管理應用程式的存取權
將應用程式整合至您組織的身分識別系統之後,持續進行存取管理、使用量評估及報告仍會是一項挑戰。 在許多情況下,IT 管理員 管理員或技術支援人員必須持續發揮作用,才能管理應用程式的存取權。 有時候,指派是由一般或部門IT小組執行。 指派決策通常要委派給商務決策者,在IT進行指派之前,需要其核准。
其他組織則投資整合現有的自動化身分識別和存取管理系統,例如角色型 存取控制(RBAC)或屬性型 存取控制(ABAC)。 整合和規則開發通常都是特製化且昂貴的。 監視或報告任一管理方法是其本身的個別、昂貴且複雜的投資。
Microsoft Entra ID 如何協助?
Microsoft Entra ID 支援針對已設定的應用程式進行廣泛的存取管理,讓組織能夠透過委派和包括系統管理員管理,輕鬆達成從自動、屬性型指派(ABAC 或 RBAC 案例)到正確的存取原則。 透過 Microsoft Entra ID,您可以輕鬆地達成複雜的原則,結合單一應用程式的多個管理模型,甚至可以在具有相同對象的應用程式之間重複使用管理規則。
使用 Microsoft Entra AD,完全整合使用方式和指派報告,使管理員能夠輕鬆報告指派狀態、指派錯誤甚至使用方式。
將使用者和群組指派給應用程式
Microsoft Entra 應用程式指派著重於兩種主要指派模式:
個別指派 具有目錄全域 管理員 istrator 許可權的 IT 系統管理員可以選取個別用戶帳戶,並授與他們應用程式存取權。
群組型指派 (需要 Microsoft Entra ID P1 或 P2) 具有目錄全域 管理員 istrator 許可權的 IT 系統管理員可以將群組指派給應用程式。 特定使用者的存取權取決於他們在嘗試存取應用程式時是否為群組的成員。 換句話說,系統管理員可以有效地建立指派規則,指出「指派群組的任何目前成員都可以存取應用程式」。 使用這個指派選項,系統管理員可以受益於任何 Microsoft Entra 群組管理選項,包括屬性型動態群組、外部系統群組(例如,內部部署的 Active Directory 或 Workday),或 管理員 istrator 管理或自助管理的群組。 單一群組可以輕鬆地指派給多個應用程式,確保具有指派親和性的應用程式可以共用指派規則,以減少整體管理複雜度。
注意
目前對應用程式的群組型指派不支援巢狀群組 成員資格。
使用這兩種指派模式,系統管理員可以達成任何理想的指派管理方法。
要求應用程式的使用者指派
使用特定類型的應用程式,您可以選擇要求使用者指派給應用程式。 如此一來,除了您明確指派給應用程式的那些使用者之外,您防止所有人登入。 下列類型的應用程式支援此選項:
- 針對使用 SAML 型驗證的同盟單一登錄 (SSO) 設定的應用程式
- 應用程式 Proxy 使用 Microsoft Entra 預先驗證的應用程式
- 建置於 Microsoft Entra 應用程式平台,且在使用者或系統管理員同意該應用程式之後,使用 OAuth 2.0/OpenID Connect 驗證的應用程式。 某些企業應用程式可更充分控制允許登入的人員。
需要使用者指派時,只有您指派給應用程式的使用者 (透過直接使用者指派或根據群組成員資格) 才能登入。 他們可以在 我的應用程式 入口網站或使用直接連結來存取應用程式。
不需要使用者指派時,未指派的使用者不會在其 我的應用程式 上看到應用程式,但他們仍然可以登入應用程式本身(也稱為SP起始的登入),或者他們可以使用應用程式[內容] 頁面中的 [使用者存取 URL] (也稱為 IDP 起始的登入)。 如需要求使用者指派設定的詳細資訊,請參閱 設定應用程式
此設定不會影響應用程式是否出現在 我的應用程式 上。 一旦您將使用者或群組指派給應用程式,應用程式就會出現在使用者的 我的應用程式 存取面板上。
注意
當應用程式需要指派時,不允許使用者同意該應用程式。 即使這樣會允許該應用程式的使用者同意,也是如此。 請務必對要求指派的應用程式授予全租用戶的管理員同意。
對於某些應用程式,應用程式屬性中無法使用需要使用者指派的選項。 在這些情況下,您可以使用PowerShell 在服務主體上設定appRoleAssignmentRequired屬性。
判斷存取應用程式的用戶體驗
Microsoft Entra ID 提供 數種可自定義的方式,將應用程式 部署至組織中的使用者:
- Microsoft Entra 我的應用程式
