Hantera åtkomst till ett program

Löpande åtkomsthantering, användningsutvärdering och rapportering fortsätter att vara en utmaning när en app har integrerats i organisationens identitetssystem. I många fall måste IT-administratörer eller supportavdelningen ta en pågående aktiv roll i hanteringen av åtkomsten till dina appar. Ibland utförs tilldelningen av ett allmänt eller divisionellt IT-team. Tilldelningsbeslutet är ofta avsett att delegeras till företagets beslutsfattare, vilket kräver deras godkännande innan IT gör tilldelningen.

Andra organisationer investerar i integrering med ett befintligt automatiserat system för identitets- och åtkomsthantering, till exempel Role-Based Access Control (RBAC) eller Attribute-Based Access Control (ABAC). Både integrering och regelutveckling tenderar att vara specialiserade och dyra. Övervakning eller rapportering av endera hanteringsmetod är en egen separat, kostsam och komplex investering.

Hur hjälper Azure Active Directory?

Azure AD stöder omfattande åtkomsthantering för konfigurerade program, vilket gör det möjligt för organisationer att enkelt uppnå rätt åtkomstprinciper, allt från automatiska, attributbaserade tilldelningar (ABAC- eller RBAC-scenarier) via delegering och inklusive administratörshantering. Med Azure AD kan du enkelt uppnå komplexa principer, kombinera flera hanteringsmodeller för ett enda program och till och med återanvända hanteringsregler mellan program med samma målgrupper.

Med Azure AD är användnings- och tilldelningsrapportering helt integrerad, vilket gör det möjligt för administratörer att enkelt rapportera om tilldelningstillstånd, tilldelningsfel och till och med användning.

Tilldela användare och grupper till en app

Azure AD:s programtilldelning fokuserar på två primära tilldelningslägen:

  • Individuell tilldelning En IT-administratör med behörighet som global administratör för katalogen kan välja enskilda användarkonton och ge dem åtkomst till programmet.

  • Gruppbaserad tilldelning (kräver Azure AD Premium P1 eller P2) En IT-administratör med behörighet som global administratör kan tilldela en grupp till programmet. Specifika användares åtkomst bestäms av om de är medlemmar i gruppen när de försöker komma åt programmet. Med andra ord kan en administratör effektivt skapa en tilldelningsregel som anger att "alla aktuella medlemmar i den tilldelade gruppen har åtkomst till programmet". Med det här tilldelningsalternativet kan administratörer dra nytta av något av alternativen för Azure AD-grupphantering, inklusive attributbaserade dynamiska grupper, externa systemgrupper (till exempel lokal Active Directory eller Workday) eller administratörshanterade eller självbetjäningshanterade grupper. En enda grupp kan enkelt tilldelas till flera appar, så att program med tilldelningstillhörighet kan dela tilldelningsregler, vilket minskar den övergripande hanteringskomplexiteten.

Anteckning

Gruppmedlemskap stöds för närvarande inte för gruppbaserad tilldelning till program.

Med hjälp av dessa två tilldelningslägen kan administratörer uppnå alla önskvärda tilldelningshanteringsmetoder.

Kräva användartilldelning för en app

Med vissa typer av program har du möjlighet att kräva att användare tilldelas till programmet. Genom att göra det förhindrar du att alla loggar in förutom de användare som du uttryckligen tilldelar till programmet. Följande typer av program stöder det här alternativet:

  • Program som konfigurerats för federerad enkel inloggning (SSO) med SAML-baserad autentisering
  • Programproxy program som använder Azure Active Directory förautentisering
  • Program som bygger på Azure AD-programplattformen som använder OAuth 2.0/OpenID Anslut-autentisering när en användare eller administratör har godkänt programmet. Vissa företagsprogram ger mer kontroll över vem som får logga in.

När det krävs användartilldelning kan bara de användare du tilldelar till appen (antingen via direkt användartilldelning eller baserat på gruppmedlemskap) logga in. De kan komma åt appen på Mina appar-portalen eller med hjälp av en direktlänk.

När användartilldelning inte krävs ser inte otilldelade användare appen på sina Mina appar, men de kan fortfarande logga in på själva programmet (även kallat SP-initierad inloggning) eller använda url:en för användaråtkomst på programmets egenskapssida (kallas även IDP-initierad inloggning). Mer information om hur du kräver konfigurationer för användartilldelning finns i Konfigurera ett program

Den här inställningen påverkar inte om ett program visas på Mina appar eller inte. Program visas på användarnas Mina appar åtkomstpaneler när du har tilldelat en användare eller grupp till programmet.

Anteckning

När ett program kräver tilldelning tillåts inte användarens medgivande för programmet. Detta är sant även om användarna medgivande för den appen annars skulle ha tillåtits. Se till att ge administratörsmedgivande för hela klientorganisationen till appar som kräver tilldelning.

För vissa program är alternativet att kräva användartilldelning inte tillgängligt i programmets egenskaper. I dessa fall kan du använda PowerShell för att ange egenskapen appRoleAssignmentRequired på tjänstens huvudnamn.

