共用方式為

部署組織原則以控管與 Microsoft Entra ID 整合的應用程式存取權

  • 發行項

在前幾節中,您已定義應用程式的控管原則,並整合該應用程式與 Microsoft Entra ID。 在本節中,您將設定 Microsoft Entra 條件式存取和權利管理功能,以控制應用程式的持續存取。 您將建立

  • 條件式存取原則,指定使用者如何向 Microsoft Entra ID 進行驗證,使應用程式與 Microsoft Entra ID 整合以進行單一登入
  • 權利管理原則,指定使用者如何取得和保留對群組中的應用程式角色與成員資格的指派
  • 存取權檢閱原則,指定檢閱群組成員資格的頻率

部署這些原則之後,您即可在使用者要求和獲派應用程式的存取權時,監視 Microsoft Entra ID 的後續行為。

部署條件式存取原則以實施 SSO 認證

在本節中,您會根據使用者的驗證強度或裝置狀態等因素,建立相關的條件式存取原則,用於判斷授權使用者是否能夠登入應用程式。

條件式存取僅適用於依賴 Microsoft Entra ID 進行單一登入 (SSO) 的應用程式。 如果應用程式無法進行 SSO 的相關整合,請繼續進行下一節。

  1. 視需要上傳使用規定 (TOU) 文件。 若您要求使用者必須先接受使用規定 (TOU) 才能存取應用程式,請建立並上傳 TOU 文件 (部分機器翻譯),以便將其包含在條件式存取原則中。
  2. 確認使用者是否已準備好進行 Microsoft Entra 多重要素驗證。 對於透過同盟整合的業務關鍵應用程式,建議要求使用 Microsoft Entra 多重要素驗證。 對於這些應用程式,應設定相關原則,要求使用者必須符合多重要素驗證需求,Microsoft Entra ID 才會允許其登入應用程式。 某些組織也可能會依位置封鎖存取,或要求使用者從已註冊的裝置存取。 如果還沒有包含驗證、位置、裝置和 TOU 必要條件的適當政策,請將政策新增至您的條件式存取配置
  3. 將應用程式 Web 端點納入適當條件式存取原則的範圍內。 如果您有針對另一個應用程式而建立的現有條件式存取原則,且該應用程式有相同的控管需求,您也可以更新該原則,使其也適用於此應用程式,以避免產生大量原則。 進行更新之後,請確認預期的原則已套用。 您可以使用條件式存取 What If 工具,查看哪些原則適用於使用者。
  4. 如果有任何使用者需要暫時性原則排除項目,請建立週期性存取權檢閱。 在某些情況下,可能無法立即為每個授權使用者強制執行條件式存取原則。 例如,某些使用者可能沒有適當的已註冊裝置。 如果需要從條件式存取原則中排除一或多個使用者,並允許他們存取,請為排除於條件式存取原則外的使用者 (部分機器翻譯) 群組設定存取權檢閱。
  5. 記錄令牌存留期和應用程式的會話設定。 遭到拒絕持續存取的使用者,可繼續使用同盟應用程式的時間長度,取決於應用程式本身的工作階段存留期,以及存取權杖存留期。 應用程式的工作階段存留期取決於應用程式本身。 若要深入了解如何控制存取權杖的存留期,請參閱可設定的權杖存留期

部署權利管理原則以自動進行存取指派

在本節中,您會設定 Microsoft Entra 權利管理,讓使用者能夠要求存取應用程式的角色或應用程式所使用的群組。 若要執行這些工作,預設最低許可權角色是 Identity Governance Administrator 角色,或其他使用者可以 委派為目錄建立者,而且也是應用程式的擁有者。

