Toegang tot een toepassing beheren

Doorlopend toegangsbeheer, gebruiksevaluatie en rapportage blijven een uitdaging nadat een app is geïntegreerd in het identiteitssysteem van uw organisatie. In veel gevallen moeten IT-beheerders of helpdesks een actieve rol spelen bij het beheren van de toegang tot uw apps. Soms wordt de toewijzing uitgevoerd door een algemeen of afdelings-IT-team. Vaak is de toewijzingsbeslissing bedoeld om te worden gedelegeerd aan de besluitvormer van het bedrijf, waarvoor hun goedkeuring is vereist voordat DE IT de toewijzing uitvoert.

Andere organisaties investeren in integratie met een bestaand geautomatiseerd identiteits- en toegangsbeheersysteem, zoals Role-Based Access Control (RBAC) of Attribute-Based Access Control (ABAC). Zowel de integratie als de ontwikkeling van regels zijn meestal gespecialiseerd en duur. Bewaking of rapportage over beide beheerbenaderingen is een eigen afzonderlijke, dure en complexe investering.

Hoe helpt Azure Active Directory?

Azure AD biedt ondersteuning voor uitgebreid toegangsbeheer voor geconfigureerde toepassingen, waardoor organisaties eenvoudig het juiste toegangsbeleid kunnen bereiken, variërend van automatische toewijzing op basis van kenmerken (ABAC- of RBAC-scenario's) via delegatie en inclusief beheerdersbeheer. Met Azure AD kunt u eenvoudig complexe beleidsregels bereiken, meerdere beheermodellen voor één toepassing combineren en zelfs beheerregels voor toepassingen met dezelfde doelgroepen opnieuw gebruiken.

Met Azure AD is rapportage over gebruik en toewijzing volledig geïntegreerd, zodat beheerders eenvoudig kunnen rapporteren over de toewijzingsstatus, toewijzingsfouten en zelfs het gebruik.

Gebruikers en groepen toewijzen aan een app

de toepassingstoewijzing van Azure AD is gericht op twee primaire toewijzingsmodi:

  • Afzonderlijke opdracht Een IT-beheerder met beheerdersmachtigingen voor directory's kan afzonderlijke gebruikersaccounts selecteren en deze toegang verlenen tot de toepassing.

  • Toewijzing op basis van groepen (vereist Azure AD Premium P1 of P2) Een IT-beheerder met machtigingen voor globale beheerders van mappen kan een groep toewijzen aan de toepassing. De toegang van specifieke gebruikers wordt bepaald door of ze lid zijn van de groep op het moment dat ze toegang proberen te krijgen tot de toepassing. Met andere woorden, een beheerder kan effectief een toewijzingsregel maken met de mededeling dat elk huidig lid van de toegewezen groep toegang heeft tot de toepassing. Met deze toewijzingsoptie kunnen beheerders profiteren van een van Azure AD groepsbeheeropties, waaronder dynamische groepen op basis van kenmerken, externe systeemgroepen (bijvoorbeeld on-premises Active Directory of Workday), of door de beheerder beheerde of selfservice beheerde groepen. Eén groep kan eenvoudig worden toegewezen aan meerdere apps, zodat toepassingen met toewijzingsaffiniteit toewijzingsregels kunnen delen, waardoor de algehele beheercomplexiteit wordt verminderd.

    Notitie

    Geneste groepslidmaatschappen worden momenteel niet ondersteund voor toewijzing op basis van groepen aan toepassingen.

Met deze twee toewijzingsmodi kunnen beheerders elke gewenste benadering voor toewijzingsbeheer bereiken.

Gebruikerstoewijzing vereisen voor een app

Met bepaalde typen toepassingen hebt u de mogelijkheid om gebruikers toe te wijzen aan de toepassing. Hierdoor voorkomt u dat iedereen zich aanmeldt, behalve de gebruikers die u expliciet aan de toepassing toewijst. De volgende typen toepassingen ondersteunen deze optie:

  • Toepassingen die zijn geconfigureerd voor federatieve eenmalige aanmelding (SSO) met op SAML gebaseerde verificatie
  • toepassingsproxy toepassingen die gebruikmaken van Azure Active Directory-verificatie vooraf
  • Toepassingen die zijn gebouwd op het Azure AD toepassingsplatform dat gebruikmaakt van OAuth 2.0/OpenID Connect-verificatie nadat een gebruiker of beheerder toestemming heeft gegeven voor die toepassing. Bepaalde bedrijfstoepassingen bieden meer controle over wie zich mag aanmelden.

