定義管理環境中應用程式存取的組織原則
識別出想要使用 Microsoft Entra ID 來管理 存取權的一或多個應用程式之後,請記下組織用來判斷哪些使用者應該具有存取權的原則,以及系統應該提供的任何其他限制。
識別應用程式及其範圍中的角色
具有合規性需求或風險管理計劃的組織具有敏感性或業務關鍵性應用程式。 如果此應用程式在您的環境中是現有的應用程式,您可能已經記錄此應用程式的存取原則,讓「應該」存取此應用程式的人員。 如果沒有,您可能需要諮詢各種項目關係人,例如合規性和風險管理小組,以確保用來自動化存取決策的原則適用於您的案例。
收集每個應用程式提供的角色和許可權。 某些應用程式可能只有單一角色,例如只有角色 「User」 的應用程式。 更複雜的應用程式可能會呈現多個角色,以透過 Microsoft Entra ID 進行管理。 這些應用程式角色通常會對具有該角色的使用者在應用程式內的存取進行廣泛的限制。 例如,具有系統管理員角色的應用程式可能有兩個角色「使用者」和「管理員 istrator」。 其他應用程式也可能依賴群組成員資格或宣告來進行更精細的角色檢查,這些檢查可以從 Microsoft Entra ID 提供給應用程式,以布建或使用同盟 SSO 通訊協定發出的宣告,或以安全組成員資格的形式寫入 AD。 最後,可能有應用程式特定角色未出現在 Microsoft Entra ID 中,或許應用程式不允許在 Microsoft Entra ID 中定義系統管理員,而是依賴自己的授權規則來識別系統管理員。 SAP Cloud Identity Services 只有一個角色, 可供指派。
注意
如果您使用支援布建的 Microsoft Entra 應用連結庫的應用程式,則 Microsoft Entra ID 可能會在應用程式中匯入已定義的角色,並在設定布建之後,使用應用程式的角色自動更新應用程式指令清單。
選取哪些角色和群組具有 Microsoft Entra ID 中要控管的成員資格。 根據合規性和風險管理需求,組織通常會優先處理授與特殊許可權存取權或敏感性資訊存取權的應用程式角色或群組。
使用必要條件和其他條件約束來定義組織的原則,以存取應用程式
在本節中,您將記下您計劃用來判斷應用程式存取權的組織原則。 您可以將此記錄為電子表格中的數據表,例如
| 應用程式角色 | 存取的必要條件 | 核准者 | 默認存取持續時間 | 職責條件約束的分離 | 條件式存取原則 |
|---|---|---|---|---|---|
| 西部銷售 | 銷售小組的成員 | 使用者的管理員 | 每年檢閱 | 無法擁有 東部銷售 存取權 | 多重要素驗證 (MFA) 和存取所需的已註冊裝置 |
| 西部銷售 | 銷售以外的任何員工 | 銷售部門主管 | 90 天 | N/A | 存取所需的 MFA 和已註冊裝置 |
| 西部銷售 | 非員工銷售代表 | 銷售部門主管 | 30 天 | N/A | 存取所需的 MFA |
| 東部銷售 | 銷售小組的成員 | 使用者的管理員 | 每年檢閱 | 無法擁有 西部銷售 存取權 | 存取所需的 MFA 和已註冊裝置 |
| 東部銷售 | 銷售以外的任何員工 | 銷售部門主管 | 90 天 | N/A | 存取所需的 MFA 和已註冊裝置 |
| 東部銷售 | 非員工銷售代表 | 銷售部門主管 | 30 天 | N/A | 存取所需的 MFA |
如果您已經有組織角色定義,請參閱 如何移轉組織角色 以取得詳細資訊。
識別是否有必要條件需求,用戶必須先符合才能獲得應用程式存取權的標準。 例如,在正常情況下,只有全職員工或特定部門或成本中心的員工才能存取特定部門的應用程式。 此外,您可能要求一些其他部門要求存取權的用戶擁有一或多個其他核准者的權利管理原則。 雖然有多個核准階段可能會減緩使用者取得存取權的整體程式,但這些額外階段可確保存取要求適當且決策負責。 例如,員工存取的要求可以有兩個階段的核准,第一個階段是要求用戶的經理,第二個是負責應用程式中數據的資源擁有者之一。
判斷已核准存取的使用者、應該具有存取權,以及該存取權何時消失。 對於許多應用程式,使用者可能會無限期地保留存取權,直到不再與組織有關聯為止。 在某些情況下,存取權可能會系結至特定專案或里程碑,以便在項目結束時自動移除存取權。 或者,如果只有少數使用者透過原則使用應用程式,您可以透過該原則設定每季或每年檢閱每個人的存取權,以便定期進行監督。
如果您的組織已經使用組織角色模型來管理存取權,請規劃將該組織角色模型帶入 Microsoft Entra ID。 您可能已 定義組織角色 ,其會根據使用者的 屬性來指派存取權,例如其位置或部門。 即使沒有預先決定的項目結束日期,這些程式仍可確保用戶最終在不再需要存取時失去存取權。
詢問是否有職責限制的分離。 例如,您可能有一個應用程式角色有兩個應用程式角色:Western Sales 和 Eastern Sales,而且您想要確保使用者一次只能有一個銷售領域。 包含應用程式不相容的任何一組應用程式角色清單,如此一來,如果使用者有一個角色,則不允許他們要求第二個角色。
選取適當的條件式存取原則以存取應用程式。 建議您分析您的應用程式,並將其分組為具有相同使用者相同資源需求的應用程式。 如果這是您要與身分識別控管 Microsoft Entra ID 控管 整合的第一個同盟 SSO 應用程式,您可能需要建立新的條件式存取原則來表示條件約束,例如多重要素驗證的需求(MFA) 或位置型存取。 您可以將使用者設定為必須同意 使用規定。 如需如何定義條件式存取原則的詳細資訊,請參閱 規劃條件式存取部署 。
決定應如何處理準則的例外狀況。 例如,應用程式通常只能供指定的員工使用,但稽核員或廠商可能需要特定項目的暫時存取權。 或者,旅行的員工可能需要從通常封鎖的位置存取,因為貴組織在該位置中沒有存在。 在這些情況下,您可以選擇也有權利管理原則以供核准,這些原則可能會有不同的階段,或不同的時間限制,或不同的核准者。 在 Microsoft Entra 租用戶中以來賓使用者身分登入的廠商可能沒有管理員,因此其存取要求可能會由贊助者為其組織或資源擁有者或安全性人員核准。
由於項目關係人正在檢閱應具有存取權的組織原則,因此您可以開始 將應用程式 與 Microsoft Entra ID 整合。 如此一來,您可以在稍後的步驟中部署組織核准的原則,以在 Microsoft Entra ID 控管 中存取。