Andra organisationer investerar i integrering med ett befintligt automatiserat system för identitets- och åtkomsthantering, till exempel rollbaserad åtkomstkontroll (RBAC) eller attributbaserad åtkomstkontroll (ABAC). Både integreringen och regelutvecklingen tenderar att vara specialiserad och dyr. Övervakning eller rapportering av antingen hanteringsmetod är en egen separat, kostsam och komplex investering.
Hur hjälper Microsoft Entra ID?
Microsoft Entra ID stöder omfattande åtkomsthantering för konfigurerade program, vilket gör det möjligt för organisationer att enkelt uppnå rätt åtkomstprinciper, allt från automatiska, attributbaserade tilldelningar (ABAC eller RBAC-scenarier) via delegering och inklusive administratörshantering. Med Microsoft Entra-ID kan du enkelt uppnå komplexa principer genom att kombinera flera hanteringsmodeller för ett enda program och även återanvända hanteringsregler mellan program med samma målgrupp.
Med Microsoft Entra-ID är användnings- och tilldelningsrapportering helt integrerad, vilket gör det möjligt för administratörer att enkelt rapportera om tilldelningstillstånd, tilldelningsfel och till och med användning.
Tilldela användare och grupper till en app
Microsoft Entra-programtilldelning fokuserar på två primära tilldelningslägen:
Individuell tilldelning En IT-administratör med behörighet som global administratör kan välja enskilda användarkonton och ge dem åtkomst till programmet.
Gruppbaserad tilldelning (kräver Microsoft Entra ID P1 eller P2) En IT-administratör med behörighet som global administratör kan tilldela en grupp till programmet. Specifika användares åtkomst bestäms av om de är medlemmar i gruppen vid den tidpunkt då de försöker komma åt programmet. Med andra ord kan en administratör effektivt skapa en tilldelningsregel som anger att "alla aktuella medlemmar i den tilldelade gruppen har åtkomst till programmet". Med det här tilldelningsalternativet kan administratörer dra nytta av något av microsoft Entra-grupphanteringsalternativen, inklusive attributbaserade dynamiska grupper, externa systemgrupper (till exempel lokal Active Directory eller Workday) eller administratörshanterade eller självbetjäningshanterade grupper. En enda grupp kan enkelt tilldelas till flera appar och se till att program med tilldelningstillhörighet kan dela tilldelningsregler, vilket minskar den övergripande hanteringskomplexiteten.
Kommentar
Kapslade gruppmedlemskap stöds inte för gruppbaserad tilldelning till program just nu.
Med hjälp av dessa två tilldelningslägen kan administratörer uppnå alla önskvärda metoder för tilldelningshantering.
Kräva användartilldelning för en app
Med vissa typer av program har du möjlighet att kräva att användare tilldelas till programmet. Genom att göra det förhindrar du att alla loggar in förutom de användare som du uttryckligen tilldelar programmet. Följande typer av program har stöd för det här alternativet:
- Program som konfigurerats för federerad enkel inloggning (SSO) med SAML-baserad autentisering
- Programproxy program som använder Microsoft Entra-förautentisering
- Program som bygger på programplattformen Microsoft Entra och använder autentisering via OAuth 2.0/OpenID Connect när en användare eller administratör har gett samtycke till programmet. Vissa företagsprogram ger mer kontroll över vem som får logga in.
När det krävs användartilldelning kan bara de användare du tilldelar till appen (antingen via direkt användartilldelning eller baserat på gruppmedlemskap) logga in. De kan komma åt appen på Mina appar-portalen eller med hjälp av en direktlänk.
När användartilldelning inte krävs ser inte otilldelade användare appen på sina Mina appar, men de kan fortfarande logga in på själva programmet (även kallat SP-initierad inloggning) eller använda URL:en för användaråtkomst på programmets egenskapssida (även kallat IDP-initierad inloggning). Mer information om hur du kräver konfigurationer för användartilldelning finns i Konfigurera ett program
Den här inställningen påverkar inte om ett program visas på Mina appar eller inte. Program visas på användarnas Mina appar åtkomstpaneler när du har tilldelat en användare eller grupp till programmet.
Kommentar
När ett program kräver tilldelning tillåts inte användarens medgivande för programmet. Det här gäller även om användarmedgivande annars skulle ha tillåtits för appen. Se till att bevilja administratörsmedgivande för hela klientorganisationen för appar som kräver tilldelning.
För vissa program är alternativet att kräva användartilldelning inte tillgängligt i programmets egenskaper. I dessa fall kan du använda PowerShell för att ange egenskapen appRoleAssignmentRequired på tjänstens huvudnamn.