Wanneer gebruikerstoewijzing is vereist, kunnen alleen de gebruikers die u aan de toepassing toewijst (via directe gebruikerstoewijzing of op basis van groepslidmaatschap) zich aanmelden. Ze hebben toegang tot de app in de Mijn apps-portal of via een directe koppeling.

Wanneer gebruikerstoewijzing niet vereist is, zien niet-toegewezen gebruikers de app niet op hun Mijn apps, maar kunnen ze zich nog steeds aanmelden bij de toepassing zelf (ook wel door SP geïnitieerde aanmelding genoemd) of kunnen ze de URL voor gebruikerstoegang gebruiken op de pagina Eigenschappen van de toepassing (ook wel door IDP geïnitieerde aanmelding genoemd). Zie Een toepassing configureren voor meer informatie over het vereisen van configuraties voor gebruikerstoewijzingen

Deze instelling heeft geen invloed op het al dan niet weergeven van een toepassing op Mijn apps. Toepassingen worden weergegeven op de Mijn apps toegangspanelen van gebruikers zodra u een gebruiker of groep aan de toepassing hebt toegewezen.

Notitie

Wanneer een toepassing toewijzing vereist, is gebruikerstoestemming voor die toepassing niet toegestaan. Dit geldt zelfs als gebruikers toestemming geven voor die app anders zouden zijn toegestaan. Zorg ervoor dat u beheerderstoestemming voor de hele tenant verleent aan apps waarvoor toewijzing is vereist.

Voor sommige toepassingen is de optie om gebruikerstoewijzing te vereisen niet beschikbaar in de eigenschappen van de toepassing. In dergelijke gevallen kunt u PowerShell gebruiken om de eigenschap appRoleAssignmentRequired in te stellen op de service-principal.

De gebruikerservaring bepalen voor toegang tot apps

Azure AD biedt verschillende aanpasbare manieren om toepassingen te implementeren voor eindgebruikers in uw organisatie:

  • Azure AD Mijn apps
  • Startprogramma voor Microsoft 365-toepassingen
  • Directe aanmelding bij federatieve apps (service-pr)
  • Dieptekoppelingen naar federatieve apps, op basis van wachtwoorden, of bestaande apps

U kunt bepalen of gebruikers die zijn toegewezen aan een bedrijfs-app deze kunnen zien in Mijn apps en het startprogramma voor Microsoft 365-toepassingen.

Voorbeeld: Complexe toepassingstoewijzing met Azure AD

Overweeg een toepassing zoals Salesforce. In veel organisaties wordt Salesforce voornamelijk gebruikt door de marketing- en verkoopteams. Vaak hebben leden van het marketingteam zeer bevoorrechte toegang tot Salesforce, terwijl leden van het verkoopteam beperkte toegang hebben. In veel gevallen heeft een brede populatie informatiewerkers de toegang tot de toepassing beperkt. Uitzonderingen op deze regels bemoeilijken zaken. Het is vaak de prerogatief van de marketing- of verkoopleidingsteams om een gebruiker toegang te verlenen of hun rollen onafhankelijk van deze algemene regels te wijzigen.

Met Azure AD kunnen toepassingen zoals Salesforce vooraf worden geconfigureerd voor eenmalige aanmelding (SSO) en geautomatiseerde inrichting. Zodra de toepassing is geconfigureerd, kan een beheerder de eenmalige actie ondernemen om de juiste groepen te maken en toe te wijzen. In dit voorbeeld kan een beheerder de volgende toewijzingen uitvoeren:

  • Dynamische groepen kunnen worden gedefinieerd om automatisch alle leden van de marketing- en verkoopteams te vertegenwoordigen met behulp van kenmerken zoals afdeling of rol:

