Was ist die Anwendungsverwaltung in Azure Active Directory?

Die Anwendungsverwaltung in Azure Active Directory (Azure AD) umfasst das Erstellen, Konfigurieren, Verwalten und Überwachen von Anwendungen in der Cloud. Wenn eine Anwendung in einem Azure AD-Mandanten registriert ist, können zugewiesene Benutzer sicher darauf zugreifen. In Azure AD können viele Arten von Anwendungen registriert werden. Weitere Informationen finden Sie unter Anwendungstypen für die Microsoft Identity Platform.

In diesem Artikel werden folgende wichtige Aspekte der Anwendungslebenszyklusverwaltung vermittelt:

  • Entwickeln, Hinzufügen oder Verbinden: Ihre Vorgehensweise hängt davon ab, ob Sie Ihre eigene Anwendung entwickeln, eine vorab integrierte Anwendung verwenden oder eine Verbindung mit einer lokalen Anwendung herstellen möchten.
  • Verwalten des Zugriffs: Sie können einmaliges Anmelden (Single Sign-On, SSO) verwenden, Ressourcen zuweisen, die Art der Zugriffsgewährung und Einwilligung definieren sowie die automatisierte Bereitstellung verwenden, um den Zugriff zu verwalten.
  • Konfigurieren von Eigenschaften: Konfigurieren Sie die Anforderungen für die Anmeldung bei der Anwendung sowie die Darstellung der Anwendung in Benutzerportalen.
  • Schützen der Anwendung: Verwalten Sie die Konfiguration von Berechtigungen, mehrstufiger Authentifizierung (Multifactor Authentication, MFA), bedingtem Zugriff, Token und Zertifikaten.
  • Steuern und Überwachen: Verwenden Sie die Berechtigungsverwaltung sowie Berichterstellungs- und Überwachungsressourcen, um Interaktionen zu verwalten und Aktivitäten zu überprüfen.
  • Bereinigen: Wenn Ihre Anwendung nicht mehr benötigt wird, bereinigen Sie Ihren Mandanten, indem Sie den Zugriff entfernen und die Anwendung löschen.

Entwickeln, Hinzufügen oder Verbinden

Anwendungen können in Azure AD auf verschiedene Arten verwaltet werden. Die einfachste Möglichkeit für den Einstieg in die Anwendungsverwaltung ist die Verwendung einer vorab integrierten Anwendung aus dem Azure AD-Katalog. Sie können aber auch eine eigene Anwendung entwickeln und in Azure AD registrieren oder weiterhin eine lokale Anwendung verwenden.

Die folgende Abbildung zeigt die Interaktion dieser Anwendungen mit Azure AD:

Diagramm: Verwendung selbst entwickelter Apps, vorab integrierter Apps und lokaler Apps als Unternehmens-Apps

Vorab integrierte Anwendungen

Viele Anwendungen sind bereits vorab integriert (in der Abbildung oben als Cloudanwendungen dargestellt) und können mit minimalem Aufwand eingerichtet werden. Für jede Anwendung im Azure AD-Katalog steht ein Artikel zur Verfügung, in dem die erforderlichen Schritte zum Konfigurieren der Anwendung beschrieben werden. Ein einfaches Beispiel für das Hinzufügen einer Anwendung aus dem Katalog zu einem Azure AD-Mandanten finden Sie unter Schnellstart: Hinzufügen einer Unternehmensanwendung in Azure Active Directory.

Eigene Anwendungen

Wenn Sie eine eigene Geschäftsanwendung entwickeln, können Sie sie bei Azure AD registrieren, um von den Sicherheitsfeatures des Mandanten zu profitieren. Sie können Ihre Anwendung in App-Registrierungen registrieren oder den Link Eigene Anwendung erstellen verwenden, wenn Sie eine neue Anwendung in Unternehmensanwendungen hinzufügen. Machen Sie sich Gedanken zur Implementierung der Authentifizierung in Ihrer Anwendung für die Integration in Azure AD.

Wenn Sie Ihre Anwendung über den Katalog verfügbar machen möchten, können Sie die Aufnahme Ihrer Anwendung in den Katalog beantragen.

Lokale Anwendungen

Wenn Sie weiterhin eine lokale Anwendung verwenden, aber auch von den Vorteilen von Azure AD profitieren möchten, können Sie die Anwendung per Azure AD-Anwendungsproxy mit Azure AD verbinden. Durch Implementieren des Anwendungsproxys können lokale Anwendungen extern veröffentlicht werden. Remotebenutzer, die Zugriff auf interne Anwendungen benötigen, können dann auf sichere Weise auf sie zugreifen.

Verwalten des Zugriffs

Im Zusammenhang mit der Verwaltung des Zugriffs für eine Anwendung müssen folgende Fragen beantwortet werden:

  • Wie werden Zugriffsgewährung und Einwilligung für die Anwendung gehandhabt?
  • Unterstützt die Anwendung SSO?
  • Welche Benutzer, Gruppen und Besitzer sollen der Anwendung zugewiesen werden?
  • Gibt es andere Identitätsanbieter, die die Anwendung unterstützen?
  • Ist es sinnvoll, die Bereitstellung von Benutzeridentitäten und Rollen zu automatisieren?

