分享方式:

部署組織原則以控管與 Microsoft Entra ID 整合的應用程式存取權

  • 文章

在前幾節中,您已定義應用程式的控管原則 (部分機器翻譯),並整合該應用程式與 Microsoft Entra ID。 在本節中,您會設定 Microsoft Entra 條件式存取和權利管理功能,以控制對應用程式的後續存取。 您會建立

  • 條件式存取原則,指定使用者如何向 Microsoft Entra ID 進行驗證,使應用程式與 Microsoft Entra ID 整合以進行單一登入
  • 權利管理原則,指定使用者如何取得和保留對群組中的應用程式角色與成員資格的指派
  • 存取權檢閱原則,指定檢閱群組成員資格的頻率

部署這些原則之後,您即可在使用者要求和獲派應用程式的存取權時,監視 Microsoft Entra ID 的後續行為。

部署 SSO 強制執行的條件式存取原則

在本節中,您會根據使用者的驗證強度或裝置狀態等因素,建立相關的條件式存取原則,用於判斷授權使用者是否能夠登入應用程式。

條件式存取僅適用於依賴 Microsoft Entra ID 進行單一登入 (SSO) 的應用程式。 如果應用程式無法進行 SSO 的相關整合,請繼續進行下一節。

  1. 視需要上傳使用規定 (TOU) 文件。 若您要求使用者必須先接受使用規定 (TOU) 才能存取應用程式,請建立並上傳 TOU 文件 (部分機器翻譯),以便將其包含在條件式存取原則中。
  2. 確認使用者是否已準備好進行 Microsoft Entra 多重要素驗證。 對於透過同盟整合的業務關鍵應用程式,建議要求使用 Microsoft Entra 多重要素驗證。 對於這些應用程式,應設定相關原則,要求使用者必須符合多重要素驗證需求,Microsoft Entra ID 才會允許其登入應用程式。 某些組織也可能會依位置封鎖存取,或要求使用者從已註冊的裝置存取。 如果還沒有適當的原則包含驗證、位置、裝置和 TOU 的必要條件,請將原則新增至條件式存取部署 (部分機器翻譯)。
  3. 將應用程式 Web 端點納入適當條件式存取原則的範圍內。 如果您有針對另一個應用程式而建立的現有條件式存取原則,且該應用程式有相同的控管需求,您也可以更新該原則,使其也適用於此應用程式,以避免產生大量原則。 進行更新之後,請確認預期的原則已套用。 您可以使用條件式存取 What If 工具,查看哪些原則適用於使用者。
  4. 如果有任何使用者需要暫時性原則排除項目,請建立週期性存取權檢閱。 在某些情況下,可能無法立即為每個授權使用者強制執行條件式存取原則。 例如,某些使用者可能沒有適當的已註冊裝置。 如果需要從條件式存取原則中排除一或多個使用者,並允許他們存取,請為排除於條件式存取原則外的使用者 (部分機器翻譯) 群組設定存取權檢閱。
  5. 記錄權杖存留期和應用程式的工作階段設定。 遭到拒絕持續存取的使用者,可繼續使用同盟應用程式的時間長度,取決於應用程式本身的工作階段存留期,以及存取權杖存留期。 應用程式的工作階段存留期取決於應用程式本身。 若要深入了解如何控制存取權杖的存留期,請參閱可設定的權杖存留期

部署權利管理原則以自動進行存取指派

在本節中,您會設定 Microsoft Entra 權利管理,讓使用者能夠要求存取應用程式的角色或應用程式所使用的群組。 若要執行這些工作,您必須具備全域管理員、Identity Governance 管理員角色,或被委派為目錄建立者 (部分機器翻譯) 和應用程式的擁有者。