Fastställa användarupplevelsen för åtkomst till appar

Azure AD tillhandahåller flera anpassningsbara sätt att distribuera program till slutanvändare i din organisation:

  • Azure AD Mina appar
  • Microsoft 365 programstartsprogram
  • Direkt inloggning till federerade appar (service-pr)
  • Djuplänkar till federerade, lösenordsbaserade eller befintliga appar

Du kan avgöra om användare som är tilldelade till en företagsapp kan se den i Mina appar och Microsoft 365 programstartsprogram.

Exempel: Komplex programtilldelning med Azure AD

Överväg ett program som Salesforce. I många organisationer används Salesforce främst av marknadsförings- och säljteamen. Ofta har medlemmar i marknadsföringsteamet mycket privilegierad åtkomst till Salesforce, medan medlemmar i säljteamet har begränsad åtkomst. I många fall har en bred befolkning av informationsarbetare begränsad tillgång till programmet. Undantag från dessa regler komplicerar saker och ting. Det är ofta marknadsförings- eller säljledarteamens privilegium att ge en användare åtkomst eller ändra sina roller oberoende av dessa allmänna regler.

Med Azure AD kan program som Salesforce förkonfigureras för enkel inloggning (SSO) och automatisk etablering. När programmet har konfigurerats kan en administratör vidta engångsåtgärden för att skapa och tilldela lämpliga grupper. I det här exemplet kan en administratör köra följande tilldelningar:

  • Dynamiska grupper kan definieras för att automatiskt representera alla medlemmar i marknadsförings- och försäljningsteamen med hjälp av attribut som avdelning eller roll:

    • Alla medlemmar i marknadsföringsgrupper skulle tilldelas rollen "marknadsföring" i Salesforce
    • Alla medlemmar i säljteamgrupper skulle tilldelas rollen "försäljning" i Salesforce. En ytterligare förfining kan använda flera grupper som representerar regionala säljteam som tilldelats olika Salesforce-roller.
  • För att aktivera undantagsmekanismen kan en självbetjäningsgrupp skapas för varje roll. Till exempel kan gruppen "Salesforce marketing exception" skapas som en självbetjäningsgrupp. Gruppen kan tilldelas salesforce-marknadsföringsrollen och marknadsledarteamet kan bli ägare. Medlemmar i marknadsledarteamet kan lägga till eller ta bort användare, ange en kopplingsprincip eller till och med godkänna eller neka enskilda användares begäranden om att ansluta. Den här mekanismen stöds via en informationsarbetares lämpliga upplevelse som inte kräver specialiserad utbildning för ägare eller medlemmar.

I det här fallet skulle alla tilldelade användare automatiskt etableras till Salesforce. När de läggs till i olika grupper uppdateras deras rolltilldelning i Salesforce. Användare kan identifiera och komma åt Salesforce via Mina appar, Office webbklienter eller genom att gå till organisationens salesforce-inloggningssida. Administratörer kan enkelt visa användnings- och tilldelningsstatus med hjälp av Azure AD-rapportering.

Administratörer kan använda villkorsstyrd åtkomst i Azure AD för att ange åtkomstprinciper för specifika roller. Dessa principer kan omfatta om åtkomst tillåts utanför företagsmiljön och till och med multifaktorautentisering eller enhetskrav för att uppnå åtkomst i olika fall.

Åtkomst till Microsoft-program

Microsoft-program (till exempel Exchange, SharePoint, Yammer osv.) tilldelas och hanteras lite annorlunda än SaaS-program från tredje part eller andra program som du integrerar med Azure AD för enkel inloggning.

Det finns tre huvudsakliga sätt som en användare kan få åtkomst till ett Microsoft-publicerat program på.

  • För program i Microsoft 365 eller andra betalda sviter beviljas användare åtkomst via licenstilldelning antingen direkt till sitt användarkonto eller via en grupp som använder vår gruppbaserade licenstilldelningsfunktion.

  • För program som Microsoft eller en tredje part publicerar fritt för alla att använda kan användare beviljas åtkomst via användarmedgivande. Användarna loggar in på programmet med sitt Azure AD Work- eller School-konto och tillåter att det har åtkomst till en begränsad uppsättning data på sitt konto.

  • För program som Microsoft eller en tredje part publicerar fritt för alla att använda kan användarna också beviljas åtkomst via administratörsmedgivande. Det innebär att en administratör har fastställt att programmet kan användas av alla i organisationen, så att de loggar in på programmet med ett globalt administratörskonto och ger åtkomst till alla i organisationen.

Vissa program kombinerar dessa metoder. Vissa Microsoft-program ingår till exempel i en Microsoft 365 prenumeration, men kräver fortfarande medgivande.

Användare kan komma åt Microsoft 365 program via sina Office 365-portaler. Du kan också visa eller dölja Microsoft 365 program i Mina appar med Office 365 synlighetsväxling i katalogens användarinställningar.

Precis som med företagsappar kan du tilldela användare till vissa Microsoft-program via Azure Portal eller, om portalalternativet inte är tillgängligt, med hjälp av PowerShell.

Nästa steg