Share via

部署組織原則,以控管與 Microsoft Entra ID 整合之應用程式的存取權

  • 發行項

在上一節中,您已 定義應用程式的 治理原則,並使用 Microsoft Entra ID 整合該應用程式。 在本節中,您會設定 Microsoft Entra 條件式存取和權利管理功能,以控制應用程式的持續存取。 您建立

  • 條件式存取原則,說明使用者如何針對與 Microsoft Entra ID 整合的應用程式驗證 Microsoft Entra ID 以進行單一登錄
  • 權利管理原則,說明使用者如何取得和保留群組中應用程式角色和成員資格的指派
  • 存取權檢閱原則,以瞭解檢閱群組成員資格的頻率

部署這些原則之後,您就可以在使用者要求時監視 Microsoft Entra ID 的持續行為,並獲指派應用程式存取權。

部署 SSO 強制執行的條件式存取原則

在本節中,您會根據使用者的驗證強度或裝置狀態等因素,建立條件式存取原則,以判斷授權的使用者是否能夠登入應用程式。

條件式存取僅適用於依賴 Microsoft Entra ID 進行單一登錄 (SSO) 的應用程式。 如果應用程式無法整合 SSO,請繼續進行下一節。

  1. 視需要上傳使用規定 (TOU) 檔。 如果您需要使用者在存取應用程式之前接受使用規定(TOU),請建立並 上傳 TOU 檔 ,使其可以包含在條件式存取原則中。
  2. 確認使用者已準備好進行 Microsoft Entra 多重要素驗證。 我們建議針對透過同盟整合的商業關鍵應用程式,要求 Microsoft Entra 多重要素驗證。 對於這些應用程式,應該有一個原則,要求使用者在 Microsoft Entra ID 允許他們登入應用程式之前符合多重要素驗證需求。 某些組織也可能封鎖依位置的存取,或 要求使用者從已註冊的裝置存取。 如果沒有適當的原則已經包含驗證、位置、裝置和 TOU 的必要條件,請將 原則新增至條件式存取部署
  3. 將應用程式 Web 端點納入適當的條件式存取原則範圍。 如果您有針對另一個受相同治理需求之應用程式建立的現有條件式存取原則,您可以更新該原則,使其也適用於此應用程式,以避免有大量的原則。 進行更新之後,請檢查以確定已套用預期的原則。 您可以看到哪些原則會套用至具有 條件式存取的使用者,如果有工具的話。
  4. 如果有任何使用者需要暫時性原則排除專案,請建立週期性存取權檢閱。 在某些情況下,可能無法立即為每個授權的使用者強制執行條件式存取原則。 例如,某些使用者可能沒有適當的已註冊裝置。 如果需要從條件式存取原則中排除一或多個使用者並允許他們存取,請為從條件式存取原則排除的使用者群組設定存取權檢閱。
  5. 記錄令牌存留期和應用程式的會話設定。 拒絕繼續存取的使用者可以繼續使用同盟應用程式的時間長度取決於應用程式自己的會話存留期,以及存取令牌存留期。 應用程式的會話存留期取決於應用程式本身。 若要深入瞭解控制存取令牌的存留期,請參閱 可設定的令牌存留期

部署權利管理原則以自動化存取指派

在本節中,您會設定 Microsoft Entra 權利管理,讓使用者可以要求存取應用程式的角色或應用程式所使用的群組。 若要執行這些工作,您必須位於全域 管理員 istrator、Identity Governance 管理員 istrator 角色中,或委派為目錄建立者和應用程式的擁有者。

