Szervezeti szabályzatok üzembe helyezése a Microsoft Entra ID-val integrált alkalmazásokhoz való hozzáférés szabályozásához
Az előző szakaszokban meghatározta egy alkalmazás szabályozási szabályzatait, és integrálta az alkalmazást a Microsoft Entra ID azonosítójával. Ebben a szakaszban a Microsoft Entra feltételes hozzáférés és jogosultságkezelési funkciókat konfigurálja az alkalmazásokhoz való folyamatos hozzáférés szabályozásához. Ön megállapítja, hogy
- Feltételes hozzáférési szabályzatok, amelyek azt ismertetik, hogyan hitelesíti a felhasználó a Microsoft Entra-azonosítóval integrált alkalmazás Microsoft Entra-azonosítóját az egyszeri bejelentkezéshez
- Jogosultságkezelési szabályzatok, amelyek azt ismertetik, hogy a felhasználó hogyan szerzi be és tartja meg a hozzárendeléseket az alkalmazásszerepkörökhöz és a csoporttagsághoz
- Hozzáférési felülvizsgálati szabályzatok, a csoporttagságok ellenőrzésének gyakorisága
A szabályzatok üzembe helyezése után figyelheti a Microsoft Entra-azonosító folyamatos viselkedését, ahogy a felhasználók kérik, és hozzáféréssel rendelkezik az alkalmazáshoz.
Feltételes hozzáférési szabályzatok üzembe helyezése egyszeri bejelentkezés kényszerítése céljából
Ebben a szakaszban olyan feltételes hozzáférési szabályzatokat hoz létre, amelyek meghatározzák, hogy egy jogosult felhasználó képes-e bejelentkezni az alkalmazásba olyan tényezők alapján, mint a felhasználó hitelesítési erőssége vagy az eszköz állapota.
A feltételes hozzáférés csak olyan alkalmazások esetében lehetséges, amelyek az egyszeri bejelentkezéshez (SSO) a Microsoft Entra-azonosítóra támaszkodnak. Ha az alkalmazás nem integrálható az egyszeri bejelentkezéshez, folytassa a következő szakaszban.
- Szükség esetén töltse fel a használati feltételeket tartalmazó dokumentumot. Ha az alkalmazás elérése előtt a felhasználóknak el kell fogadniuk egy használati időtartamot (TOU), akkor hozza létre és töltse fel a TOU-dokumentumot , hogy az szerepelhessen egy feltételes hozzáférési szabályzatban.
- Ellenőrizze, hogy a felhasználók készen állnak-e a Microsoft Entra többtényezős hitelesítésére. Javasoljuk, hogy a Microsoft Entra többtényezős hitelesítést igényelje az összevonáson keresztül integrált üzletileg kritikus fontosságú alkalmazásokhoz. Ezekben az alkalmazásokban olyan szabályzatnak kell lennie, amely megköveteli, hogy a felhasználó a Microsoft Entra-azonosító előtt teljesítenie kell egy többtényezős hitelesítési követelményt, amely lehetővé teszi számukra, hogy bejelentkezhessenek az alkalmazásba. Egyes szervezetek helyek szerint is letilthatják a hozzáférést, vagy megkövetelhetik a felhasználótól a hozzáférést egy regisztrált eszközről. Ha már nincs olyan megfelelő szabályzat, amely tartalmazza a hitelesítéshez, a helyhez, az eszközhöz és a toU-hoz szükséges feltételeket, akkor adjon hozzá egy szabályzatot a feltételes hozzáférés üzembe helyezéséhez.
- Hozza az alkalmazás webes végpontját a megfelelő feltételes hozzáférési szabályzat hatókörébe. Ha már rendelkezik egy olyan feltételes hozzáférési szabályzattal, amelyet egy másik alkalmazáshoz hoztak létre ugyanazokkal a szabályozási követelményekkel, frissítheti a szabályzatot, hogy az alkalmazásra is vonatkozzanak, így elkerülheti, hogy sok szabályzat legyen érvényben. Miután elvégezte a frissítéseket, ellenőrizze, hogy a várt szabályzatok érvényesek-e. Láthatja, hogy milyen szabályzatok vonatkoznak a feltételes hozzáféréssel rendelkező felhasználókra, mi lenne, ha az eszköz.
