Vad är programhantering i Azure Active Directory?

  • Artikel
  • 7 minuter för att läsa

Programhantering i Azure Active Directory (Azure AD) är processen att skapa, konfigurera, hantera och övervaka program i molnet. När ett program registreras i en Azure AD-klientorganisation kan användare som har tilldelats det komma åt det på ett säkert sätt. Många typer av program kan registreras i Azure AD. Mer information finns i Programtyper för Microsoft Identity Platform.

I den här artikeln får du lära dig följande viktiga aspekter när du hanterar livscykeln för ett program:

  • Utveckla, lägga till eller ansluta – Du kan använda olika sökvägar beroende på om du utvecklar ett eget program, använder ett förintegrerat program eller ansluter till ett lokalt program.
  • Hantera åtkomst – Åtkomst kan hanteras med hjälp av enkel inloggning (SSO), tilldela resurser, definiera hur åtkomst beviljas och godkänns samt använda automatisk etablering.
  • Konfigurera egenskaper – Konfigurera kraven för att logga in i programmet och hur programmet representeras i användarportaler.
  • Skydda programmet – Hantera konfiguration av behörigheter, multifaktorautentisering (MFA), villkorlig åtkomst, token och certifikat.
  • Styra och övervaka – Hantera interaktion och granskningsaktivitet med hjälp av berättigandehantering, rapportering och övervakning av resurser.
  • Rensa – När programmet inte längre behövs kan du rensa klientorganisationen genom att ta bort åtkomsten till den och ta bort den.

Utveckla, lägga till eller ansluta

Det finns flera sätt att hantera program i Azure AD. Det enklaste sättet att börja hantera ett program är att använda ett förintegrerat program från Azure AD-galleriet. Att utveckla ett eget program och registrera det med Azure AD är ett alternativ, eller så kan du fortsätta att använda ett lokalt program.

Följande bild visar hur dessa program interagerar med Azure AD.

Diagram som visar hur dina egna utvecklade appar, förintegrerade appar och lokala appar kan användas som företagsappar.

Förintegrerade program

Många program är redan förintegrerade (visas som "molnprogram" i bilden ovan) och kan konfigureras med minimal ansträngning. Varje program i Azure AD-galleriet har en tillgänglig artikel som visar de steg som krävs för att konfigurera programmet. Ett enkelt exempel på hur ett program kan läggas till i din Azure AD-klientorganisation från galleriet finns i Snabbstart: Lägga till ett företagsprogram.

Dina egna program

Om du utvecklar ett eget företagsprogram kan du registrera det med Azure AD för att dra nytta av de säkerhetsfunktioner som klientorganisationen tillhandahåller. Du kan registrera ditt program i Appregistreringar eller registrera det med hjälp av länken Skapa ett eget program när du lägger till ett nytt program i Företagsprogram. Överväg hur autentisering implementeras i ditt program för integrering med Azure AD.

Om du vill göra programmet tillgängligt via galleriet kan du skicka en begäran om att lägga till det.

Lokala program

Om du vill fortsätta att använda ett lokalt program, men dra nytta av vad Azure AD erbjuder, ansluter du det till Azure AD med hjälp av Azure AD Programproxy. Programproxy kan implementeras när du vill publicera lokala program externt. Fjärranvändare som behöver åtkomst till interna program kan sedan komma åt dem på ett säkert sätt.

Hantera åtkomst

Om du vill hantera åtkomsten för ett program kan du svara på följande frågor:

  • Hur beviljas och godkänns åtkomst för programmet?
  • Stöder programmet enkel inloggning?
  • Vilka användare, grupper och ägare ska tilldelas till programmet?
  • Finns det andra identitetsproviders som stöder programmet?
  • Är det bra att automatisera etableringen av användaridentiteter och roller?

Du kan hantera inställningar för användarmedgivande för att välja om användarna ska kunna tillåta att ett program eller en tjänst får åtkomst till användarprofiler och organisationsdata. När program beviljas åtkomst kan användarna logga in på program som är integrerade med Azure AD och programmet kan komma åt organisationens data för att leverera omfattande datadrivna upplevelser.

Användare kan ofta inte godkänna de behörigheter som ett program begär. Konfigurera arbetsflödet för administratörsmedgivande så att användarna kan ange en motivering och begära en administratörs granskning och godkännande av ett program.

Som administratör kan du ge administratörsmedgivande för hela klientorganisationen till ett program. Administratörsmedgivande för hela klientorganisationen är nödvändigt när ett program kräver behörigheter som vanliga användare inte tillåts bevilja och gör det möjligt för organisationer att implementera egna granskningsprocesser. Granska alltid noggrant de behörigheter som programmet begär innan du beviljar medgivande. När ett program har beviljats administratörsmedgivande för hela klientorganisationen kan alla användare logga in på programmet om det inte har konfigurerats för att kräva användartilldelning.

Enkel inloggning

Överväg att implementera enkel inloggning i ditt program. Du kan konfigurera de flesta program för enkel inloggning manuellt. De mest populära alternativen i Azure AD är SAML-baserad enkel inloggning och OpenID Anslut-baserad enkel inloggning. Innan du börjar bör du se till att du förstår kraven för enkel inloggning och hur du planerar för distribution. Ett enkelt exempel på hur du konfigurerar SAML-baserad enkel inloggning för ett företagsprogram i din Azure AD-klientorganisation finns i Snabbstart: Aktiveraenkel inloggning för ett företagsprogram .

