Szervezeti szabályzatok üzembe helyezése a Microsoft Entra ID-val integrált alkalmazásokhoz való hozzáférés szabályozásához

  • Cikk

Az előző szakaszokban meghatározta egy alkalmazás szabályozási szabályzatait, és integrálta az alkalmazást a Microsoft Entra ID azonosítójával. Ebben a szakaszban a Microsoft Entra feltételes hozzáférés és jogosultságkezelési funkciókat konfigurálja az alkalmazásokhoz való folyamatos hozzáférés szabályozásához. Ön megállapítja, hogy

  • Feltételes hozzáférési szabályzatok, amelyek azt ismertetik, hogyan hitelesíti a felhasználó a Microsoft Entra-azonosítóval integrált alkalmazás Microsoft Entra-azonosítóját az egyszeri bejelentkezéshez
  • Jogosultságkezelési szabályzatok, amelyek azt ismertetik, hogy a felhasználó hogyan szerzi be és tartja meg a hozzárendeléseket az alkalmazásszerepkörökhöz és a csoporttagsághoz
  • Hozzáférési felülvizsgálati szabályzatok, a csoporttagságok ellenőrzésének gyakorisága

A szabályzatok üzembe helyezése után figyelheti a Microsoft Entra-azonosító folyamatos viselkedését, ahogy a felhasználók kérik, és hozzáféréssel rendelkezik az alkalmazáshoz.

Feltételes hozzáférési szabályzatok üzembe helyezése egyszeri bejelentkezés kényszerítése céljából

Ebben a szakaszban olyan feltételes hozzáférési szabályzatokat hoz létre, amelyek meghatározzák, hogy egy jogosult felhasználó képes-e bejelentkezni az alkalmazásba olyan tényezők alapján, mint a felhasználó hitelesítési erőssége vagy az eszköz állapota.

A feltételes hozzáférés csak olyan alkalmazások esetében lehetséges, amelyek az egyszeri bejelentkezéshez (SSO) a Microsoft Entra-azonosítóra támaszkodnak. Ha az alkalmazás nem integrálható az egyszeri bejelentkezéshez, folytassa a következő szakaszban.

  1. Szükség esetén töltse fel a használati feltételeket tartalmazó dokumentumot. Ha az alkalmazás elérése előtt a felhasználóknak el kell fogadniuk egy használati időtartamot (TOU), akkor hozza létre és töltse fel a TOU-dokumentumot , hogy az szerepelhessen egy feltételes hozzáférési szabályzatban.
  2. Ellenőrizze, hogy a felhasználók készen állnak-e a Microsoft Entra többtényezős hitelesítésére. Javasoljuk, hogy a Microsoft Entra többtényezős hitelesítést igényelje az összevonáson keresztül integrált üzletileg kritikus fontosságú alkalmazásokhoz. Ezekben az alkalmazásokban olyan szabályzatnak kell lennie, amely megköveteli, hogy a felhasználó a Microsoft Entra-azonosító előtt teljesítenie kell egy többtényezős hitelesítési követelményt, amely lehetővé teszi számukra, hogy bejelentkezhessenek az alkalmazásba. Egyes szervezetek helyek szerint is letilthatják a hozzáférést, vagy megkövetelhetik a felhasználótól a hozzáférést egy regisztrált eszközről. Ha már nincs olyan megfelelő szabályzat, amely tartalmazza a hitelesítéshez, a helyhez, az eszközhöz és a toU-hoz szükséges feltételeket, akkor adjon hozzá egy szabályzatot a feltételes hozzáférés üzembe helyezéséhez.
  3. Hozza az alkalmazás webes végpontját a megfelelő feltételes hozzáférési szabályzat hatókörébe. Ha már rendelkezik egy olyan feltételes hozzáférési szabályzattal, amelyet egy másik alkalmazáshoz hoztak létre ugyanazokkal a szabályozási követelményekkel, frissítheti a szabályzatot, hogy az alkalmazásra is vonatkozzanak, így elkerülheti, hogy sok szabályzat legyen érvényben. Miután elvégezte a frissítéseket, ellenőrizze, hogy a várt szabályzatok érvényesek-e. Láthatja, hogy milyen szabályzatok vonatkoznak a feltételes hozzáféréssel rendelkező felhasználókra, mi lenne, ha az eszköz.
  4. Hozzon létre egy ismétlődő hozzáférési felülvizsgálatot, ha bármely felhasználónak ideiglenes szabályzatkizárásokra lesz szüksége. Bizonyos esetekben előfordulhat, hogy nem lehet azonnal kényszeríteni a feltételes hozzáférési szabályzatokat minden jogosult felhasználóra. Előfordulhat például, hogy egyes felhasználók nem rendelkeznek megfelelő regisztrált eszközzel. Ha ki kell zárnia egy vagy több felhasználót a feltételes hozzáférési szabályzatból, és engedélyeznie kell a hozzáférést, akkor konfiguráljon egy hozzáférési felülvizsgálatot a feltételes hozzáférési szabályzatokból kizárt felhasználók csoportjához.
  5. Dokumentálja a jogkivonat élettartamát és az alkalmazás munkamenet-beállításait. Az összevont alkalmazás használatának időtartama az alkalmazás saját munkamenetének élettartamától és a hozzáférési jogkivonat élettartamától függ, hogy egy felhasználó mennyi ideig tagadta meg a folyamatos hozzáférést. Az alkalmazás munkamenet-élettartama az alkalmazástól függ. A hozzáférési jogkivonatok élettartamának szabályozásáról további információt a konfigurálható jogkivonatok élettartamával kapcsolatban talál.

