定义组织策略以管理对你环境中应用程序的访问
确定要使用 Microsoft Entra ID 管理访问权限的一个或多个应用程序后,请写下组织的策略来确定哪些用户应具有访问权限,以及系统应提供的任何其他约束。
标识应用程序及其在范围内的角色
具有合规性要求或风险管理计划的组织拥有敏感或业务关键型应用程序。 如果此应用程序是你环境中的现有应用程序,你可能已经记录了一个访问策略,以规定谁“应该有权访问”此应用程序。 如果没有,你可能需要咨询各种利益相关者,例如合规性和风险管理团队,以确保用于自动化访问决策的策略适合你的场景。
收集每个应用程序提供的角色和权限。 某些应用程序可能只有一个角色,例如,只有一个角色为“User”的应用程序。 更复杂的应用程序可能会出现多个角色,通过 Microsoft Entra ID 进行管理。 这些应用程序角色通常对具有该角色的用户在应用中的访问权限施加广泛约束。 例如,具有管理员角色的应用程序可能具有两个角色“User”和“Administrator”。 其他应用程序也可能依赖组成员身份或声明进行更精细的角色检查,这些检查可以在预配或使用联合 SSO 协议颁发的声明中从 Microsoft Entra ID 提供给应用程序,或者以安全组成员身份写入 AD。 最后,可能有一些特定于应用程序的角色没有出现在 Microsoft Entra ID 中 - 应用程序可能不支持在 Microsoft Entra ID 中定义管理员,而是依靠自己的授权规则来标识管理员。 SAP 云标识服务只有一个角色(用户)可用于分配。
注意
如果使用的是 Microsoft Entra 应用程序库中支持预配的应用程序,Microsoft Entra ID 可能会在应用程序中导入已定义的角色,并在配置预配后自动使用应用程序的角色更新应用程序清单。
选择哪些角色和组具有要在 Microsoft Entra ID 中接受管理的成员资格。 根据合规性和风险管理要求,组织通常会优先考虑授予特权访问或敏感信息访问权限的应用程序角色或组。
根据应用程序访问的先决条件和其他限制来定义组织的策略
在本部分中,你将记下你计划用于确定应用程序访问权限的组织策略。 可以将其记录为电子表格中的表,例如
| 应用角色 | 访问先决条件 | 审批者 | 默认访问持续时间 | 职责分离约束 | 条件访问策略 |
|---|---|---|---|---|---|
| 西部销售 | 销售团队成员 | 用户的经理 | 每年评审 | 无法访问东部销售 | 访问所需要的多重身份验证 (MFA) 和注册设备 |
| 西部销售 | 销售部门以外的任何员工 | 销售部门主管 | 90 天 | 不可用 | 访问所需的 MFA 和注册设备 |
| 西部销售 | 非员工销售代表 | 销售部门主管 | 30 天 | 空值 | 访问所需的 MFA |
| 东部销售 | 销售团队成员 | 用户的经理 | 每年评审 | 无法访问西部销售 | 访问所需的 MFA 和注册设备 |
| 东部销售 | 销售部门以外的任何员工 | 销售部门主管 | 90 天 | 不可用 | 访问所需的 MFA 和注册设备 |
| 东部销售 | 非员工销售代表 | 销售部门主管 | 30 天 | 空值 | 访问所需的 MFA |
如果已有组织角色定义,请参阅如何迁移组织角色,了解详细信息。
确定是否存在某些先决条件要求,即用户必须满足某些条件才能被授予应用程序的访问权限。 例如,在正常情况下,仅允许全职员工或特定部门或成本中心的员工有权访问特定部门的应用程序。 此外,你可能需要制定权利管理策略,要求其他部分中申请访问权限的用户需要获得一个或更多个额外审批者的批准。 虽然有多个审批阶段可能会减缓用户获得访问权限的总体过程,但这些额外阶段可确保访问请求适当且决策负责。 例如,员工访问请求可以有两个阶段的审批,首先由提出请求的用户的经理进行批准,然后由是负责应用程序中数据的资源所有者之一进行批准。
确定已批准访问的用户应具有访问权限以及该访问权限何时失效。 对于许多应用程序,用户可能会无限期地保留访问权限,直到它们不再与组织关联。 在某些情况下,访问可能会绑定到特定项目或里程碑,以便在项目结束时自动删除访问权限。 或者,如果只有少数用户通过策略使用应用程序,则可以通过该策略配置对每个人访问的季度或每年评审,以便定期进行监督。
如果组织已使用组织角色模型来管理访问,请制定计划,以将该组织角色模型引入 Microsoft Entra ID。 你可能定义了组织角色,该角色根据用户的属性(例如其职位或部门)分配访问权限。 即使没有预先确定的项目结束日期,这些进程也可以确保用户最终在不再需要访问时失去访问权限。
询问是否存在职责分离限制。 例如,假设你的应用程序具有两个应用角色(“西部销售”和“东部销售”),你想要确保某个用户在某个时间只属于一个销售管辖区。 包括一个列表,列出与你的应用程序不兼容的所有成对应用角色,这样,如果用户拥有成对角色中的一个角色,则他们不能请求另一个角色。
选择适当的条件访问策略以访问应用程序。 我们建议你对应用进行分析,并按对相同用户具有相同的资源要求将应用进行分组。 如果这是你与 Microsoft Entra ID 治理集成来进行标识治理的第一个联合 SSO 应用程序,你可能需要创建新的条件访问策略来表达约束,例如多重身份验证 (MFA) 或基于位置的访问的要求。 可以配置用户,要求其同意使用条款。 有关如何定义条件访问策略的更多注意事项,请参阅计划条件访问部署。
确定应如何处理条件的异常。 例如,应用程序通常仅适用于指定员工,但审核员或供应商可能需要对特定项目进行临时访问。 或者,旅行的员工可能需要从通常被阻止的位置(因为你的组织在该位置没有办事处)进行访问。 在这些情况下,可以选择具有不同阶段或不同时间限制或不同审批者的权利管理策略。 在 Microsoft Entra 租户中以来宾用户身份登录的供应商可能没有管理员,因此,其访问请求可能是由组织发起人批准,或者是由资源所有者或安全官员批准。
由于利益干系人正在审查谁应该有权访问的组织策略,因此你可以开始将应用程序与 Microsoft Entra ID 集成。 这样,在稍后的步骤中,你可以准备好部署组织批准的策略以在 Microsoft Entra ID 治理中进行访问。