- Hozzon létre egy ismétlődő hozzáférési felülvizsgálatot, ha bármely felhasználónak ideiglenes szabályzatkizárásokra lesz szüksége. Bizonyos esetekben előfordulhat, hogy nem lehet azonnal kényszeríteni a feltételes hozzáférési szabályzatokat minden jogosult felhasználóra. Előfordulhat például, hogy egyes felhasználók nem rendelkeznek megfelelő regisztrált eszközzel. Ha ki kell zárnia egy vagy több felhasználót a feltételes hozzáférési szabályzatból, és engedélyeznie kell a hozzáférést, akkor konfiguráljon egy hozzáférési felülvizsgálatot a feltételes hozzáférési szabályzatokból kizárt felhasználók csoportjához.
- Dokumentálja a jogkivonat élettartamát és az alkalmazás munkamenet-beállításait. Az összevont alkalmazás használatának időtartama az alkalmazás saját munkamenetének élettartamától és a hozzáférési jogkivonat élettartamától függ, hogy egy felhasználó mennyi ideig tagadta meg a folyamatos hozzáférést. Az alkalmazás munkamenet-élettartama az alkalmazástól függ. A hozzáférési jogkivonatok élettartamának szabályozásáról további információt a konfigurálható jogkivonatok élettartamával kapcsolatban talál.
Jogosultságkezelési szabályzatok üzembe helyezése a hozzáférés-hozzárendelés automatizálásához
Ebben a szakaszban a Microsoft Entra jogosultságkezelését konfigurálja, hogy a felhasználók hozzáférést kérjenek az alkalmazás szerepköreihez vagy az alkalmazás által használt csoportokhoz. Ezeknek a feladatoknak a elvégzéséhez globális Rendszergazda istrator, identitásszabályozási Rendszergazda istrator szerepkörrel kell rendelkeznie, vagy delegálnia kell katalóguskészítőként és az alkalmazás tulajdonosaként.
- A szabályozott alkalmazások hozzáférési csomagjainak egy kijelölt katalógusban kell lenniük. Ha még nem rendelkezik katalógussal az alkalmazásszabályozási forgatókönyvhöz, hozzon létre egy katalógust a Microsoft Entra jogosultságkezelésében. Ha több katalógust szeretne létrehozni, powerShell-szkripttel hozhatja létre az egyes katalógusokat.
- Töltse ki a katalógust a szükséges erőforrásokkal. Adja hozzá az alkalmazást és az alkalmazás által használt Microsoft Entra-csoportokat a katalógus erőforrásaiként. Ha sok erőforrással rendelkezik, powerShell-szkripttel adhat hozzá minden erőforrást egy katalógushoz.
- Hozzon létre egy hozzáférési csomagot minden olyan szerepkörhöz vagy csoporthoz, amelyet a felhasználók igényelhetnek. Az egyes alkalmazásokhoz és az egyes alkalmazásszerepkörökhöz vagy csoportokhoz hozzon létre egy hozzáférési csomagot, amely az adott szerepkört vagy csoportot tartalmazza erőforrásként. A hozzáférési csomagok konfigurálásának ezen szakaszában konfigurálja az egyes hozzáférési csomagok első hozzáférési csomag-hozzárendelési szabályzatát közvetlen hozzárendelési szabályzatként, hogy csak a rendszergazdák hozhatnak létre hozzárendeléseket. Ebben a szabályzatban állítsa be a hozzáférés-felülvizsgálati követelményeket a meglévő felhasználók számára, ha vannak ilyenek, hogy ne tartsák határozatlan ideig a hozzáférést. Ha sok hozzáférési csomaggal rendelkezik, powerShell-szkripttel létrehozhatja az egyes hozzáférési csomagokat egy katalógusban.
