分享方式:

管理應用程式的存取權

  • 文章

將應用程式整合到您組織的身分識別系統中會為存取管理、使用評估和報告帶來挑戰。 IT 系統管理員或技術支援中心人員通常需要監督應用程式存取。 存取權指派可以由一般或部門 IT 團隊負責,但理想情況下,業務決策者應參與其中,並在 IT 完成流程之前給予核准。

其他組織投資與現有的自動身分識別和存取權管理系統 (如角色型存取控制 (RBAC) 或基於屬性的存取控制 (ABAC)) 的整合。 整合和規則開發往往是專業化的且較昂貴。 監視或報告任一管理方式有自己單獨、昂貴且複雜的投資。

Microsoft Entra ID 如何協助?

Microsoft Entra ID 支援針對已設定的應用程式進行廣泛的存取管理,讓組織能夠透過委派和包括管理員管理,從自動、屬性型指派 (ABAC 或 RBAC 案例) 輕鬆達成正確的存取原則。 使用 Microsoft Entra ID,您可以輕鬆實現複雜的原則,為單一應用程式結合多個管理模式,甚至可以重新使用具有相同受眾應用程式的管理規則。

使用 Microsoft Entra ID,完全整合使用方式和指派報告,使管理員能夠輕鬆報告指派狀態、指派錯誤甚至使用方式。

將使用者和群組指派給應用程式

Microsoft Entra 應用程式指派著重於兩種主要指派模式:

  • 個別指派:具備目錄雲端應用程式管理員權限的 IT 管理員可以選取個別使用者帳戶,並授與他們應用程式的存取權。

  • 群組型指派 (需要 Microsoft Entra ID P1 或 P2) 具有目錄雲端應用程式權限的 IT 管理員可以將群組指派給應用程式。 特定使用者的存取權決於在使用者嘗試存取應用程式時,使用者是否為群組的成員。 換句話說,管理員可以有效地建立指派規則,說明「獲指派群組的任何現有成員可存取應用程式」。透過此指派選項,管理員可以受益於任何 Microsoft Entra 群組管理選項,包括屬性型組動態會員資格群組、外部系統群組 (例如:內部部署的 Active Directory 或 Workday),或管理員管理或自助受控群組。 可將單一群組輕鬆地指派給多個應用程式,以確保具有指派相關性的應用程式可共用指派規則,從而降低總體管理複雜性。

    注意

    目前群組型指派給應用程式不支援巢狀群組會員資格。

系統管理員可以透過這些兩種指派模式,達成任何需要的指派管理方法。

要求應用程式的使用者指派

對於某些類型的應用程式,您可以選擇要求將使用者指派給該應用程式。 如此一來,您可以阻止除您明確指派給該應用程式的使用者之外的所有人登入。 下列類型的應用程式支援此選項:

  • 針對使用 SAML 型驗證的同盟單一登入 (SSO) 所設定的應用程式
  • 使用 Microsoft Entra 預先驗證的應用程式 Proxy 應用程式
  • 建置於 Microsoft Entra 應用程式平台,且在使用者或系統管理員同意該應用程式之後,使用 OAuth 2.0/OpenID Connect 驗證的應用程式。 某些企業應用程式對允許登入的人員提供更多的控制。

需要使用者指派時,只有您指派給應用程式的使用者 (透過直接使用者指派或根據群組會員資格) 才能登入。 他們可以在「我的應用程式」入口網站或使用直接連結來存取應用程式。

不需要指派使用者時,未指派的使用者在「我的應用程式」存取面板上看不到該應用程式,但仍可登入應用程式本身 (也稱為 SP 起始的登入),也可使用應用程式 [屬性] 頁面中的 [使用者存取 URL] (也稱為 IDP 起始的登入)。 如需要求使用者指派設定的詳細資訊,請參閱設定應用程式

此設定不會影響應用程式是否出現在「我的應用程式」上。 一旦您將使用者或群組指派給應用程式後,應用程式就會出現在使用者的「我的應用程式」入口網站上。

注意

當應用程式需要指派時,不允許使用者同意該應用程式。 即使這樣會允許該應用程式的使用者同意,也是如此。 請務必對要求指派的應用程式授予全租用戶的管理員同意

對於某些應用程式,要求使用者指派的選項在應用程式的屬性中無法使用。 在這些情況下,您可以使用 PowerShell 在服務主體上設定 appRoleAssignmentRequired 屬性。

確定存取應用程式的使用者體驗

Microsoft Entra ID 面向組織中的終端使用者提供數種可自訂的方式來部署應用程式

  • Microsoft Entra My Apps
  • Microsoft 365 應用程式啟動器
  • 直接登入同盟應用程式 (service-pr)
  • 同盟、密碼型或現有應用程式的深層連結

您可以判斷指派給企業應用程式的使用者是否可以在「我的應用程式」和 Microsoft 365 應用程式啟動器中看到它。

範例:使用 Microsoft Entra ID 的複雜應用程式指派

考慮 Salesforce 等應用程式。 在許多組織中,Salesforce 主要供行銷與銷售團隊使用。 通常,行銷團隊的成員對 Salesforce 具有高特殊權限存取權,而銷售團隊的成員則獲得有限存取權。 在許多情況下,為數眾多的資訊工作者對應用程式的存取都會受到限制。 這些規則的例外會使事情變得複雜。 通常,行銷或銷售領導團隊有權在這些通用規則之外授予使用者存取權限或更改其角色。