    • Alle leden van marketinggroepen worden toegewezen aan de rol 'marketing' in Salesforce
    • Alle leden van verkoopteamgroepen worden toegewezen aan de rol 'verkoop' in Salesforce. Een verdere verfijning kan gebruikmaken van meerdere groepen die regionale verkoopteams vertegenwoordigen die zijn toegewezen aan verschillende Salesforce-rollen.
  • Als u het uitzonderingsmechanisme wilt inschakelen, kan er voor elke rol een selfservicegroep worden gemaakt. De groep 'Salesforce-marketingonderzondering' kan bijvoorbeeld worden gemaakt als selfservicegroep. De groep kan worden toegewezen aan de salesforce-marketingrol en het marketingleiderschapsteam kan eigenaar worden gemaakt. Leden van het marketingleiderschapsteam kunnen gebruikers toevoegen of verwijderen, een deelnamebeleid instellen of zelfs aanvragen van individuele gebruikers goedkeuren of weigeren om lid te worden. Dit mechanisme wordt ondersteund door middel van een geschikte ervaring voor informatiemedewerkers die geen gespecialiseerde training vereist voor eigenaren of leden.

In dit geval worden alle toegewezen gebruikers automatisch ingericht voor Salesforce. Omdat ze worden toegevoegd aan verschillende groepen, wordt hun roltoewijzing bijgewerkt in Salesforce. Gebruikers kunnen Salesforce detecteren en openen via Mijn apps, Office-webclients of door naar hun aanmeldingspagina van Salesforce te gaan. Beheerders kunnen eenvoudig de gebruiks- en toewijzingsstatus bekijken met behulp van Azure AD rapportage.

Beheerders kunnen Azure AD voorwaardelijke toegang gebruiken om toegangsbeleid voor specifieke rollen in te stellen. Deze beleidsregels kunnen omvatten of toegang buiten de bedrijfsomgeving is toegestaan en zelfs meervoudige verificatie of apparaatvereisten om in verschillende gevallen toegang te krijgen.

Toegang tot Microsoft-toepassingen

Microsoft-toepassingen (zoals Exchange, SharePoint, Yammer, enzovoort) worden een beetje anders toegewezen en beheerd dan SaaS-toepassingen van derden of andere toepassingen die u integreert met Azure AD voor eenmalige aanmelding.

Er zijn drie belangrijke manieren waarop een gebruiker toegang kan krijgen tot een door Microsoft gepubliceerde toepassing.

  • Voor toepassingen in de Microsoft 365- of andere betaalde suites krijgen gebruikers rechtstreeks toegang via licentietoewijzing aan hun gebruikersaccount of via een groep die gebruikmaakt van onze licentietoewijzing op basis van een groep.

  • Voor toepassingen die Door Microsoft of een derde partij vrijelijk worden gepubliceerd voor iedereen die kan worden gebruikt, kunnen gebruikers toegang krijgen via toestemming van de gebruiker. De gebruikers melden zich aan bij de toepassing met hun Azure AD werk- of schoolaccount en bieden toegang tot een beperkt aantal gegevens in hun account.

  • Voor toepassingen die Microsoft of een derde partij vrij publiceert voor iedereen die kan worden gebruikt, kunnen gebruikers ook toegang krijgen via beheerderstoestemming. Dit betekent dat een beheerder heeft vastgesteld dat de toepassing door iedereen in de organisatie kan worden gebruikt, zodat ze zich met een globale beheerdersaccount aanmelden bij de toepassing en toegang verlenen aan iedereen in de organisatie.

Sommige toepassingen combineren deze methoden. Bepaalde Microsoft-toepassingen maken bijvoorbeeld deel uit van een Microsoft 365-abonnement, maar vereisen nog steeds toestemming.

Gebruikers hebben toegang tot Microsoft 365-toepassingen via hun Office 365 portals. U kunt Microsoft 365-toepassingen ook weergeven of verbergen in de Mijn apps met de Office 365 zichtbaarheid in de gebruikersinstellingen van uw directory.

Net als bij zakelijke apps kunt u gebruikers toewijzen aan bepaalde Microsoft-toepassingen via de Azure Portal of, als de portaloptie niet beschikbaar is, met behulp van PowerShell.

Volgende stappen