Sie können Einstellungen für die Benutzereinwilligung verwalten, um zu entscheiden, ob Benutzer einer Anwendung oder einem Dienst Zugriff auf Benutzerprofile und Organisationsdaten gewähren können. Wenn Anwendungen Zugriff gewährt wird, können sich Benutzer bei in Azure AD integrierten Anwendungen anmelden, und die Anwendung kann auf die Daten Ihrer Organisation zugreifen, um umfassende datengesteuerte Erfahrungen zu bieten.

Benutzer können häufig keine Einwilligung für die von einer Anwendung angeforderten Berechtigungen erteilen. Konfigurieren Sie den Workflow für die Administratoreinwilligung, damit Benutzer eine Begründung angeben und die Überprüfung und Genehmigung einer Anwendung durch einen Administrator anfordern können.

Administratoren können einer Anwendung eine mandantenweite Administratoreinwilligung erteilen. Die mandantenweite Administratoreinwilligung ist erforderlich, wenn eine Anwendung Berechtigungen erfordert, die von regulären Benutzern nicht gewährt werden dürfen, und sie ermöglicht es Organisationen, eigene Überprüfungsprozesse zu implementieren. Überprüfen Sie vor dem Erteilen einer Einwilligung immer sorgfältig die Berechtigungen, die von der Anwendung angefordert werden. Wenn für eine Anwendung eine mandantenweite Administratoreinwilligung erteilt wurde, können sich alle Benutzer bei der Anwendung anmelden – es sei denn, in der Konfiguration wurde festgelegt, dass eine Benutzerzuweisung erforderlich ist.

Einmaliges Anmelden

Erwägen Sie die Implementierung von SSO in Ihrer Anwendung. Die meisten Anwendungen können manuell für SSO konfiguriert werden. Die gängigsten Optionen in Azure AD sind SAML-basiertes SSO und OpenID Connect-basiertes SSO. Machen Sie sich zunächst mit den Anforderungen für SSO und mit der Bereitstellungsplanung vertraut. Unter Schnellstart: Aktivieren des einmaligen Anmeldens für eine Unternehmensanwendungen in Azure Active Directory finden Sie ein einfaches Beispiel, in dem SAML-basiertes einmaliges Anmelden für eine Unternehmensanwendung in einem Azure AD-Mandanten konfiguriert wird.

Benutzer-, Gruppen- und Besitzerzuweisung

Standardmäßig können alle Benutzer auf Ihre Unternehmensanwendungen zugreifen, ohne diesen zugewiesen zu sein. Wenn Sie die Anwendung jedoch einer Gruppe von Benutzern zuweisen möchten, ist eine Benutzerzuweisung erforderlich. Ein einfaches Beispiel für die Erstellung und Zuweisung eines Benutzerkontos zu einer Anwendung finden Sie unter Schnellstart: Erstellen und Zuweisen eines Benutzerkontos in Azure Active Directory.

Sofern diese Option in Ihrem Abonnement enthalten ist, können Sie einer Anwendung Gruppen zuweisen, um die laufende Zugriffsverwaltung an den Gruppenbesitzer zu delegieren.

Durch Zuweisen von Besitzern können Sie ganz einfach die Verwaltung sämtlicher Aspekte der Azure AD-Konfiguration für eine Anwendung ermöglichen. Als Besitzer kann ein Benutzer die organisationsspezifische Konfiguration der Anwendung verwalten.

Automatisieren der Bereitstellung

Anwendungsbereitstellung bezieht sich auf die automatische Erstellung von Benutzeridentitäten und Rollen in den Anwendungen, auf die Benutzer Zugriff benötigen. Zusätzlich zur Erstellung von Benutzeridentitäten umfasst die automatische Bereitstellung auch die Wartung und Entfernung von Benutzeridentitäten, wenn sich der Status oder die Rollen ändern.

Identitätsanbieter

Verfügen Sie über einen Identitätsanbieter, mit dem Azure AD interagieren soll? Home Realm Discovery bietet eine Konfiguration, mit der Azure AD bestimmen kann, bei welchem Identitätsanbieter sich ein Benutzer bei der Anmeldung authentifizieren muss.

Benutzerportale

Azure AD bietet anpassbare Möglichkeiten, um Anwendungen für Benutzer in Ihrer Organisation bereitzustellen: Hierzu zählen etwa das Portal „Meine Apps“ und das Microsoft 365-Anwendungsstartprogramm. „Meine Apps“ ist ein zentraler Ort, an dem Benutzer mit ihrer Arbeit beginnen können und alle Anwendungen finden, auf die sie Zugriff haben. Als Administrator einer Anwendung sollten Sie planen, wie die Benutzer in Ihrer Organisation „Meine Apps“ nutzen.

