治理环境中应用程序的访问权限
利用 Microsoft Entra ID 治理,可以在组织的安全性和员工工作效率与适当的流程和可见性需求之间实现平衡。 其功能可确保正确的人员在正确的时间正确访问组织中的正确资源。
具有合规性要求或风险管理计划的组织拥有敏感或业务关键型应用程序。 应用程序的敏感性可能基于其目的或其包含的数据,例如组织客户的财务信息或个人信息。 对于这些应用程序,通常只有组织中所有用户的子集有权访问,并且只应根据记录的业务要求允许访问。 作为组织访问权限管理控制的一部分,可以使用 Microsoft Entra 功能来完成以下操作:
- 设置适当的访问权限
- 将用户预配到应用程序
- 强制实施访问权限检查
- 生成报告以展示这些控制如何用于满足你的合规性和风险管理目标。
除了应用程序访问治理方案之外,你还可以将 Microsoft Entra ID 治理功能和其他 Microsoft Entra 功能用于其他方案,例如审查和移除其他组织的用户或管理从条件访问策略中排除的用户。 如果你的组织在 Microsoft Entra ID 或 Azure 中有多个管理员,使用 B2B 或自助服务组管理,那么你应该为这些方案规划访问审查部署。
许可要求
使用此功能需要 Microsoft Entra ID Governance 许可证。 如需查找符合要求的许可证,请参阅《Microsoft Entra ID 治理许可基础知识》。
应用程序访问权限管理入门
Microsoft Entra ID 治理可以使用 OpenID Connect、SAML、SCIM、SQL 和 LDAP 等标准与许多应用程序集成。 通过这些标准,可以将 Microsoft Entra ID 与许多常用的 SaaS 应用程序、本地应用程序,以及你的组织已开发的应用程序配合使用。 如下节所述,准备好 Microsoft Entra 环境后,该三步计划将涵盖如何将应用程序连接到 Microsoft Entra ID 并启用标识治理功能以用于该应用程序。
- 定义你的组织用于应用程序访问权限治理的策略
- 将应用程序与 Microsoft Entra ID 集成,以确保只有授权用户才能访问应用程序,并审查用户对应用程序的现有访问权限,以设置所有已审查用户的基线。 此操作将允许身份验证和用户预配
- 部署这些策略以控制单一登录 (SSO) 并自动为该应用程序分配访问权限
在配置 Microsoft Entra ID 和 Microsoft Entra ID 治理以用于标识治理之前需满足的先决条件
在开始通过 Microsoft Entra ID 治理来治理应用程序访问权限之前,应检查 Microsoft Entra 环境是否配置得当。
确保你的 Microsoft Entra ID 和 Microsoft Online Services 环境符合合规性要求,以便应用程序能够集成并正确获得许可。 合规性是 Microsoft、云服务提供商 (CSP) 和组织的共同责任。 若要使用 Microsoft Entra ID 治理对应用程序的访问权限,你必须在租户中拥有以下某个许可证组合:
- Microsoft Entra ID 治理及其先决条件,Microsoft Entra ID P1
- 适用于 Microsoft Entra ID P2 的 Microsoft Entra ID 治理升级及其先决条件,Microsoft Entra ID P2 或企业移动性 + 安全性 (EMS) E5
你的租户至少需要拥有与所治理的成员 (非访客) 数量一样的许可证,这些成员包括拥有应用访问权限或可请求访问的人员,以及可以批准或审核应用访问权限的人员。 通过为这些用户提供适当的许可证,你可以控制每个用户对多达 1500 个应用程序的访问。
如果你将治理来宾对应用程序的访问权限,请将你的 Microsoft Entra 租户链接到 MAU 计费订阅。 必须执行此步骤才能获得来宾请求或查看其访问权限。 有关详细信息,请参阅 Microsoft Entra 外部 ID 的计费模型。
检查 Microsoft Entra ID 是否已将其审核日志以及可选的其他日志发送到 Azure Monitor。 Azure Monitor 是可选的,但可以用于治理应用的访问权限,因为 Microsoft Entra 最多只能在其审核日志中存储 30 天的审核事件。 审核数据保留时间可以超过默认保留期,如 Microsoft Entra ID 会存储报告数据多长时间?中所述,还可以对历史审核数据使用 Azure Monitor 工作簿和自定义查询和报告。 你可以检查 Microsoft Entra 配置以确认它是否在使用 Azure Monitor,方法如下:在 Microsoft Entra 管理中心内的“Microsoft Entra ID”中单击“工作簿”。 如果未配置此集成,而你拥有 Azure 订阅并且角色为
Global Administrator或Security Administrator,则可以将 Microsoft Entra ID 配置为使用 Azure Monitor。确保只有授权用户在 Microsoft Entra 租户中具有高度特权的管理角色。 以下管理员可以更改用户及其应用程序角色分配:全局管理员、标识治理管理员、用户管理员、应用程序管理员、云应用程序管理员和特权角色管理员。 如果最近尚未审查这些角色的成员资格,你将需要一个身份为全局管理员或特权角色管理员的用户,以确保开始对这些目录角色进行访问审查。 你还应确保已审核订阅中拥有 Azure Monitor、逻辑应用和运行 Microsoft Entra 配置所需的其他资源的 Azure 角色用户。
检查租户是否进行适当的隔离措施。 如果你的组织在本地使用 Active Directory,并且这些 AD 域连接到 Microsoft Entra ID,则你需要确保云托管服务的高特权管理操作与本地帐户隔离。 确认您已经配置系统以保护 Microsoft 365 云环境免受本地入侵。
检查完 Microsoft Entra 环境后,继续为应用程序定义治理策略。