Szervezeti szabályzatok definiálása az alkalmazásokhoz való hozzáférés szabályozásához a környezetben
Miután azonosított egy vagy több olyan alkalmazást, amelyet a Microsoft Entra-azonosítóval szeretne szabályozni a hozzáférés szabályozásához, írja le a szervezet szabályzatait annak meghatározására, hogy mely felhasználóknak kell hozzáféréssel rendelkezniük, valamint minden egyéb korlátozást, amelyet a rendszernek biztosítania kell.
Alkalmazások és szerepköreik azonosítása a hatókörben
A megfelelőségi követelményekkel vagy kockázatkezelési tervekkel rendelkező szervezetek érzékeny vagy üzleti szempontból kritikus alkalmazásokkal rendelkeznek. Ha ez az alkalmazás egy meglévő alkalmazás a környezetben, akkor előfordulhat, hogy már dokumentálta azokat a hozzáférési szabályzatokat, amelyeknek "hozzáféréssel kell rendelkezniük" ehhez az alkalmazáshoz. Ha nem, előfordulhat, hogy konzultálnia kell a különböző érdekelt felekkel, például a megfelelőségi és kockázatkezelési csapatokkal annak érdekében, hogy a hozzáférési döntések automatizálásához használt szabályzatok megfeleljenek az Ön forgatókönyvének.
Gyűjtse össze az egyes alkalmazások szerepköreit és engedélyeit. Egyes alkalmazások csak egyetlen szerepkörrel rendelkezhetnek, például egy olyan alkalmazással, amely csak a "Felhasználó" szerepkörrel rendelkezik. Az összetettebb alkalmazások több szerepkört is kezelhetnek a Microsoft Entra ID azonosítójával. Ezek az alkalmazásszerepkörök általában széles körű korlátozásokat jelentenek arra, hogy az adott szerepkörrel rendelkező felhasználó milyen hozzáféréssel rendelkezik az alkalmazásban. Egy rendszergazdai személlyel rendelkező alkalmazásnak például két szerepköre lehet: "Felhasználó" és "Rendszergazda istrator". Más alkalmazások csoporttagságokra vagy finomított szerepkör-ellenőrzésekre vonatkozó jogcímekre is támaszkodhatnak, amelyeket a Microsoft Entra ID-ból adhat meg az alkalmazásnak az összevonási SSO-protokollok használatával kibocsátott vagy az AD-nek biztonsági csoporttagságként írt jogcímek esetében. Végül előfordulhatnak olyan alkalmazásspecifikus szerepkörök, amelyek nem jelennek meg a Microsoft Entra-azonosítóban – lehet, hogy az alkalmazás nem teszi lehetővé a rendszergazdák meghatározását a Microsoft Entra-azonosítóban, hanem a saját engedélyezési szabályaira támaszkodva azonosítja a rendszergazdákat. Az SAP Cloud Identity Servicesnek csak egy szerepköre van, a felhasználó, amely hozzárendelhető.
Feljegyzés
Ha olyan alkalmazást használ a Microsoft Entra alkalmazáskatalógusából, amely támogatja a kiépítést, akkor a Microsoft Entra-azonosító importálhat meghatározott szerepköröket az alkalmazásban, és automatikusan frissítheti az alkalmazásjegyzéket az alkalmazás szerepköreivel a kiépítés konfigurálása után.
Válassza ki, hogy mely szerepkörök és csoportok rendelkeznek a Microsoft Entra ID-ban szabályozandó tagsággal. A megfelelőségi és kockázatkezelési követelmények alapján a szervezetek gyakran rangsorolják azokat az alkalmazásszerepköröket vagy csoportokat, amelyek kiemelt hozzáférést vagy hozzáférést biztosítanak bizalmas információkhoz.
A szervezet szabályzatának meghatározása az alkalmazáshoz való hozzáférés előfeltételeivel és egyéb korlátozásaival
Ebben a szakaszban az alkalmazáshoz való hozzáférés meghatározásához használni kívánt szervezeti szabályzatokat írja le. Ezt táblázatként is rögzítheti egy számolótáblában, például
| Alkalmazásszerepkör | A hozzáférés előfeltétele | Jóváhagyók | A hozzáférés alapértelmezett időtartama | A vámkorlátozások elkülönítése | Feltételes hozzáférési szabályzatok |
|---|---|---|---|---|---|
| Nyugati értékesítések | Az értékesítési csapat tagja | felhasználó kezelője | Éves felülvizsgálat | Nem rendelkezhet keleti értékesítési hozzáféréssel | Többtényezős hitelesítés (MFA) és a hozzáféréshez szükséges regisztrált eszköz |
| Nyugati értékesítések | Bármely, értékesítésen kívüli alkalmazott | értékesítési részleg vezetője | 90 nap | n/a | A hozzáféréshez MFA és regisztrált eszköz szükséges |
| Nyugati értékesítések | Nem alkalmazotti értékesítő | értékesítési részleg vezetője | 30 nap | n/a | A hozzáféréshez MFA szükséges |
| Keleti értékesítések | Az értékesítési csapat tagja | felhasználó kezelője | Éves felülvizsgálat | A Western Sales nem rendelkezhet hozzáféréssel | A hozzáféréshez MFA és regisztrált eszköz szükséges |
| Keleti értékesítések | Bármely, értékesítésen kívüli alkalmazott | értékesítési részleg vezetője | 90 nap | n/a | A hozzáféréshez MFA és regisztrált eszköz szükséges |
| Keleti értékesítések | Nem alkalmazotti értékesítő | értékesítési részleg vezetője | 30 nap | n/a | A hozzáféréshez MFA szükséges |
Ha már rendelkezik szervezeti szerepkördefinícióval, további információkért tekintse meg , hogyan migrálhat egy szervezeti szerepkört .