Fastställa användarupplevelsen för åtkomst till appar
Microsoft Entra ID innehåller flera anpassningsbara sätt att distribuera program till slutanvändare i din organisation:
- Microsoft Entra Mina appar
- Microsoft 365-programstartsprogram
- Direkt inloggning till federerade appar (service-pr)
- Djuplänkar till federerade, lösenordsbaserade eller befintliga appar
Du kan avgöra om användare som är tilldelade till en företagsapp kan se den i Mina appar och Microsoft 365-programstartsprogrammet.
Exempel: Komplex programtilldelning med Microsoft Entra-ID
Överväg ett program som Salesforce. I många organisationer används Salesforce främst av marknadsförings- och säljteamen. Ofta har medlemmar i marknadsföringsteamet mycket privilegierad åtkomst till Salesforce, medan medlemmar i säljteamet har begränsad åtkomst. I många fall har en bred befolkning av informationsarbetare begränsad åtkomst till programmet. Undantag från dessa regler komplicerar saker och ting. Det är ofta marknadsförings- eller säljledarteamens behörighet att ge en användare åtkomst eller ändra sina roller oberoende av dessa allmänna regler.
Med Microsoft Entra-ID kan program som Salesforce förkonfigureras för enkel inloggning (SSO) och automatisk etablering. När programmet har konfigurerats kan en administratör vidta engångsåtgärden för att skapa och tilldela lämpliga grupper. I det här exemplet kan en administratör köra följande tilldelningar:
Dynamiska grupper kan definieras för att automatiskt representera alla medlemmar i marknadsförings- och säljteamen med hjälp av attribut som avdelning eller roll:
- Alla medlemmar i marknadsföringsgrupper skulle tilldelas rollen "marknadsföring" i Salesforce
- Alla medlemmar i säljteamgrupper skulle tilldelas rollen "försäljning" i Salesforce. En ytterligare förfining kan använda flera grupper som representerar regionala säljteam som tilldelats olika Salesforce-roller.
För att aktivera undantagsmekanismen kan en självbetjäningsgrupp skapas för varje roll. Till exempel kan gruppen "Salesforce marketing exception" skapas som en självbetjäningsgrupp. Gruppen kan tilldelas marknadsföringsrollen Salesforce och marknadsföringsledningen kan bli ägare. Medlemmar i marknadsföringsledningen kan lägga till eller ta bort användare, ange en kopplingsprincip eller till och med godkänna eller neka enskilda användares begäranden om anslutning. Den här mekanismen stöds genom en informationsarbetares lämpliga erfarenhet som inte kräver specialiserad utbildning för ägare eller medlemmar.
I det här fallet skulle alla tilldelade användare automatiskt etableras till Salesforce. När de läggs till i olika grupper uppdateras deras rolltilldelning i Salesforce. Användare kan identifiera och komma åt Salesforce via Mina appar, Office-webbklienter eller genom att navigera till organisationens salesforce-inloggningssida. Administratörer kan enkelt visa användnings- och tilldelningsstatus med hjälp av Microsoft Entra-ID-rapportering.
Administratörer kan använda villkorsstyrd åtkomst i Microsoft Entra för att ange åtkomstprinciper för specifika roller. Dessa principer kan omfatta om åtkomst tillåts utanför företagsmiljön och till och med krav på multifaktorautentisering eller enhet för att uppnå åtkomst i olika fall.
Åtkomst till Microsoft-program
Microsoft-program (till exempel Exchange, SharePoint, Yammer osv.) tilldelas och hanteras lite annorlunda än SaaS-program från tredje part eller andra program som du integrerar med Microsoft Entra-ID för enkel inloggning.
Det finns tre huvudsakliga sätt som en användare kan få åtkomst till ett Microsoft-publicerat program på.
För program i Microsoft 365 eller andra betalpaket beviljas användare åtkomst via licenstilldelning antingen direkt till sitt användarkonto eller via en grupp som använder vår gruppbaserade licenstilldelningsfunktion.
För program som Microsoft eller en tredje part publicerar fritt för alla att använda kan användare beviljas åtkomst via användarmedgivande. Användarna loggar in på programmet med sitt Microsoft Entra-arbets- eller skolkonto och tillåter att det har åtkomst till en begränsad uppsättning data på sitt konto.
För program som Microsoft eller en tredje part publicerar fritt för alla att använda kan användare också beviljas åtkomst via administratörsmedgivande. Det innebär att en administratör har fastställt att programmet kan användas av alla i organisationen, så att de loggar in på programmet med ett globalt administratörskonto och ger åtkomst till alla i organisationen.
Vissa program kombinerar dessa metoder. Vissa Microsoft-program ingår till exempel i en Microsoft 365-prenumeration, men kräver fortfarande medgivande.
Användare kan komma åt Microsoft 365-program via sina Office 365-portaler. Du kan också visa eller dölja Microsoft 365-program i Mina appar med växlingsknappen För Office 365-synlighet i katalogens användarinställningar.
Precis som med företagsappar kan du tilldela användare till vissa Microsoft-program via administrationscentret för Microsoft Entra eller med hjälp av PowerShell.