- Hozzáférési csomagokat konfigurálhat a vámkövetelmények elkülönítésének kikényszerítéséhez. Ha különválasztja a feladatokra vonatkozó követelményeket, konfigurálja a hozzáférési csomag inkompatibilis hozzáférési csomagjait vagy meglévő csoportjait. Ha a forgatókönyv megköveteli a feladatok elkülönítésének felülbírálását, akkor további hozzáférési csomagokat is beállíthat ezekhez a felülbírálási forgatókönyvekhez.
- Adja hozzá az alkalmazáshoz már hozzáféréssel rendelkező meglévő felhasználók hozzárendeléseit a hozzáférési csomagokhoz. Minden hozzáférési csomaghoz rendelje hozzá az alkalmazás meglévő felhasználóit az adott szerepkörben vagy csoport tagjaihoz a hozzáférési csomaghoz és annak közvetlen hozzárendelési szabályzatához. Közvetlenül hozzárendelhet egy felhasználót egy hozzáférési csomaghoz a Microsoft Entra felügyeleti központban, vagy tömegesen a Graph vagy a PowerShell használatával.
- Hozzon létre további szabályzatokat, amelyekkel a felhasználók hozzáférést kérhetnek. Minden hozzáférési csomagban hozzon létre további hozzáférési csomag-hozzárendelési szabályzatokat a felhasználók számára a hozzáférés kéréséhez. Konfigurálja a jóváhagyási és ismétlődő hozzáférés-felülvizsgálati követelményeket ebben a szabályzatban.
- Ismétlődő hozzáférési felülvizsgálatok létrehozása az alkalmazás által használt más csoportokhoz. Ha vannak olyan csoportok, amelyeket az alkalmazás használ, de nem erőforrás-szerepkörök egy hozzáférési csomaghoz, hozzon létre hozzáférési felülvizsgálatokat a csoportok tagságához.
Jelentések megtekintése a hozzáférésről
A Microsoft Entra ID és Microsoft Entra ID-kezelés az Azure Monitorral számos jelentést tartalmaz, amelyek segítenek megérteni, hogy kik férhetnek hozzá egy alkalmazáshoz, és hogy használják-e ezt a hozzáférést.
- A rendszergazda vagy a katalógus tulajdonosa a Microsoft Entra Felügyeleti központban, a Graphon vagy a PowerShellen keresztül lekérheti a hozzáférési csomag-hozzárendeléssel rendelkező felhasználók listáját.
- Az auditnaplókat elküldheti az Azure Monitornak, és megtekintheti a hozzáférési csomag módosításainak előzményeit a Microsoft Entra Felügyeleti központban vagy a PowerShellen keresztül.
- Az alkalmazásba való bejelentkezések utolsó 30 napját megtekintheti a Bejelentkezési jelentésekben a Microsoft Entra felügyeleti központban vagy a Graphon keresztül.
- A bejelentkezési naplókat akár két évig is archiválhatja az Azure Monitorba .
Figyelés a jogosultságkezelési szabályzatok és a hozzáférés szükség szerinti módosításához
Rendszeres időközönként, például hetente, havonta vagy negyedévente, az alkalmazás hozzáférés-hozzárendelési változásainak mennyisége alapján a Microsoft Entra felügyeleti központ segítségével győződjön meg arról, hogy a hozzáférés a szabályzatoknak megfelelően történik. Azt is biztosíthatja, hogy a jóváhagyásra és felülvizsgálatra kijelölt felhasználók továbbra is a megfelelő személyek legyenek ezekhez a feladatokhoz.
