什麼是 Azure Active Directory 中的應用程式管理?

Azure Active Directory (Azure AD) 中的應用程式管理是在雲端中建立、設定、管理和監視應用程式的流程。 當應用程式在 Azure AD 租用戶中註冊時,指派給 Azure AD 的使用者可以安全地進行存取。 許多類型的應用程式可以在 Azure AD 中註冊。 如需詳細資訊,請參閱 Microsoft 身分識別平台的應用程式類型

在本文中,您將了解管理應用程式生命週期的重要層面:

  • 開發、新增或連線 - 根據您是在開發自己的應用程式、使用預先整合的應用程式還是連線到內部部署的應用程式,您可以選擇不同的路徑。
  • 管理存取權 – 可以透過使用單一登入 (SSO)、指派資源、定義授與和同意存取的方式以及使用自動佈建來管理存取。
  • 設定屬性 – 設定登入應用程式的需求,以及應用程式在使用者入口網站中的表示方式。
  • 保護應用程式 – 管理權限、多重要素驗證 (MFA)、條件式存取、權杖和證書的設定。
  • 治理和監視 – 使用權利管理、報告和監視資源管理互動和檢閱活動。
  • 清理 – 當不再需要應用程式時,透過移除對租用戶的存取權來清理租用戶。

開發、新增或連線

您可以透過數種方式來管理 Azure AD 中的應用程式。 開始管理應用程式的最簡單方法是使用 Azure AD 資源庫中的預先整合應用程式。 開發自己的應用程式並將其註冊 Azure AD 是一種選擇,或者您可以繼續使用內部部署應用程式。

下圖顯示這些應用程式如何與 Azure AD 進行互動。

此圖顯示您自己開發的應用程式、預先整合的應用程式及內部部署應用程式如何作為企業應用程式。

預先整合的應用程式

許多應用程式已經預先整合 (在上圖中顯示為「雲端應用程式」),並且可以輕鬆設定。 Azure AD 資源庫中的每個應用程式都有一篇文章可向您展示設定應用程式所需的步驟。 如需有關如何將應用程式從資源庫中新增到 Azure AD 租用戶的簡單範例,請參閱快速入門:新增企業應用程式

您自己的應用程式

如果您開發自己的商務應用程式,則可以將其註冊到 Azure AD 以利用租用戶提供的安全性功能。 您可以在 [應用程式註冊] 中註冊您的應用程式,也可以在 [企業應用程式] 中新增新的應用程式時使用 [建立您自己的應用程式] 連結進行註冊。 考慮如何在您的應用程式中實作驗證以與 Azure AD 整合。

如果您想透過資源庫提供您的應用程式,您可以提交要求以進行新增

內部應用程式

如果您想繼續使用內部部署應用程式,但利用 Azure AD 提供的供應項目,請使用 [Azure AD 應用程式 Proxy] 將其與 Azure AD 連線。 當您希望在外部發佈內部部署的應用程式時,則可以實作應用程式 Proxy。 然後,需要存取內部應用程式的遠端使用者便可以透過安全的方式存取這些應用程式。

管理存取權

若要為應用程式 [管理存取權],您需要回答以下問題:

  • 如何授與和同意應用程式的存取權?
  • 應用程式是否支援 SSO?
  • 應該將哪些使用者、群組和擁有者指派給應用程式?
  • 是否有其他識別提供者支援應用程式?
  • 自動佈建使用者識別和角色是否有幫助?

您可以管理使用者同意設定來選擇使用者是否允許應用程式或服務存取使用者設定檔和組織資料。 當應用程式予以授與存取權時,使用者可以登入到與 Azure AD 整合的應用程式,而應用程式可以存取您組織的資料,以提供豐富的資料驅動體驗。

使用者通常無法同意應用程式要求的權限。 設定管理員同意工作流程,以允許使用者提供理由並要求管理員檢閱和核准應用程式。 有關如何在 Azure AD 租用戶中設定管理員同意工作流程的訓練,請參閱設定管理員同意工作流程

作為管理員,您可以向應用程式授與租用戶範圍的管理員同意。 當應用程式需要一般使用者無法授與的權限並允許組織實作自己的檢閱流程時,需要租用戶範圍的管理員同意。 在授與同意之前,請務必仔細檢閱應用程式要求的權限。 當應用程式獲授整個租用戶範圍的管理員同意時,所有使用者都能登入應用程式,除非您將其設定為需要使用者指派。

單一登入

請考慮在應用程式中實作 SSO。 您可以為 SSO 手動設定大部分的應用程式。 Azure AD 中最受歡迎的選項是以 SAML 為基礎的 SSO 和以 OpenID Connect 為基礎的 SSO。 在開始之前,請確保您了解 SSO 的需求以及如何規劃部署。 如需在 Azure AD 租用戶中為企業應用程式設定 SAML 型 SSO 的相關訓練,請參閱使用 Azure Active Directory 為應用程式啟用單一登入