注意

遵循最低權限存取權,建議您在此使用 Identity Governance 管理員角色。

  1. 受控管應用程式的存取套件應位於指定的目錄中。 如果您還沒有目錄可用於應用程式控管案例,請在 Microsoft Entra 權利管理中建立目錄 (部分機器翻譯)。 如果您有多個目錄要建立,可以使用 PowerShell 指令碼建立每個目錄 (部分機器翻譯)。
  2. 在目錄中填入必要的資源。 新增應用程式,以及應用程式依賴的任何 Microsoft Entra 群組,作為該目錄中的資源 (部分機器翻譯)。 如果您有許多資源,可以使用 PowerShell 指令碼將每項資源新增至目錄 (部分機器翻譯)。
  3. 為使用者可要求的每個角色或群組建立存取套件。 對於每個應用程式,以及每個應用程式角色或群組,建立存取套件,其中包含該角色或群組作為其資源。 在設定這些存取套件的階段中,將每個存取套件中的第一個存取套件指派原則設定為直接指派原則 (部分機器翻譯),僅允許系統管理員建立指派。 在該原則中,設定現有使用者 (如果有的話) 的存取權檢閱需求,使其不會無限期地保有存取權。 如果您有許多存取套件,您可以使用 PowerShell 指令碼以在目錄中建立每個存取套件
  4. 設定存取套件以強制執行職責區分需求。 如果您有職責區分需求,請為存取套件設定不相容的存取套件或現有群組。 如果您的案例需要覆寫職責區分檢查的功能,您也可以為這些覆寫案例設定其他存取套件
  5. 將已有應用程式存取權之現有使用者的指派新增至存取套件。 對於個別存取套件,將對應角色中應用程式的現有使用者或該群組的成員指派給存取套件及其直接指派原則。 您可以使用 Microsoft Entra 系統管理中心,或透過 Graph 或 PowerShell 大量直接指派使用者給存取套件。
  6. 建立其他原則以允許使用者要求存取。 在每個存取套件中建立其他存取套件指派原則,供使用者要求存取權。 在該原則中設定核准和週期性存取權檢閱需求。
  7. 為應用程式所使用的其他群組建立週期性存取權檢閱。 如果有應用程式使用的群組並非存取套件的資源角色,請為這些群組的成員資格建立存取權檢閱

檢視存取的報表

Microsoft Entra ID 和 Microsoft Entra ID 控管與 Azure 監視器的搭配運作可提供數份報表,協助您了解誰可以存取應用程式,及其是否使用該存取權。

監視並視需要調整權利管理原則和存取權

根據應用程式的應用程式存取指派變更量,定期 (例如每週、每月或每季) 使用 Microsoft Entra 系統管理中心確認存取權均依照原則進行授與。 您也可以確定已識別要進行核准和檢閱的使用者,仍是要進行這些工作的正確對象。

  • 監看應用程式角色指派和群組成員資格變更。 如果您已將 Microsoft Entra ID 設定為將稽核記錄傳送至 Azure 監視器,請使用 Azure 監視器中的 Application role assignment activity監視及報告未透過權利管理進行的任何應用程式角色指派。 如果有應用程式擁有者直接建立的角色指派,您應連絡該應用程式擁有者以確認該指派是否已授權。 此外,如果應用程式依賴 Microsoft Entra 安全性群組,也請監視這些群組的變更。

  • 監看直接在應用程式內被授與存取權的使用者。 如果符合下列條件,則使用者無須屬於 Microsoft Entra ID,或無須由 Microsoft Entra ID 新增至應用程式使用者帳戶存放區,即可取得應用程式的存取權:

    • 應用程式在應用程式內有本機使用者帳戶存放區
    • 使用者帳戶存放區位於資料庫或 LDAP 目錄中
    • 應用程式並非僅依賴 Microsoft Entra ID 進行單一登入。

    應用程式若具有上述清單中的屬性,您即應定期檢查使用者是否僅透過 Microsoft Entra 佈建新增至應用程式的本機使用者存放區。 如果有使用者是直接在應用程式中建立的,請連絡應用程式擁有者以確認該指派是否已授權。

  • 確定核准者和檢閱者保持最新狀態。 對於您在上一節中設定的每個存取套件,請確定存取套件指派原則將持續擁有正確的核准者和檢閱者。 如果先前設定的核准者和檢閱者已不存在於組織中,或屬於不同的角色,請更新這些原則。

  • 驗證檢閱者是否在檢閱期間做出決策。 監視這些存取套件的週期性存取權檢閱是否順利完成,以確定檢閱者參與其中,並做出決策以核准或拒絕使用者後續的存取需求。

  • 檢查佈建和取消佈建是否如預期運作。 如果您先前已設定將使用者佈建至應用程式,則在套用檢閱的結果時,或使用者對存取套件的指派過期時,Microsoft Entra ID 會開始從應用程式取消佈建遭拒絕的使用者。 您可以監視取消佈建使用者的程序。 如果佈建指出應用程式發生錯誤,您可以下載佈建記錄檔,以調查應用程式是否有問題。

  • 使用應用程式中的任何角色或群組變更來更新 Microsoft Entra 設定。 如果應用程式系統管理員在其資訊清單 (部分機器翻譯) 中新增新的應用程式角色、更新現有的角色,或依賴其他群組,您必須更新存取套件和存取權檢閱,以因應這些新角色或群組的需求。

下一步