Konfigurieren von Eigenschaften

Wenn Sie Ihrem Azure AD-Mandanten eine Anwendung hinzufügen, können Sie Eigenschaften konfigurieren, die sich auf die Anmeldemöglichkeiten von Benutzern auswirken. Sie können die Möglichkeit zur Anmeldung aktivieren oder deaktivieren sowie die Benutzerzuweisung erforderlich machen. Außerdem können Sie die Sichtbarkeit und das Logo der Anwendung sowie ggf. Hinweise zur Anwendung konfigurieren.

Schützen der Anwendung

Es stehen mehrere hilfreiche Methoden für den Schutz Ihrer Unternehmensanwendungen zur Verfügung. So können Sie beispielsweise den Zugriff auf einen Mandanten einschränken, Sichtbarkeit, Daten und Analysen verwalten und ggf. Hybridzugriff bereitstellen. Zum Schutz Ihrer Unternehmensanwendungen gehört auch die Verwaltung der Konfiguration von Berechtigungen, MFA, bedingtem Zugriff, Token und Zertifikaten.

Berechtigungen

Die Berechtigungen, die einer Anwendung oder einem Dienst erteilt wurden, müssen regelmäßig überprüft und bei Bedarf verwaltet werden. Überprüfen Sie regelmäßig, ob verdächtige Aktivitäten vorhanden sind, um sicherzustellen, dass Sie nur angemessenen Zugriff auf Ihre Anwendungen zulassen.

Mit Berechtigungsklassifizierungen können Sie die Auswirkungen unterschiedlicher Berechtigungen gemäß den Richtlinien und Risikobewertungen Ihres Unternehmens ermitteln. Beispielsweise können Sie Berechtigungsklassifizierungen in Einwilligungsrichtlinien verwenden, um den Berechtigungssatz zu identifizieren, dem Benutzer zustimmen dürfen.

Mehrstufige Authentifizierung und bedingter Zugriff

Azure Active Directory Multifactor Authentication (Azure AD MFA) trägt durch die Verwendung einer zweiten Authentifizierungsform zum Schutz des Zugriffs auf Daten und Anwendungen bei. Es gibt viele Methoden, die für eine zweistufige Authentifizierung verwendet werden können. Bevor Sie beginnen, sollten Sie in Ihrer Organisation die Bereitstellung der MFA für Ihre Anwendung planen.

Organisationen können die MFA mit bedingtem Zugriff aktivieren, um die Lösung an ihre speziellen Anforderungen anzupassen. Richtlinien für bedingten Zugriff ermöglichen Administratoren das Zuweisen von Steuerungen zu Anwendungen, Aktionen oder Authentifizierungskontext.

Token und Zertifikate

In einem Authentifizierungsflow in Azure AD werden je nach verwendetem Protokoll verschiedene Arten von Sicherheitstoken verwendet. Für das SAML-Protokoll werden beispielsweise SAML-Token verwendet. Beim OpenID Connect-Protokoll sind es ID-Token und Zugriffstoken. Token werden mit dem eindeutigen Zertifikat, das in Azure AD generiert wird, und durch spezifische Standardalgorithmen signiert.

Durch Verschlüsseln des Tokens kann die Sicherheit noch weiter erhöht werden. Sie können auch die Informationen in einem Token verwalten – einschließlich der zulässigen Rollen für die Anwendung.

Azure AD verwendet zum Signieren der SAML-Antwort standardmäßig den SHA-256-Algorithmus. Verwenden Sie SHA-256, es sei denn, die Anwendung erfordert SHA-1. Richten Sie einen Prozess zum Verwalten der Lebensdauer des Zertifikats ein. Die maximale Lebensdauer eines Signaturzertifikats beträgt drei Jahre. Um Ausfälle aufgrund eines ablaufenden Zertifikats zu verhindern oder zu minimieren, verwenden Sie Rollen und E-Mail-Verteilerlisten, damit sichergestellt werden kann, dass zertifikatbezogene Änderungsbenachrichtigungen genau überwacht werden.

Steuern und Überwachen

Mit der Berechtigungsverwaltung in Azure AD können Sie die Interaktion zwischen Anwendungen und Administratoren, Katalogbesitzern, Zugriffspaket-Managern, genehmigenden Personen und Anforderern verwalten.

Ihre Azure AD-Lösung für die Berichterstellung und Überwachung hängt von gesetzlichen, betrieblichen und sicherheitstechnischen Anforderungen sowie von Ihrer Umgebung und Ihren Prozessen ab. In Azure AD stehen diverse Protokolle zur Verfügung, und Sie sollten die Bereitstellung für Berichterstellung und Überwachung planen, um für Ihre Anwendung die bestmögliche Erfahrung zu gewährleisten.

Bereinigung

Sie können den Zugriff auf Anwendungen bereinigen, indem Sie beispielsweise den Zugriff eines Benutzers entfernen. Sie können auch das Anmeldeverfahren eines Benutzers deaktivieren. Und Sie können die Anwendung löschen, wenn sie für die Organisation nicht mehr benötigt wird. Unter Schnellstart: Löschen einer Unternehmensanwendung in Azure Active Directory finden Sie ein einfaches Beispiel für die Löschung einer Unternehmensanwendung aus einem Azure AD-Mandanten.

Nächste Schritte