使用者、群組和擁有者指派

預設情況下,所有使用者都可以存取您的企業應用程式,而不需指派給他們。 然而,如果您想要將應用程式指派給一組使用者,則應用程式需要使用者指派。 如需有關如何建立使用者帳戶並將其指派給應用程式的簡單範例,請參閱快速入門:建立和指派使用者帳戶

如果包含在您的訂用帳戶中,請將群組指派給應用程式,讓您可以將進行中的存取管理委派給群組擁有者。

指派擁有者是授與管理應用程式 Azure AD 設定所有層面能力的簡單方法。 作為擁有者,使用者可以管理應用程式的特定於組織設定。

自動化佈建

應用程式佈建是指在使用者需要存取的應用程式中,自動建立使用者身分識別和角色。 除了建立使用者身分識別以外,自動佈建還包括隨著狀態或角色變更,維護和移除使用者身分識別。

識別提供者

您是否希望有 Azure AD 與其互動的識別提供者? 主領域探索提供一項設定,其可讓 Azure AD 判斷使用者登入時需要驗證的識別提供者。

使用者入口網站

Azure AD 為組織中的使用者提供可自訂的應用程式部署方式。 例如,「我的應用程式」入口網站或 Microsoft 365 應用程式啟動器。 「我的應用程式」為使用者提供單一位置來啟動其工作,並找到他們有權存取的所有應用程式。 作為應用程式的管理員,您應該規劃組織中的使用者將如何使用「我的應用程式」

設定內容

當您將應用程式新增至 Azure AD 租用戶時,您有機會設定影響使用者與應用程式互動方式的屬性。 您可以啟用或停用登入功能,並且可能需要使用者指派。 您也可以判定應用程式的可見性、代表應用程式的標誌,以及應用程式的任何注意事項。 如需您可以設定的屬性詳細資訊,請參閱企業應用程式的屬性

保護應用程式

有數種方法可以協助您保護企業應用程式的安全。 例如,您可以限制租用戶存取管理可見性、資料和分析,並可能提供混合式存取。 確保企業應用程式的安全也涉及到管理權限、MFA、條件式存取、權杖和憑證的設定。

權限

務必定期檢閱,並在必要時管理授與應用程式或服務的權限。 請務必定期評估可疑活動是否存在,以確保您僅允許適當的應用程式存取。

權限分類可讓您根據組織的原則和風險評估,識別不同權限的影響。 例如,您可以在同意原則中使用權限分類,以識別允許使用者同意的權限集。

多重要素驗證和條件式存取

Azure AD MFA 有助於保護對資料和應用程式的存取,透過使用第二種形式的驗證提供另一層安全性。 有許多方法可用於第二要素驗證。 開始之前,請為您組織中的應用程式規劃 MFA 的部署

組織可以透過條件式存取啟用 MFA,以打造符合自身特定需求的解決方案。 管理員可利用條件式存取原則,將控制項指派給特定的應用程式、動作或驗證內容

權杖和憑證

Azure AD 的驗證流程中使用不同類型的安全性權杖,視使用的通訊協定而定。 例如,SAML 權杖用於 SAML 通訊協定,ID 權杖存取權杖用於 OpenID Connect 通訊協定。 權杖會使用 Azure AD 中產生的唯一憑證以及特定標準演算法產生的唯一憑證加以簽署。

您可以透過加密權杖來提供更高的安全性。 您還可以管理權杖中的資訊,包括應用程式允許的角色

Azure AD 預設使用 SHA-256 演算法來簽署 SAML 回應。 除非應用程式需要 SHA-1,否則請使用 SHA-256。 為管理憑證的存留期建立流程。 簽署憑證的最長存留期為三年。 若要避免或最小化由於憑證過期所造成的中斷情況,請使用角色和電子郵件通訊群組清單,以確保密切監視與憑證相關的變更通知。

治理和監視

Azure AD 中的權利管理可讓您管理應用程式和管理員、目錄擁有者、存取套件管理員、核准者和要求者之間的互動。

您的 Azure AD 報告與監視解決方案,取決於本地法律、安全性和操作需求,及現有的環境和程序。 Azure AD 中維護多個記錄,您應該規劃報告和監視部署,以盡可能為應用程式維護最佳體驗。

清除

您可以清除對應用程式的存取權。 例如,移除使用者的存取權。 您也可以停用使用者登入的方式。 最後,如果組織不再需要該應用程式,您可以將其刪除。 如需有關如何從 Azure AD 租用戶中刪除企業應用程式的簡單範例,請參閱快速入門:刪除企業應用程式

後續步驟