Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Идентификатор Microsoft Entra — это облачная служба управления удостоверениями и доступом Майкрософт. Идентификатор Microsoft Entra предоставляет безопасные решения для проверки подлинности и авторизации, чтобы клиенты, партнеры и сотрудники могли получить доступ к нужным приложениям. Идентификатор Microsoft Entra, условный доступ, многофакторная проверка подлинности, единый вход (SSO) и автоматическая подготовка пользователей упрощают управление удостоверениями и доступом.
Интегрируйте приложения SaaS с идентификатором Microsoft Entra, чтобы отслеживать и настраивать для них доступ. Идентификатор Microsoft Entra имеет коллекцию приложений, которая представляет собой коллекцию приложений SaaS, предварительно созданных с помощью идентификатора Microsoft Entra. Вы также можете добавить собственные пользовательские приложения. Дополнительные сведения см. в пяти шагах по интеграции всех приложений с идентификатором Microsoft Entra.
После добавления приложений в Microsoft Entra ID, вы можете настроить, как приложения будут доступны и подчиняться определенным условиям, включив их в область действия ваших политик управления доступом пользователям и устройствам на основе концепции Zero Trust.
Если у вас уже развернуты Microsoft Defender для облачных приложений, вы можете обнаружить приложения SaaS, которые используются в вашей организации. Дополнительные сведения см. в шаге 2 этого решения и обнаружении и управлении теневыми ИТ-сервисами в вашей сети.
Добавление приложений в идентификатор Microsoft Entra
Добавление приложений в идентификатор Microsoft Entra позволяет использовать предоставляемые им службы, в том числе:
- Проверка подлинности и авторизация приложений.
- Проверка подлинности и авторизация пользователей.
- Единый вход с помощью федерации или паролей.
- Подготовка пользователей и синхронизация.
- Управление доступом на основе ролей, использующее Microsoft Entra для определения ролей приложений и выполнения проверок авторизации на основе ролей в приложении.
- Службы авторизации OAuth, используемые Microsoft 365 и другими приложениями Майкрософт для авторизации доступа к API и ресурсам.
- Публикация приложений и прокси-сервер для публикации приложения из частной сети в Интернет.
- Атрибуты расширения схемы каталога для хранения дополнительных данных в идентификаторе Microsoft Entra.
Существует несколько способов добавления приложений в идентификатор Microsoft Entra. Самый простой способ начать управление приложениями — использовать коллекцию приложений. Вы также можете добавлять пользовательские приложения. В этом разделе описаны оба способа.
Добавление приложений из коллекции приложений
Microsoft Entra ID имеет галерею приложений, содержащую коллекцию приложений SaaS, предварительно интегрированных с Microsoft Entra ID. Просто войдите в Центр администрирования Microsoft Entra и выберите приложения из определенных облачных платформ, избранных приложений или найдите приложение, которое вы хотите использовать.
Дополнительные сведения см. в разделе "Добавление корпоративного приложения " и "Обзор" коллекции приложений Microsoft Entra.
Добавление пользовательских приложений в коллекцию приложений Microsoft Entra
Вы можете разрабатывать собственные облачные приложения и зарегистрировать их в идентификаторе Microsoft Entra. Регистрация их с помощью идентификатора Microsoft Entra позволяет использовать функции безопасности, предоставляемые клиентом Microsoft 365. В Центре администрирования Microsoft Entra можно зарегистрировать приложение в регистрациях приложений или зарегистрировать его с помощью ссылки "Создать собственное приложение " при добавлении нового приложения в корпоративные приложения.
Дополнительные сведения см. в разделе "Что такое управление приложениями в идентификаторе Microsoft Entra ID" и "Запрос на публикацию приложения" в коллекции приложений Microsoft Entra.
Добавьте приложения в сферу действия политик доступа для идентификации и устройства по нулевому доверию
Политики условного доступа позволяют назначать элементы управления определенным приложениям, действиям или контексту проверки подлинности. Можно определить такие условия, как то, какой тип устройства может получить доступ к ресурсу, уровням риска пользователя, доверенным расположениям и другим условиям, таким как надежная проверка подлинности. Например, многофакторная проверка подлинности (MFA) помогает защитить доступ к данным и приложениям с дополнительной безопасностью, требуя второй формы проверки.
После добавления приложений в идентификатор Microsoft Entra необходимо добавить их в область политик удостоверений нулевого доверия и доступа к устройствам.
Обновление распространенных политик
На следующей диаграмме показаны политики идентификации, соответствующей модели Zero Trust, и политики доступа к устройствам для приложений SaaS и PaaS. Здесь выделен набор общих политик условного доступа (Conditional Access), границы которых необходимо изменить, чтобы включить ваши приложения SaaS.
Для обновления каждой политики убедитесь, что приложения и их зависимые службы включены в назначение облачных приложений.
В этой таблице перечислены политики, которые необходимо проверить со ссылками на каждую политику в наборе общих политик идентификации и доступа к устройствам.
| Уровень защиты | Policies | Description |
|---|---|---|
| Начальная точка | Требовать многофакторную проверку подлинности, если риск входа является средним или высоким | Убедитесь, что облачные приложения и зависимые службы включены в список приложений. |
| Блокировать клиенты, не поддерживающие современную проверку подлинности | Включите приложения и зависимые службы в назначение облачных приложений. | |
| Пользователи с высоким уровнем риска должны изменить пароль | Принудительно заставляет пользователей приложений изменять пароль при входе, если для учетной записи обнаружена активность с высоким риском. | |
| Применение политик защиты данных APP | Убедитесь, что облачные приложения и зависимые службы включены в список приложений. Обновите политику для каждой платформы (iOS, Android, Windows). | |
| Предприятие | Требовать многофакторную проверку подлинности при низком, среднем или высоком риске входа | Убедитесь, что облачные приложения и зависимые службы включены в список приложений. |
| Требовать совместимые компьютеры и мобильные устройства | Убедитесь, что облачные приложения и зависимые службы включены в список приложений. | |
| Специализированная безопасность | Всегда используйте многофакторную аутентификацию | Независимо от удостоверения пользователя ваша организация использует MFA. |
Дополнительные сведения см. в статье "Рекомендуемые политики Microsoft Defender для облачных приложений" для приложений SaaS.
Следующий шаг
Перейдите к шагу 2 , чтобы создать политики Defender для облачных приложений.