注意

遵循最小特權存取,我們建議在此處使用身分識別治理管理員角色。

  1. 受控管應用程式的存取套件應位於指定的目錄中。 如果您還沒有適用於應用程式控管情境的目錄,請在 Microsoft Entra 權利管理中建立目錄。 如果您有多個要建立的目錄,您可以使用PowerShell腳本來 建立每個目錄,如 使用PowerShell建立目錄所示。
  2. 在目錄中填入必要的資源。 新增應用程式,以及該應用程式所依附的任何 Microsoft Entra 群組,將它們作為該目錄中的資源。 如果您有許多資源,您可以使用PowerShell文本 將每個資源新增至目錄,如 將應用程式新增為資源至目錄所示。
  3. 為使用者可要求的每個角色或群組建立存取套件。 對於每個應用程式,以及每個應用程式角色或群組,建立存取套件,其中包含該角色或群組作為其資源。 在設定這些存取套件的階段中,將每個存取套件中的第一個存取套件指派原則設定為直接指派原則 (部分機器翻譯),僅允許系統管理員建立指派。 在該原則中,設定現有使用者 (如果有的話) 的存取權檢閱需求,使其不會無限期地保有存取權。 如果您有許多存取套件,您可以使用 PowerShell 腳本來 在目錄中建立每個存取套件,如 為具有單一角色的應用程式建立存取套件所示。
  4. 設定存取套件以強制執行職責區分需求。 如果您有職責區分需求,請為存取套件設定不相容的存取套件或現有群組。 如果您的案例需要覆寫職責區分檢查的功能,您也可以為這些覆寫案例設定其他存取套件
  5. 將已有應用程式存取權之現有使用者的指派新增至存取套件。 對於個別存取套件,將對應角色中應用程式的現有使用者或該群組的成員指派給存取套件及其直接指派原則。 您可以使用 Microsoft Entra 系統管理中心,或透過 Graph 或 PowerShell,直接將使用者 指派給存取套件,如 新增現有使用者的指派所示。
  6. 建立其他原則以允許使用者要求存取。 在每個存取套件中建立其他存取套件指派原則,供使用者要求存取權。 在該原則中設定核准和週期性存取權檢閱需求。
  7. 為應用程式所使用的其他群組建立週期性存取權檢閱。 如果存在被應用程式使用但不是存取套件資源角色的群組,請為這些群組的成員身分建立存取權檢閱

檢視存取報告

Microsoft Entra ID 和 Microsoft Entra ID 控管與 Azure 監視器的搭配運作可提供數份報表,協助您了解誰可以存取應用程式,及其是否使用該存取權。 這些包括:

Microsoft Entra 中有其他可用的報告。 如需權利管理中報告的詳細資訊,請參閱 檢視權利管理中的報告和記錄

您也可以使用 Azure 數據總管來保留和報告來自 Microsoft Entra、Microsoft Entra ID Governance 和其他來源的目前或歷程記錄數據。 如需詳細資訊,請參閱 使用 Microsoft Entra ID `資料` 於 Azure Data Explorer 中的自訂報告

監視並視需要調整權利管理原則和存取權

根據應用程式的應用程式存取指派變更量,定期 (例如每週、每月或每季) 使用 Microsoft Entra 系統管理中心確認存取權均依照原則進行授與。 您也可以確保已識別的使用者身份仍然是負責核准和檢閱這些工作的正確對象。

  • 監看應用程式角色指派和群組成員資格變更。 如果您已將 Microsoft Entra ID 設定為將稽核記錄傳送至 Azure 監視器,請使用 Azure 監視器中的 Application role assignment activity監視及報告未透過權利管理進行的任何應用程式角色指派。 如果有應用程式擁有者直接建立的角色指派,您應連絡該應用程式擁有者以確認該指派是否已授權。 此外,如果應用程式依賴 Microsoft Entra 安全性群組,也請監視這些群組的變更。

  • 監看直接在應用程式內被授與存取權的使用者。 如果符合下列條件,則使用者無須屬於 Microsoft Entra ID,或無須由 Microsoft Entra ID 新增至應用程式使用者帳戶存放區,即可取得應用程式的存取權:

    • 應用程式在其中有本機使用者帳戶存放區
    • 使用者帳戶存放區位於資料庫或 LDAP 目錄中
    • 應用程式並非僅依賴 Microsoft Entra ID 進行單一登入。

    應用程式若具有上述清單中的屬性,您即應定期檢查使用者是否僅透過 Microsoft Entra 佈建新增至應用程式的本機使用者存放區。 如果有使用者是直接在應用程式中建立的,請連絡應用程式擁有者以確認該指派是否已授權。

  • 確定核准者和檢閱者保持最新狀態。 對於您在上一節中設定的每個存取套件,請確定存取套件指派原則將持續擁有正確的核准者和檢閱者。 如果先前設定的核准者和檢閱者已不存在於組織中,或屬於不同的角色,請更新這些原則。

  • 驗證檢閱者是否在檢閱期間做出決策。 監視這些存取套件的週期性存取權檢閱是否順利完成,以確定檢閱者參與其中,並做出決策以核准或拒絕使用者後續的存取需求。

  • 檢查配置和解除配置是否如預期運行。 如果您先前已設定將使用者群體佈建至應用程式,當檢閱的結果被套用時,或在使用者對存取套件的指派過期時,Microsoft Entra ID 會開始從應用程式中取消佈建遭拒絕的使用者群體。 您可以監控解除佈建使用者的程序。 如果佈建指出應用程式發生錯誤,您可以下載佈建記錄檔,以調查應用程式是否有問題。

  • 在應用程式中進行角色或群組變更時,請更新 Microsoft Entra 設定。 如果應用程式管理員在其 指令清單中新增應用程式角色,、更新現有的角色,或依賴其他群組,則您必須更新存取套件和存取權檢閱,以考慮這些新角色或群組。

下一步