Microsoft Entra ID 中的應用程式管理是什麼?
Microsoft Entra ID 中的應用程式管理,是在雲端中建立、設定、管理和監視應用程式的程序。 一個應用程式在 Microsoft Entra 租用戶中註冊時,已指派給該應用程式的使用者將可安全地加以存取。 許多類型的應用程式都可在 Microsoft Entra ID 中註冊。 如需詳細資訊,請參閱 Microsoft 身分識別平台的應用程式類型。
在本文中,您將了解管理應用程式生命週期的重要層面:
- 開發、新增或連線 - 根據您是在開發自己的應用程式、使用預先整合的應用程式還是連線至內部部署應用程式,您可以選擇不同的路徑。
- 管理存取權 – 可以透過使用單一登入 (SSO)、指派資源、定義授與和同意存取的方式以及使用自動佈建來管理存取。
- 設定屬性 – 設定登入應用程式的需求,以及應用程式在使用者入口網站中的表示方式。
- 保護應用程式 – 管理權限、多重要素驗證、條件式存取、權杖和憑證的設定。
- 治理和監視 – 使用權利管理、報告和監視資源管理互動和檢閱活動。
- 清理 – 當不再需要應用程式時,透過移除對租用戶的存取權來清理租用戶。
開發、新增或連線
您可以透過數種方式來管理 Microsoft Entra ID 中的應用程式。 要開始管理應用程式,最簡單的方法是使用 Microsoft Entra 資源庫中預先整合的應用程式。 選項之一是開發自己的應用程式並將其註冊至 Microsoft Entra ID,或者,您可以繼續使用內部部署應用程式。
下圖顯示這些應用程式與 Microsoft Entra ID 的互動方式。
預先整合的應用程式
許多應用程式都已預先整合 (在本文的上圖中顯示為「雲端應用程式」),並且可以輕易設定。 Microsoft Entra 資源庫中的每個應用程式都有一篇文章可向您展示設定應用程式所需的步驟。 如需有關如何將應用程式從資源庫中新增至 Microsoft Entra 租用戶的簡單範例,請參閱快速入門:新增企業應用程式。
您自己的應用程式
如果您開發自己的商務應用程式,則可以將其註冊至 Microsoft Entra ID,以利用租用戶提供的安全性功能。 您可以在 [應用程式註冊] 中註冊您的應用程式,也可以在 [企業應用程式] 中新增新的應用程式時使用 [建立您自己的應用程式] 連結進行註冊。 考慮如何在您的應用程式中實作驗證,以與 Microsoft Entra ID 整合。
如果您想透過資源庫提供您的應用程式,您可以提交供應要求。
內部部署應用程式
如果您想要繼續使用內部部署應用程式,但要利用 Microsoft Entra ID 提供的功能,請使用 Microsoft Entra 應用程式 Proxy 將其與 Microsoft Entra ID 連線。 當您希望在外部發佈內部部署的應用程式時,則可以實作應用程式 Proxy。 然後,需要存取內部應用程式的遠端使用者便可以透過安全的方式存取這些應用程式。
管理存取
- 如何授與和同意應用程式的存取權?
- 應用程式是否支援 SSO?
- 應該將哪些使用者、群組和擁有者指派給應用程式?
- 是否有其他識別提供者支援應用程式?
- 自動佈建使用者身分識別和角色是否有幫助?
存取和同意
您可以管理使用者同意設定來選擇使用者是否允許應用程式或服務存取使用者設定檔和組織資料。 為應用程式授與存取權時,使用者可以登入與 Microsoft Entra ID 整合的應用程式,而應用程式可以存取您組織的資料,以提供豐富的資料驅動體驗。
若使用者無法同意應用程式要求的權限,請考慮設定管理員同意工作流程。 此工作流程可讓使用者提供理由,並要求管理員檢閱和核准應用程式。 若要了解如何在 Microsoft Entra 租用戶中設定管理員同意工作流程,請參閱設定管理員同意工作流程。
作為管理員,您可以向應用程式授與租用戶範圍的管理員同意。 當應用程式需要一般使用者無法授與的權限時,需要租用戶範圍的管理員同意。 授與租用戶範圍的管理員同意,也會允許組織實作其本身的檢閱程序。 在授與同意之前,請務必仔細檢閱應用程式要求的權限。 為應用程式授與租用戶範圍的管理員同意後,所有使用者都能夠登入應用程式,除非您將其設定為需要使用者指派。
單一登入
請考慮在應用程式中實作 SSO。 您可以為 SSO 手動設定大部分的應用程式。 Microsoft Entra ID 中最廣受使用的選項,是 SAML 型 SSO 和 OpenID Connect 型 SSO。 在開始之前,請確保您了解 SSO 的需求以及如何規劃部署。 如需在 Microsoft Entra 租用戶中為企業應用程式設定 SAML 型 SSO 的詳細資訊,請參閱使用 Microsoft Entra ID 啟用應用程式的單一登入。
使用者、群組和擁有者指派