  1. 受控應用程式的存取套件應該位於指定的目錄中。 如果您還沒有應用程式控管案例的目錄, 請在 Microsoft Entra 權利管理中建立目錄 。 如果您有多個要建立的目錄,您可以使用 PowerShell 腳本來 建立每個目錄
  2. 使用必要的資源填入目錄。 新增應用程式,以及應用程式所依賴的任何 Microsoft Entra 群組, 做為該目錄中的資源。 如果您有許多資源,您可以使用PowerShell文本將 每個資源新增至目錄
  3. 為每個使用者可以要求的角色或群組建立存取套件。 針對每個應用程式,以及每個應用程式角色或群組, 建立包含該角色或群組作為其資源的存取套件 。 在設定這些存取套件的這個階段,請將每個存取套件 中的第一個存取套件指派原則設定為直接指派的原則,讓只有系統管理員可以建立指派。 在該原則中,設定現有使用者的存取權檢閱需求,如果有的話,讓他們不會無限期地保留存取權。 如果您有許多存取套件,您可以使用 PowerShell 腳本在 目錄中建立每個存取套件。
  4. 設定存取套件以強制區分職責需求。 如果您有 職責需求的 區隔,請為存取套件設定不相容的存取套件或現有群組。 如果您的案例需要能夠覆寫職責分離檢查,您也可以 針對這些覆寫案例設定其他存取套件。
  5. 將現有使用者的指派新增至可存取套件的存取權。 針對每個存取套件,將該對應角色或該群組成員中的應用程式現有使用者指派給存取套件及其直接指派原則。 您可以使用 Microsoft Entra 系統管理中心,或透過 Graph 或 PowerShell 大量指派使用者給存取套件。
  6. 建立其他原則以允許使用者要求存取權。 在每個存取套件中, 建立額外的存取套件指派原則 ,讓使用者要求存取權。 在該原則中設定核准和週期性存取權檢閱需求。
  7. 為應用程式使用的其他群組建立週期性存取權檢閱。 如果應用程式使用群組,但不是存取套件的資源角色,請 為這些群組的成員資格建立存取權檢閱

檢視存取報告

Microsoft Entra ID 和 Microsoft Entra ID 控管 與 Azure 監視器提供數個報告,可協助您瞭解誰可以存取應用程式,以及他們是否使用該存取權。

監視以視需要調整權利管理原則和存取權

根據應用程式的應用程式存取指派變更量,定期定期、每月或每季使用 Microsoft Entra 系統管理中心,以確保根據原則授與存取權。 您也可以確保已識別的使用者核准和檢閱仍然是這些工作的正確個人。

  • 監看應用程式角色指派和群組成員資格變更。 如果您已設定 Microsoft Entra ID 將其稽核記錄傳送至 Azure 監視器,請使用 Application role assignment activity Azure 監視器中的 來 監視和報告任何未透過權利管理進行的應用程式角色指派。 如果直接由應用程式擁有者建立的角色指派,您應該連絡該應用程式擁有者,以判斷該指派是否已獲得授權。 此外,如果應用程式依賴 Microsoft Entra 安全組,也會監視這些群組的變更。

  • 也請監看應用程式內直接授與存取權的使用者。 如果符合下列條件,則使用者可以取得應用程式存取權,而不需要成為 Microsoft Entra 識別碼的一部分,或未透過 Microsoft Entra ID 新增至應用程式的使用者帳戶存放區:

    • 應用程式在應用程式內有本機用戶帳戶存放區
    • 用戶帳戶存放區位於資料庫或LDAP目錄中
    • 應用程式不會只依賴 Microsoft Entra ID 進行單一登錄。

    對於具有上一個清單中屬性的應用程式,您應該定期檢查使用者是否只透過 Microsoft Entra 布建新增至應用程式的本機使用者存放區。 如果直接在應用程式中建立的使用者,請連絡應用程式擁有者,以判斷該指派是否已獲得授權。

  • 確定核准者和檢閱者保持在最新狀態。 針對您在上一節中設定的每個存取套件,請確定存取套件指派原則會繼續擁有正確的核准者和檢閱者。 如果先前設定的核准者和檢閱者不再存在於組織中,或處於不同的角色,請更新這些原則。

  • 驗證檢閱者是否在檢閱期間做出決策。 監視這些存取套件的週期性存取權檢閱是否成功完成,以確保檢閱者參與並做出核准或拒絕用戶繼續需要存取的決定。

  • 檢查布建和取消布建是否如預期般運作。 如果您先前已將使用者布建至應用程式,則在套用檢閱結果或使用者指派存取套件到期時,Microsoft Entra ID 會開始取消布建應用程式拒絕的使用者。 您可以 監視取消佈建用戶的程式。 如果布建指出應用程式發生錯誤,您可以 下載布建記錄 檔來調查應用程式是否有問題。

  • 使用應用程式中的任何角色或群組變更來更新 Microsoft Entra 組態。 如果應用程式管理員在其指令清單新增新的應用程式角色、更新現有的角色或依賴其他群組,則您必須更新存取套件和存取權檢閱,以考慮這些新角色或群組。

下一步