透過 Microsoft Entra ID,可以預先設定 Salesforce 之類的應用程式使用單一登入 (SSO) 和自動化佈建。 在設定應用程式後,管理員可以執行一次性動作來建立和指派適當的群組。 在此範例中,管理員可以執行以下指派:

  • 動態群組,以自動代表行銷與銷售小組的所有成員使用部門或角色之類的屬性:

    • 行銷群組的所有成員都會被指派至 Salesforce 中的「行銷」角色
    • 銷售群組的所有成員都會被指派至 Salesforce 中的「銷售」角色。 進一步細化可以使用多個群組來代表指派至不同 Salesforce 角色的區域銷售團隊。

  • 為了啟用例外機制,可以為每個角色建立一個自助服務群組。 例如,可以建立作為自助服務群組的 "Salesforce marketing exception" 群組。 可以將該群組指派至 Salesforce 行銷角色,並且行銷領導團隊可以成為擁有者。 行銷領導團隊的成員可以新增或移除使用者、設定加入原則,甚至核准或拒絕個別使用者的加入要求。 此機制透過不需要經過擁有者或成員特殊訓練的資訊工作者適當的體驗來支援。

在此情況下,所有指派的使用者都會自動佈建到 Salesforce。 當他們新增到不同的群組時,他們的角色指派會在 Salesforce 中更新。 使用者可以透過「我的應用程式」、Office 網頁用戶端,或瀏覽至其組織的 Salesforce 登入頁面來探索及存取 Salesforce。 系統管理員可以使用 Microsoft Entra ID 報告,輕鬆檢視使用方式和指派狀態。

管理員可以使用 Microsoft Entra 條件式存取來設定特定角色的存取原則。 這些原則可以包括是否允許在企業環境之外進行存取,甚至包括多重要素驗證或在各種情況下實現存取的裝置需求。

存取 Microsoft 應用程式

Microsoft 應用程式 (如 Exchange、SharePoint、Yammer 等) 的指派和管理與非 Microsoft SaaS 應用程式或其他應用程式略有不同,您可以將這些應用程式與 Microsoft Entra ID 整合以進行單一登入。

使用者有三種主要方式可以存取 Microsoft 已發佈的應用程式。

  • 如果是 Microsoft 365 或其他付費套件中的應用程式,使用者可以透過直接指派到其使用者帳戶的授權指派,或透過使用我們基於群組的授權指派功能的群組來獲得授與使用者存取權限。

  • 對於 Microsoft 或非 Microsoft 組織免費發佈供任何人使用的應用程式,可以透過使用者同意授予使用者存取權。 使用者可透過其 Microsoft Entra 公司或學校帳戶來登入應用程式,並允許它可以存取其帳戶上的某些有限的資料集。

  • 對於 Microsoft 或非 Microsoft 組織免費發佈供任何人使用的應用程式,也可以透過管理員同意授予使用者存取權。 這表示系統管理員已決定組織中的每個人都可以使用該應用程式,因此系統管理員使用特殊權限角色管理員角色登入應用程式,並將存取權授與組織中的每個人。

某些應用程式會結合這些方法。 例如,某些 Microsoft 應用程式是 Microsoft 365 訂閱的一部分,但仍需要同意。

使用者可以透過其 Office 365 入口網站來存取 Microsoft 365 應用程式。 您也可以使用目錄 [使用者設定] 中的 Office 365 顯示開關,決定在「我的應用程式」中顯示或隱藏 Microsoft 365 應用程式。

如同企業應用程式,您可以透過 Microsoft Entra 系統管理中心或使用 PowerShell 將使用者指派給特定的 Microsoft 應用程式。

防止透過本機帳戶存取應用程式

Microsoft Entra ID 可讓您的組織設定單一登入,以保護使用者使用條件式存取、多重要素驗證等向應用程式進行驗證的方式。某些應用程式在過去有自己的本機使用者存放區,並允許使用者使用本機認證或應用程式特定的備份驗證方法來登入應用程式,而不是使用單一登入。 這些應用程式功能可能會遭到濫用,並且即使使用者不再被指派給 Microsoft Entra ID 中的應用程式,或無法再登入 Microsoft Entra ID,也允許使用者保留對應用程式的存取權,並可能允許攻擊者嘗試入侵應用程式,而不會出現在 Microsoft Entra ID 記錄中。 若要確保登入這些應用程式受到 Microsoft Entra ID 的保護:

  • 識別哪些程式連線到您的目錄以進行單一登入,可讓終端使用者使用本機應用程式認證或備份驗證方法略過單一登入。 您必須檢閱應用程式供應商所提供的文件,以了解這是否可行,以及可用的設定。 然後,在這些應用程式中,停用允許終端使用者略過 SSO 的設定。 藉由在 InPrivate 中開啟瀏覽器、連線到應用程式的登入頁面、提供租用戶中的使用者身分識別,並確認沒有選項可透過 Microsoft Entra 登入,來測試終端使用者體驗。
  • 如果您的應用程式提供 API 以管理使用者密碼,請移除本機密碼,或使用 API 為每個使用者設定唯一密碼。 這能防止終端使用者使用本機認證登入應用程式。
  • 如果您的應用程式提供 API 來管理使用者,請設定 Microsoft Entra 使用者佈建至該應用程式,以在使用者不再位於應用程式或租用戶的範圍內時停用或刪除使用者帳戶。

後續步驟