Jogosultságkezelési szabályzatok üzembe helyezése a hozzáférés-hozzárendelés automatizálásához

Ebben a szakaszban a Microsoft Entra jogosultságkezelését konfigurálja, hogy a felhasználók hozzáférést kérjenek az alkalmazás szerepköreihez vagy az alkalmazás által használt csoportokhoz. Ezeknek a feladatoknak a elvégzéséhez globális Rendszergazda istrator, identitásszabályozási Rendszergazda istrator szerepkörrel kell rendelkeznie, vagy delegálnia kell katalóguskészítőként és az alkalmazás tulajdonosaként.

  1. A szabályozott alkalmazások hozzáférési csomagjainak egy kijelölt katalógusban kell lenniük. Ha még nem rendelkezik katalógussal az alkalmazásszabályozási forgatókönyvhöz, hozzon létre egy katalógust a Microsoft Entra jogosultságkezelésében. Ha több katalógust szeretne létrehozni, powerShell-szkripttel hozhatja létre az egyes katalógusokat.
  2. Töltse ki a katalógust a szükséges erőforrásokkal. Adja hozzá az alkalmazást és az alkalmazás által használt Microsoft Entra-csoportokat a katalógus erőforrásaiként. Ha sok erőforrással rendelkezik, powerShell-szkripttel adhat hozzá minden erőforrást egy katalógushoz.
  3. Hozzon létre egy hozzáférési csomagot minden olyan szerepkörhöz vagy csoporthoz, amelyet a felhasználók igényelhetnek. Az egyes alkalmazásokhoz és az egyes alkalmazásszerepkörökhöz vagy csoportokhoz hozzon létre egy hozzáférési csomagot, amely az adott szerepkört vagy csoportot tartalmazza erőforrásként. A hozzáférési csomagok konfigurálásának ezen szakaszában konfigurálja az egyes hozzáférési csomagok első hozzáférési csomag-hozzárendelési szabályzatát közvetlen hozzárendelési szabályzatként, hogy csak a rendszergazdák hozhatnak létre hozzárendeléseket. Ebben a szabályzatban állítsa be a hozzáférés-felülvizsgálati követelményeket a meglévő felhasználók számára, ha vannak ilyenek, hogy ne tartsák határozatlan ideig a hozzáférést. Ha sok hozzáférési csomaggal rendelkezik, powerShell-szkripttel létrehozhatja az egyes hozzáférési csomagokat egy katalógusban.
  4. Hozzáférési csomagokat konfigurálhat a vámkövetelmények elkülönítésének kikényszerítéséhez. Ha különválasztja a feladatokra vonatkozó követelményeket, konfigurálja a hozzáférési csomag inkompatibilis hozzáférési csomagjait vagy meglévő csoportjait. Ha a forgatókönyv megköveteli a feladatok elkülönítésének felülbírálását, akkor további hozzáférési csomagokat is beállíthat ezekhez a felülbírálási forgatókönyvekhez.
