Поделиться через


Развертывание политик организации для управления доступом к приложениям, интегрированным с идентификатором Microsoft Entra

В предыдущих разделах вы определили политики управления для приложения и интегрировали это приложение с идентификатором Microsoft Entra. В этом разделе описана настройка функций управления условным доступом и правами Microsoft Entra для управления текущим доступом к приложениям. Вы устанавливаете

  • Политики условного доступа для проверки подлинности пользователя в идентификаторе Microsoft Entra для приложения, интегрированного с Идентификатором Microsoft Entra для единого входа.
  • политики управления правами, которые определяют, как пользователь получает и сохраняет назначения ролей приложений и членство в группах;
  • политики проверки доступа, которые определяют частоту проверки членства в группах.

После развертывания этих политик можно отслеживать текущее поведение идентификатора Microsoft Entra в качестве запроса пользователей и назначать доступ к приложению.

Развертывание политик условного доступа для обеспечения единого входа

В этом разделе описаны политики условного доступа, которые находятся в области определения того, может ли авторизованный пользователь войти в приложение на основе таких факторов, как сила проверки подлинности пользователя или состояние устройства.

Условный доступ возможен только для приложений, использующих идентификатор Microsoft Entra для единого входа. Если приложение не поддерживает использование единого входа, перейдите к следующему разделу.

  1. При необходимости отправьте документ с условиями использования (TOU). Если необходимо, чтобы пользователи приняли срок использования (TOU) перед доступом к приложению, создайте и отправьте документ TOU, чтобы его можно было включить в политику условного доступа.
  2. Убедитесь, что пользователи готовы к многофакторной проверке подлинности Microsoft Entra. Рекомендуется использовать многофакторную проверку подлинности Microsoft Entra для критически важных для бизнеса приложений, интегрированных через федерацию. Для этих приложений должна быть политика, требующая, чтобы пользователь выполнил требование многофакторной проверки подлинности до идентификатора Microsoft Entra, позволяющего им войти в приложение. Некоторые организации также могут блокировать доступ на основе расположений или требовать доступ с зарегистрированного устройства. Если уже нет подходящей политики, которая включает необходимые условия для проверки подлинности, расположения, устройства и toU, добавьте политику в развертывание условного доступа.
  3. Доведите конечную точку веб-приложения в область действия соответствующей политики условного доступа. Если у вас есть существующая политика условного доступа, созданная для другого приложения с теми же требованиями к управлению, вы можете обновить эту политику так же, чтобы она применялась к этому приложению, чтобы избежать большого количества политик. После внесения таких обновлений убедитесь, что политики применяются ожидаемым образом. Вы можете увидеть, какие политики будут применяться к пользователю с помощью средства What If в службе условного доступа.
  4. Создание регулярных проверок доступа, если для некоторых пользователей будут применяться временные исключения из политики. В некоторых случаях невозможно немедленно применить политики условного доступа для каждого авторизованного пользователя. Например, если у некоторых пользователей нет зарегистрированных устройств. Если необходимо исключить одного или нескольких пользователей из политики условного доступа и разрешить им доступ, настройте проверку доступа для группы пользователей, исключенных из политик условного доступа.
  5. Задокументируйте время существования маркера и параметры сеанса приложения. Как долго пользователь, которому запрещен доступ, может продолжать использовать федеративное приложение, зависит от времени существования сеанса приложения и времени существования маркера доступа. Время существования сеанса для приложения определяется самим приложением. Дополнительные сведения об управлении временем существования маркеров доступа см. в разделе о настройке времени существования маркеров.

Развертывание политик управления правами для автоматизации назначения доступа

В этом разделе описана настройка управления правами Microsoft Entra, чтобы пользователи могли запрашивать доступ к ролям приложения или группам, используемым приложением. Для выполнения этих задач необходимо быть в роли глобального администратора, администратора управления удостоверениями или делегирования в качестве создателя каталога и владельца приложения.

Примечание.

После минимального доступа к привилегиям рекомендуется использовать роль администратора управления удостоверениями здесь.

  1. Пакеты для доступа к управляемым приложениям должны находиться в указанном каталоге. Если у вас еще нет каталога для сценария управления приложениями, создайте каталог в службе управления правами Microsoft Entra. При наличии нескольких каталогов для создания можно использовать скрипт PowerShell для создания каждого каталога.
  2. Заполните этот каталог необходимыми ресурсами. Добавьте приложение и все группы Microsoft Entra, которые приложение использует, в качестве ресурсов в этом каталоге. Если у вас много ресурсов, можно использовать скрипт PowerShell для добавления каждого ресурса в каталог.
  3. Создайте пакет для доступа для каждой роли или группы, которую пользователи могут запрашивать. Для каждого из приложений и для каждой из их ролей или групп приложений создайте пакет доступа, который включает в себя роль или группу в качестве ресурса. На этом этапе настройки этих пакетов доступа настройте первую политику назначения пакетов доступа в каждом пакете доступа для прямого назначения, чтобы только администраторы могли создавать назначения. В этой политике задайте требования к проверке доступа для существующих пользователей, если таковые есть, чтобы они не могли сохранять доступ неограниченно долго. Если у вас много пакетов доступа, можно использовать сценарий PowerShell для создания каждого пакета доступа в каталоге.
  4. Настройте несколько пакетов для доступа, чтобы разделить обязанности. Если у вас есть требования к разделению обязанностей, настройте несовместимые пакеты доступа или включите в пакеты для доступа уже существующие группы. Если в вашем сценарии требуется возможность переопределить разделение обязанностей, можете также настроить сценарии переопределения в дополнительных пакетах для доступа.
  5. Добавьте в пакеты для доступа назначения существующих пользователей, у которых уже есть доступ к приложению. Для каждого пакета доступа назначьте существующих пользователей приложения в соответствующей роли или членах этой группы пакету доступа и его политике прямого назначения. Вы можете напрямую назначить пользователя пакету доступа с помощью Центра администрирования Microsoft Entra или массово с помощью Graph или PowerShell.
  6. Создайте дополнительные политики, чтобы разрешить пользователям запрашивать доступ. В каждом пакете доступа создайте дополнительные политики назначения пакетов для доступа пользователям при запроса доступа. Настройте в этой политике требования к утверждению и регулярной проверке доступа.
  7. Создайте регулярные проверки доступа для других групп, используемых приложением. Если уже существуют используемые приложением группы, которые не являются ролями ресурсов в пакете для доступа, создайте проверки доступа для членства в этих группах.