預設情況下,所有使用者都可以存取您的企業應用程式,而不需指派給他們。 不過,如果您想要將應用程式指派給一組使用者,請將應用程式設定為需要使用者指派,並將選取的使用者指派給應用程式。 如需有關如何建立使用者帳戶並將其指派給應用程式的簡單範例,請參閱快速入門:建立和指派使用者帳戶。
如果包含在您的訂用帳戶中,請將群組指派給應用程式,讓您可以將進行中的存取管理委派給群組擁有者。
若要授與對應用程式管理各個 Microsoft Entra 設定層面的能力,指派擁有者是簡單的方法。 作為擁有者,使用者可以管理應用程式的特定於組織設定。 最佳做法是,您應主動監視租用戶中的應用程式,確保它們至少有兩個擁有者,以避免發生應用程式無擁有者的情況。
自動化佈建
應用程式佈建是指在使用者需要存取的應用程式中,自動建立使用者身分識別和角色。 除了建立使用者識別之外,自動佈建還包括在狀態或角色變更時,維護及移除使用者識別。
身分識別提供者
您是否有要讓 Microsoft Entra ID 與其互動的識別提供者? 主領域探索提供一項設定,可讓 Microsoft Entra ID 決定使用者在登入時需要對哪個識別提供者進行驗證。
使用者入口網站
Microsoft Entra ID 為組織中的使用者提供可自訂的應用程式部署方式。 例如,「我的應用程式」入口網站或 Microsoft 365 應用程式啟動器。 「我的應用程式」為使用者提供單一位置來啟動其工作,並找到他們有權存取的所有應用程式。 作為應用程式的管理員,您應規劃組織中的使用者如何使用「我的應用程式」。
設定屬性
當您將應用程式新增至 Microsoft Entra 租用戶時,您有機會設定影響使用者與應用程式互動方式的屬性。 您可以啟用或停用登入的功能,並將應用程式設定為需要使用者指派。 您也可以判定應用程式的可見性、代表應用程式的標誌,以及應用程式的任何注意事項。 如需您可以設定的屬性詳細資訊,請參閱企業應用程式的屬性。
保護應用程式
有數種方法可以協助您保護企業應用程式的安全。 例如,您可以限制租用戶存取,管理可見性、資料和分析,並可能提供混合式存取。 確保企業應用程式的安全也涉及到管理權限、MFA、條件式存取、權杖和憑證的設定。
權限
務必定期檢閱,並在必要時管理授與應用程式或服務的權限。 請務必定期評估可疑活動是否存在,以確保您僅允許適當的應用程式存取。
權限分類可讓您根據組織的原則和風險評估,識別不同權限的影響。 例如,您可以在同意原則中使用權限分類,以識別允許使用者同意的權限集。
多重要素驗證和條件式存取
Microsoft Entra 多重要素驗證有助於保護對資料和應用程式的存取,並且可使用第二種形式的驗證提供另一層安全性。 有許多方法可用於第二要素驗證。 開始之前,請為您組織中的應用程式規劃 MFA 的部署。
組織可以透過條件式存取啟用 MFA,以打造符合自身特定需求的解決方案。 管理員可利用條件式存取原則,將控制機制指派給特定應用程式、動作或驗證內容。
權杖和憑證
Microsoft Entra ID 的驗證流程中使用不同類型的安全性權杖,視使用的通訊協定而定。 例如,SAML 權杖用於 SAML 通訊協定,ID 權杖和存取權杖用於 OpenID Connect 通訊協定。 權杖會使用 Microsoft Entra ID 所產生的唯一憑證以及特定的標準演算法進行簽署。
您可以透過加密權杖來提供更高的安全性。 您還可以管理權杖中的資訊,包括應用程式允許的角色。
Microsoft Entra ID 依預設會使用 SHA-256 演算法來簽署 SAML 回應。 除非應用程式需要 SHA-1,否則請使用 SHA-256。 為管理憑證的存留期建立流程。 簽署憑證的最長存留期為三年。 若要避免或最小化由於憑證過期所造成的中斷情況,請使用角色和電子郵件通訊群組清單,以確保密切監視與憑證相關的變更通知。
治理和監視
Microsoft Entra ID 中的權利管理可讓您管理應用程式與管理員、目錄擁有者、存取套件管理員、核准者和要求者之間的互動。
您的 Microsoft Entra 報告與監視解決方案,取決於當地法律、安全性和操作需求,以及您現有的環境和程序。 Microsoft Entra ID 中維護了數項記錄。 因此,您應規劃報告和監視部署,以盡可能保有應用程式的最佳體驗。
清理
您可以清除對應用程式的存取權。 例如,移除使用者的存取權。 您也可以停用使用者登入的方式。 最後,如果組織不再需要該應用程式,您可以將其刪除。 如需關於如何從 Microsoft Entra 租用戶中刪除企業應用程式的詳細資訊,請參閱快速入門:刪除企業應用程式。
引導式逐步解說
如需本文中許多建議的引導式逐步解說,請參閱 Microsoft 365 使用單一登入 (SSO) 保護雲端應用程式的引導式逐步解說。
下一步
- 利用快速入門:新增企業應用程式,以新增您的第一個企業應用程式來開始。