  5. Adja hozzá az alkalmazáshoz már hozzáféréssel rendelkező meglévő felhasználók hozzárendeléseit a hozzáférési csomagokhoz. Minden hozzáférési csomaghoz rendelje hozzá az alkalmazás meglévő felhasználóit az adott szerepkörben vagy csoport tagjaihoz a hozzáférési csomaghoz és annak közvetlen hozzárendelési szabályzatához. Közvetlenül hozzárendelhet egy felhasználót egy hozzáférési csomaghoz a Microsoft Entra felügyeleti központban, vagy tömegesen a Graph vagy a PowerShell használatával.
  6. Hozzon létre további szabályzatokat, amelyekkel a felhasználók hozzáférést kérhetnek. Minden hozzáférési csomagban hozzon létre további hozzáférési csomag-hozzárendelési szabályzatokat a felhasználók számára a hozzáférés kéréséhez. Konfigurálja a jóváhagyási és ismétlődő hozzáférés-felülvizsgálati követelményeket ebben a szabályzatban.
  7. Ismétlődő hozzáférési felülvizsgálatok létrehozása az alkalmazás által használt más csoportokhoz. Ha vannak olyan csoportok, amelyeket az alkalmazás használ, de nem erőforrás-szerepkörök egy hozzáférési csomaghoz, hozzon létre hozzáférési felülvizsgálatokat a csoportok tagságához.

Jelentések megtekintése a hozzáférésről

A Microsoft Entra ID és Microsoft Entra ID-kezelés az Azure Monitorral számos jelentést tartalmaz, amelyek segítenek megérteni, hogy kik férhetnek hozzá egy alkalmazáshoz, és hogy használják-e ezt a hozzáférést.

  • A rendszergazda vagy a katalógus tulajdonosa a Microsoft Entra Felügyeleti központban, a Graphon vagy a PowerShellen keresztül lekérheti a hozzáférési csomag-hozzárendeléssel rendelkező felhasználók listáját.
  • Az auditnaplókat elküldheti az Azure Monitornak, és megtekintheti a hozzáférési csomag módosításainak előzményeit a Microsoft Entra Felügyeleti központban vagy a PowerShellen keresztül.
  • Az alkalmazásba való bejelentkezések utolsó 30 napját megtekintheti a Bejelentkezési jelentésekben a Microsoft Entra felügyeleti központban vagy a Graphon keresztül.
  • A bejelentkezési naplókat akár két évig is archiválhatja az Azure Monitorba .

Figyelés a jogosultságkezelési szabályzatok és a hozzáférés szükség szerinti módosításához

Rendszeres időközönként, például hetente, havonta vagy negyedévente, az alkalmazás hozzáférés-hozzárendelési változásainak mennyisége alapján a Microsoft Entra felügyeleti központ segítségével győződjön meg arról, hogy a hozzáférés a szabályzatoknak megfelelően történik. Azt is biztosíthatja, hogy a jóváhagyásra és felülvizsgálatra kijelölt felhasználók továbbra is a megfelelő személyek legyenek ezekhez a feladatokhoz.