Figyelje meg az alkalmazásszerepkör-hozzárendeléseket és a csoporttagság változásait. Ha a Microsoft Entra ID úgy van konfigurálva, hogy küldje el a naplóját az Azure Monitornak, az
Application role assignment activity
Azure Monitorban figyelheti és jelentheti azokat az alkalmazásszerepkör-hozzárendeléseket, amelyeket nem a jogosultságkezelésen keresztül hajtottak végre. Ha vannak olyan szerepkör-hozzárendelések, amelyeket közvetlenül egy alkalmazástulajdonos hozott létre, forduljon az alkalmazás tulajdonosához, és állapítsa meg, hogy a hozzárendelés engedélyezve volt-e. Emellett, ha az alkalmazás a Microsoft Entra biztonsági csoportjaira támaszkodik, az adott csoportok módosításait is figyelnie kell.Figyelje meg azokat a felhasználókat is, amelyek közvetlenül az alkalmazásban kaptak hozzáférést. Ha a következő feltételek teljesülnek, akkor a felhasználó anélkül szerezhet hozzáférést egy alkalmazáshoz, hogy a Microsoft Entra-azonosító része lenne, vagy anélkül, hogy a Microsoft Entra-azonosító hozzáadta volna őket az alkalmazások felhasználói fióktárolójához:
- Az alkalmazás rendelkezik egy helyi felhasználói fióktárolóval az alkalmazásban
- A felhasználói fiók tárolója egy adatbázisban vagy EGY LDAP-címtárban található
- Az alkalmazás nem kizárólag a Microsoft Entra azonosítójára támaszkodik az egyszeri bejelentkezéshez.
Az előző listában szereplő tulajdonságokkal rendelkező alkalmazások esetében rendszeresen ellenőriznie kell, hogy a felhasználók csak a Microsoft Entra kiépítésével lettek-e hozzáadva az alkalmazás helyi felhasználói tárolójába. Ha a felhasználók közvetlenül az alkalmazásban lettek létrehozva, forduljon az alkalmazás tulajdonosához, és állapítsa meg, hogy a hozzárendelés engedélyezve volt-e.
Győződjön meg arról, hogy a jóváhagyók és a véleményezők naprakészek. Az előző szakaszban konfigurált minden hozzáférési csomag esetében győződjön meg arról, hogy a hozzáférési csomag hozzárendelési szabályzatai továbbra is a megfelelő jóváhagyókkal és véleményezőkkel rendelkeznek. Frissítse ezeket a szabályzatokat, ha a korábban konfigurált jóváhagyók és véleményezők már nem szerepelnek a szervezetben, vagy más szerepkörrel rendelkeznek.
Ellenőrizze, hogy a véleményezők döntéseket hoznak-e a felülvizsgálat során. Figyelje meg, hogy az ismétlődő hozzáférési felülvizsgálatok sikeresen befejeződnek-e ezen hozzáférési csomagok esetében, hogy a véleményezők részt vesznek-e a programban, és döntéseket hozzanak a felhasználó folyamatos hozzáférés iránti igényének jóváhagyásáról vagy megtagadásról.
Ellenőrizze, hogy a kiépítés és a leépítés a várt módon működik-e. Ha korábban konfigurálta a felhasználók alkalmazáshoz való kiépítését, akkor a felülvizsgálat eredményeinek alkalmazásakor vagy egy felhasználó hozzáférési csomaghoz való hozzárendelése lejár, a Microsoft Entra-azonosító megkezdi a megtagadott felhasználók kivonását az alkalmazásból. A felhasználók kivonásának folyamatát figyelheti. Ha a kiépítés hibát jelez az alkalmazással kapcsolatban, letöltheti a kiépítési naplót annak vizsgálatához, hogy történt-e probléma az alkalmazással.
Frissítse a Microsoft Entra konfigurációját az alkalmazás szerepkör- vagy csoportmódosításaival. Ha az alkalmazásadminisztrátor új alkalmazásszerepköröket ad hozzá a jegyzékben, frissíti a meglévő szerepköröket, vagy további csoportokra támaszkodik, akkor frissítenie kell a hozzáférési csomagokat és a hozzáférési felülvizsgálatokat, hogy figyelembe vegye az új szerepköröket vagy csoportokat.