Просмотр отчетов о доступе

Идентификатор Microsoft Entra и Управление идентификацией Microsoft Entra с Azure Monitor предоставляют несколько отчетов, которые помогут вам понять, кто имеет доступ к приложению и использует этот доступ.

  • Администратор или владелец каталога может получить список пользователей, имеющих назначения пакетов доступа, через Центр администрирования Microsoft Entra, Graph или PowerShell.
  • Вы также можете отправить журналы аудита в Azure Monitor и просмотреть журнал изменений пакета доступа, в Центре администрирования Microsoft Entra или с помощью PowerShell.
  • Вы можете просмотреть последние 30 дней входа в приложение в отчете о входе в центре администрирования Microsoft Entra или с помощью Graph.
  • Вы также можете отправить журналы входа в Azure Monitor для хранения архива действий входа в течение двух лет.

Мониторинг для корректировки политик управления правами и доступа по мере необходимости

Через регулярные интервалы, например еженедельные, ежемесячные или ежеквартальные, в зависимости от объема изменений назначения доступа к приложениям, используйте Центр администрирования Microsoft Entra, чтобы обеспечить предоставление доступа в соответствии с политиками. Вы также можете проверять, что назначенные для утверждения и проверки пользователи должны сохранять эти полномочия.

  • Отслеживайте назначения ролей приложения и изменения членства в группах. Если у вас есть идентификатор Microsoft Entra, настроенный для отправки журнала аудита в Azure Monitor, используйте Application role assignment activity azure Monitor для отслеживания и отчета о любых назначениях ролей приложения, которые не были сделаны с помощью управления правами. Если существуют назначения ролей, созданные владельцем приложения напрямую, обратитесь к нему и убедитесь, что такое назначение авторизовано. Кроме того, если приложение использует группы безопасности Microsoft Entra, также следите за изменениями этих групп.

  • Кроме того, следите за прямым предоставлением доступа пользователям в приложении. Если выполняются следующие условия, пользователь может получить доступ к приложению, не являясь частью идентификатора Microsoft Entra, или без добавления в хранилище учетных записей пользователей приложений идентификатором Microsoft Entra ID:

    • приложение использует локальное хранилище учетных записей пользователей;
    • это хранилище учетных записей пользователей находится в базе данных или в каталоге LDAP;
    • Приложение не полагается исключительно на идентификатор Microsoft Entra для единого входа.

    Для приложения со свойствами в предыдущем списке следует регулярно проверять, что пользователи были добавлены только в локальное хранилище пользователей приложения с помощью подготовки Microsoft Entra. Если пользователи создаются непосредственно в приложении, обратитесь к владельцу приложения и убедитесь, что такое назначение авторизовано.

  • Проверьте актуальность списка утверждающих и рецензентов. Для каждого пакета для доступа, настроенного в предыдущем разделе, проверьте назначения пакетов для доступа в политиках и убедитесь, что они правильно определяют утверждающих и рецензентов. Обновите эти политики, если ранее настроенные утверждающие и рецензенты уже покинули организацию или сменили роли.

  • Убедитесь, что рецензенты принимают решения во время проверки. Убедитесь, что регулярные проверки доступа, которые выполняются для пакетов для доступа, успешно завершаются, то есть рецензенты участвуют в процессе и принимают решения о подтверждении или запрете сохранения доступа для пользователя.

  • Убедитесь, что подготовка и отмена подготовки работают должным образом. Если вы ранее настроили подготовку пользователей в приложении, то при применении результатов проверки или назначения пользователя пакету доступа срок действия идентификатора Microsoft Entra начинает отменять подготовку пользователей из приложения. Вы можете отслеживать процесс отмены подготовки пользователей. Если подготовка указывает на ошибку в приложении, можно загрузить журнал подготовки, чтобы выяснить, не возникла ли проблема с приложением.

  • Обновите конфигурацию Microsoft Entra с любыми изменениями ролей или групп в приложении. Если администратор приложения добавляет новые роли приложения в манифест, обновляет существующие роли или полагается на дополнительные группы, необходимо обновить пакеты доступа и проверки доступа для учета этих новых ролей или групп.

Следующие шаги