  • Figyelje meg az alkalmazásszerepkör-hozzárendeléseket és a csoporttagság változásait. Ha a Microsoft Entra ID úgy van konfigurálva, hogy küldje el a naplóját az Azure Monitornak, az Application role assignment activity Azure Monitorban figyelheti és jelentheti azokat az alkalmazásszerepkör-hozzárendeléseket, amelyeket nem a jogosultságkezelésen keresztül hajtottak végre. Ha vannak olyan szerepkör-hozzárendelések, amelyeket közvetlenül egy alkalmazástulajdonos hozott létre, forduljon az alkalmazás tulajdonosához, és állapítsa meg, hogy a hozzárendelés engedélyezve volt-e. Emellett, ha az alkalmazás a Microsoft Entra biztonsági csoportjaira támaszkodik, az adott csoportok módosításait is figyelnie kell.

  • Figyelje meg azokat a felhasználókat is, amelyek közvetlenül az alkalmazásban kaptak hozzáférést. Ha a következő feltételek teljesülnek, akkor a felhasználó anélkül szerezhet hozzáférést egy alkalmazáshoz, hogy a Microsoft Entra-azonosító része lenne, vagy anélkül, hogy a Microsoft Entra-azonosító hozzáadta volna őket az alkalmazások felhasználói fióktárolójához:

    • Az alkalmazás rendelkezik egy helyi felhasználói fióktárolóval az alkalmazásban
    • A felhasználói fiók tárolója egy adatbázisban vagy EGY LDAP-címtárban található
    • Az alkalmazás nem kizárólag a Microsoft Entra azonosítójára támaszkodik az egyszeri bejelentkezéshez.

    Az előző listában szereplő tulajdonságokkal rendelkező alkalmazások esetében rendszeresen ellenőriznie kell, hogy a felhasználók csak a Microsoft Entra kiépítésével lettek-e hozzáadva az alkalmazás helyi felhasználói tárolójába. Ha a felhasználók közvetlenül az alkalmazásban lettek létrehozva, forduljon az alkalmazás tulajdonosához, és állapítsa meg, hogy a hozzárendelés engedélyezve volt-e.

  • Győződjön meg arról, hogy a jóváhagyók és a véleményezők naprakészek. Az előző szakaszban konfigurált minden hozzáférési csomag esetében győződjön meg arról, hogy a hozzáférési csomag hozzárendelési szabályzatai továbbra is a megfelelő jóváhagyókkal és véleményezőkkel rendelkeznek. Frissítse ezeket a szabályzatokat, ha a korábban konfigurált jóváhagyók és véleményezők már nem szerepelnek a szervezetben, vagy más szerepkörrel rendelkeznek.

  • Ellenőrizze, hogy a véleményezők döntéseket hoznak-e a felülvizsgálat során. Figyelje meg, hogy az ismétlődő hozzáférési felülvizsgálatok sikeresen befejeződnek-e ezen hozzáférési csomagok esetében, hogy a véleményezők részt vesznek-e a programban, és döntéseket hozzanak a felhasználó folyamatos hozzáférés iránti igényének jóváhagyásáról vagy megtagadásról.

  • Ellenőrizze, hogy a kiépítés és a leépítés a várt módon működik-e. Ha korábban konfigurálta a felhasználók alkalmazáshoz való kiépítését, akkor a felülvizsgálat eredményeinek alkalmazásakor vagy egy felhasználó hozzáférési csomaghoz való hozzárendelése lejár, a Microsoft Entra-azonosító megkezdi a megtagadott felhasználók kivonását az alkalmazásból. A felhasználók kivonásának folyamatát figyelheti. Ha a kiépítés hibát jelez az alkalmazással kapcsolatban, letöltheti a kiépítési naplót annak vizsgálatához, hogy történt-e probléma az alkalmazással.

  • Frissítse a Microsoft Entra konfigurációját az alkalmazás szerepkör- vagy csoportmódosításaival. Ha az alkalmazásadminisztrátor új alkalmazásszerepköröket ad hozzá a jegyzékben, frissíti a meglévő szerepköröket, vagy további csoportokra támaszkodik, akkor frissítenie kell a hozzáférési csomagokat és a hozzáférési felülvizsgálatokat, hogy figyelembe vegye az új szerepköröket vagy csoportokat.

Következő lépések