- Microsoft 365 應用程式啟動器
- 直接登入同盟應用程式 (service-pr)
- 同盟、密碼型或現有應用程式的深層連結
您可以判斷指派給企業應用程式的使用者是否可以在 我的應用程式 和 Microsoft 365 應用程式啟動器中看到它。
範例:使用 Microsoft Entra 識別碼的複雜應用程式指派
請考慮 Salesforce 之類的應用程式。 在許多組織中,Salesforce 主要供行銷和銷售小組使用。 行銷小組的成員通常具有高度特殊許可權的 Salesforce 存取權,而銷售小組的成員則具有有限的存取權。 在許多情況下,大量資訊工作者已限制對應用程式的存取。 這些規則的例外狀況使問題複雜化。 通常行銷或銷售領導小組的特權是授與使用者存取權,或獨立於這些一般規則變更其角色。
透過 Microsoft Entra ID,Salesforce 等應用程式可以預先設定單一登錄 (SSO) 和自動化布建。 設定應用程式之後,管理員 istrator 可以採取一次性動作來建立和指派適當的群組。 在此範例中,系統管理員可以執行下列指派:
您可以定義動態群組 ,以使用部門或角色等屬性自動代表行銷和銷售小組的所有成員:
- 行銷群組的所有成員都會被指派給 Salesforce 中的「行銷」角色
- 銷售小組群組的所有成員都會指派給 Salesforce 中的「銷售」角色。 進一步精簡可能會使用多個群組,代表指派給不同 Salesforce 角色的區域銷售小組。
若要啟用例外狀況機制,可以為每個角色建立自助群組。 例如,「Salesforce 行銷例外狀況」群組可以建立為自助群組。 群組可以指派給 Salesforce 行銷角色,而行銷領導小組可以設為擁有者。 行銷領導小組的成員可以新增或移除用戶、設定加入原則,甚至核准或拒絕個別使用者加入的要求。 這項機制可透過資訊工作者的適當體驗來支援,而不需要為擁有者或成員進行特殊訓練。
在此情況下,所有指派的用戶都會自動布建至 Salesforce。 當他們新增至不同的群組時,其角色指派將會在 Salesforce 中更新。 用戶可以透過 我的應用程式、Office Web 用戶端,或流覽至其組織的 Salesforce 登入頁面,來探索及存取 Salesforce。 管理員 istrators 可以使用 Microsoft Entra ID 報告輕鬆地檢視使用量和指派狀態。
管理員 istrators 可以採用Microsoft Entra 條件式存取可設定特定角色的存取原則。 這些原則可能包括是否允許在公司環境之外存取,甚至是多重要素驗證或裝置需求,以在各種情況下達成存取。
存取 Microsoft 應用程式
Microsoft 應用程式(例如 Exchange、SharePoint、Yammer 等)的指派和管理方式,與第三方 SaaS 應用程式或其他與單一登錄整合之 Microsoft Entra ID 的應用程式稍有不同。
使用者有三種主要方式可以存取 Microsoft 已發佈的應用程式。
對於 Microsoft 365 或其他付費套件中的應用程式,用戶會透過 授權指派直接授與其用戶帳戶的存取權,或是透過群組型授權指派 功能來授與存取權。
對於 Microsoft 或第三方免費發佈供任何人使用的應用程式,用戶可透過 使用者同意獲得存取權。 使用者使用其 Microsoft Entra 公司或學校帳戶登入應用程式,並允許其存取其帳戶上的一些有限數據集。
對於 Microsoft 或第三方免費發佈供任何人使用的應用程式,使用者也可以透過系統管理員同意來授與存取權。 這表示系統管理員已判斷應用程式可由組織中的所有人使用,因此他們可以使用全域 管理員 istrator 帳戶登入應用程式,並將存取權授與組織中的每個人。
某些應用程式會結合這些方法。 例如,某些 Microsoft 應用程式是 Microsoft 365 訂閱的一部分,但仍需要同意。
用戶可以透過其 Office 365 入口網站存取 Microsoft 365 應用程式。 您也可以在 我的應用程式 中顯示或隱藏 Microsoft 365 應用程式,並在目錄的使用者設定中顯示或隱藏 Office 365 可見度切換。
如同企業應用程式,您可以 透過 Microsoft Entra 系統管理中心或使用 PowerShell 將使用者 指派給特定 Microsoft 應用程式。