Annak azonosítása, hogy vannak-e előfeltétel-követelmények, szabványok, amelyeknek a felhasználóknak meg kell felelniük ahhoz, hogy hozzáférést kapjanak egy alkalmazáshoz. Normál körülmények között például csak a teljes munkaidős alkalmazottak, illetve egy adott részleg vagy költséghely alkalmazottai férhetnek hozzá egy adott részleg alkalmazásához. Emellett megkövetelheti a jogosultságkezelési szabályzatot egy másik részlegtől származó felhasználó számára, aki hozzáférést kér egy vagy több további jóváhagyóhoz. Bár a jóváhagyás több fázisa lelassíthatja a hozzáférést kapó felhasználók általános folyamatát, ezek a további szakaszok biztosítják, hogy a hozzáférési kérelmek megfelelőek legyenek, és a döntések elszámoltathatók legyenek. Az alkalmazott általi hozzáférésre irányuló kérelmeknek például két jóváhagyási fázisa lehet, először a kérelmező felhasználó felettese, a második pedig az alkalmazásban tárolt adatokért felelős erőforrás-tulajdonosok egyike.
Annak meghatározása, hogy egy hozzáférésre jóváhagyott felhasználónak mennyi ideig kell hozzáféréssel rendelkeznie, és mikor kell a hozzáférésnek eltávolodnia. Számos alkalmazás esetében a felhasználók korlátlan ideig megőrizhetik a hozzáférést, amíg már nem kapcsolódnak a szervezethez. Bizonyos helyzetekben a hozzáférés bizonyos projektekhez vagy mérföldkövekhez köthető, így a projekt befejezésekor a hozzáférés automatikusan törlődik. Vagy ha csak néhány felhasználó használ alkalmazásokat egy szabályzaton keresztül, akkor negyedéves vagy éves felülvizsgálatokat állíthat be a szabályzaton keresztüli hozzáférésről, hogy rendszeres felügyelet legyen.
Ha a szervezet már egy szervezeti szerepkörmodellel szabályozza a hozzáférést, tervezze meg, hogy ezt a szervezeti szerepkörmodellt a Microsoft Entra-azonosítóba hozza. Lehet, hogy rendelkezik egy szervezeti szerepkörrel , amely a felhasználó tulajdonsága alapján rendeli hozzá a hozzáférést, például a beosztása vagy a részlege alapján. Ezek a folyamatok biztosíthatják, hogy a felhasználók végül elveszítik a hozzáférést, ha már nincs szükség a hozzáférésre, még akkor is, ha nincs előre meghatározott projekt befejezési dátuma.
Érdeklődjön, hogy vannak-e különvámok. Előfordulhat például, hogy egy alkalmazás két alkalmazásszerepkörrel rendelkezik, a Western Sales és a Eastern Sales szerepkörrel, és biztosítani szeretné, hogy egy felhasználó egyszerre csak egy értékesítési területtel rendelkezzen. Adja meg az alkalmazáshoz nem kompatibilis alkalmazásszerepkörök listáját, hogy ha egy felhasználónak van egy szerepköre, ne igényelhesse a második szerepkört.
Válassza ki a megfelelő feltételes hozzáférési szabályzatot az alkalmazáshoz való hozzáféréshez. Javasoljuk, hogy elemezze az alkalmazásokat, és csoportosítsa őket olyan alkalmazásokba, amelyek ugyanazokkal az erőforrás-követelményekkel rendelkeznek ugyanazon felhasználók számára. Ha ez az első összevont SSO-alkalmazás, amelyet az identitásszabályozás Microsoft Entra ID-kezelés integrál, előfordulhat, hogy létre kell hoznia egy új feltételes hozzáférési szabályzatot a korlátozások kifejezéséhez, például a többtényezős hitelesítés (MFA) vagy a helyalapú hozzáférés követelményeihez. Konfigurálhatja a felhasználókat úgy, hogy el kell fogadniuk a használati feltételeket. A feltételes hozzáférési szabályzatok meghatározásával kapcsolatos további szempontokat a feltételes hozzáférés központi telepítésének megtervezésével kapcsolatban talál.
Határozza meg, hogyan kell kezelni a feltételek kivételeit. Előfordulhat például, hogy egy alkalmazás általában csak a kijelölt alkalmazottak számára érhető el, de egy auditornak vagy szállítónak ideiglenes hozzáférésre lehet szüksége egy adott projekthez. Vagy egy utazó alkalmazottnak hozzáférésre lehet szüksége egy olyan helyről, amely általában le van tiltva, mivel a szervezet nem rendelkezik jelenléttel ezen a helyen. Ezekben az esetekben dönthet úgy is, hogy egy jogosultságkezelési szabályzattal rendelkezik a jóváhagyáshoz, amely különböző fázisokkal, eltérő időkorláttal vagy másik jóváhagyóval rendelkezik. Előfordulhat, hogy a Microsoft Entra-bérlőben vendégfelhasználóként bejelentkezett szállító nem rendelkezik felettessel, ezért a hozzáférési kérelmeket a szervezet szponzora, vagy egy erőforrás-tulajdonos vagy egy biztonsági tisztviselő hagyhatja jóvá.
Mivel az érdekelt felek áttekintik a hozzáféréssel rendelkezők szervezeti szabályzatát, megkezdheti az alkalmazás integrálását a Microsoft Entra-azonosítóval. Így egy későbbi lépésben készen áll a szervezet által jóváhagyott hozzáférési szabályzatok üzembe helyezésére Microsoft Entra ID-kezelés.