Tilldelning av användare, grupp och ägare

Som standard kan alla användare komma åt dina företagsprogram utan att tilldelas till dem. Men om du vill tilldela programmet till en uppsättning användare kräver programmet användartilldelning. Ett enkelt exempel på hur du skapar och tilldelar ett användarkonto till ett program finns i Snabbstart: Skapa och tilldela ett användarkonto.

Om det ingår i din prenumeration tilldelar du grupper till ett program så att du kan delegera kontinuerlig åtkomsthantering till gruppägaren.

Att tilldela ägare är ett enkelt sätt att ge möjlighet att hantera alla aspekter av Azure AD-konfigurationen för ett program. Som ägare kan en användare hantera programmets organisationsspecifika konfiguration.

Automatisera etablering

Programetablering syftar på att automatiskt skapa användaridentiteter och roller i de program som användarna behöver åtkomst till. Förutom att skapa användaridentiteter inkluderar automatisk etablering underhåll och borttagning av användaridentiteter när status eller roller ändras.

Identitetsprovidrar

Har du en identitetsprovider som du vill att Azure AD ska interagera med? Identifiering av hemsfär tillhandahåller en konfiguration som gör att Azure AD kan avgöra vilken identitetsprovider en användare behöver autentisera med när de loggar in.

Användarportaler

Azure AD tillhandahåller anpassningsbara sätt att distribuera program till användare i din organisation. Till exempel kan Mina appar-portalen eller Microsoft 365 programstartaren. Mina appar ger användarna en enda plats där de kan börja sitt arbete och hitta alla program som de har åtkomst till. Som administratör för ett program bör du planera hur användarna i din organisation ska använda Mina appar.

Konfigurera egenskaper

När du lägger till ett program i din Azure AD-klient har du möjlighet att konfigurera egenskaper som påverkar hur användarna kan logga in. Du kan aktivera eller inaktivera möjligheten att logga in och användartilldelning kan krävas. Du kan också bestämma programmets synlighet, vilken logotyp som representerar programmet och eventuella anteckningar om programmet.

Skydda programmet

Det finns flera tillgängliga metoder som hjälper dig att skydda dina företagsprogram. Du kan till exempel begränsa klientåtkomst, hantera synlighet, data och analys ocheventuellt ge hybridåtkomst. Att skydda dina företagsprogram innebär också att hantera konfiguration av behörigheter, MFA, villkorlig åtkomst, token och certifikat.

Behörigheter

Det är viktigt att regelbundet granska och, om det behövs, hantera de behörigheter som beviljas till ett program eller en tjänst. Se till att du endast tillåter lämplig åtkomst till dina program genom att regelbundet utvärdera om misstänkt aktivitet finns.

Med behörighetsklassificering kan du identifiera effekten av olika behörigheter enligt organisationens principer och riskbedömningar. Du kan till exempel använda behörighetsklassificering i medgivandeprinciper för att identifiera den uppsättning behörigheter som användare tillåts godkänna.

Multifaktorautentisering och villkorlig åtkomst

Azure AD MFA hjälper till att skydda åtkomsten till data och program, vilket ger ytterligare ett säkerhetslager med hjälp av en andra form av autentisering. Det finns många metoder som kan användas för en andra faktorautentisering. Innan du börjar bör du planera distributionen av MFA för ditt program i din organisation.

Organisationer kan aktivera MFA med villkorlig åtkomst så att lösningen passar deras specifika behov. Principer för villkorlig åtkomst gör att administratörer kan tilldela kontroller till specifika program, åtgärder eller autentiseringskontext.

Token och certifikat

Olika typer av säkerhetstoken används i ett autentiseringsflöde i Azure AD beroende på vilket protokoll som används. SAML-token används till exempel för SAML-protokollet och ID-token och åtkomsttoken används för OpenID-Anslut protokollet. Token signeras med det unika certifikat som genereras i Azure AD och av specifika standardalgoritmer.

Du kan ge mer säkerhet genom att kryptera token. Du kan också hantera informationen i en token, inklusive de roller som tillåts för programmet.

Azure AD använder SHA-256-algoritmen som standard för att signera SAML-svaret. Använd SHA-256 om inte programmet kräver SHA-1. Upprätta en process för att hantera certifikatets livslängd. Den maximala livslängden för ett signeringscertifikat är tre år. Använd roller och e-postdistributionslistor för att säkerställa att certifikatrelaterade ändringsmeddelanden övervakas noggrant för att förhindra eller minimera avbrott på grund av att ett certifikat upphör att gälla.

Styra och övervaka

Med berättigandehantering i Azure AD kan du hantera interaktion mellan program och administratörer, katalogägare, åtkomstpakethanterare, godkännare och beställare.

Din rapporterings- och övervakningslösning i Azure AD beror på dina juridiska, säkerhets- och driftsmässiga krav samt din befintliga miljö och dina processer. Det finns flera loggar som underhålls i Azure AD och du bör planera för rapportering och övervakning av distribution för att upprätthålla bästa möjliga upplevelse för ditt program.

Rensa

Du kan rensa åtkomsten till program. Ta till exempel bort en användares åtkomst. Du kan också inaktivera hur en användare loggar in. Slutligen kan du ta bort programmet om det inte längre behövs för organisationen. Ett enkelt exempel på hur du tar bort ett företagsprogram från din Azure AD-klient finns i Snabbstart: Ta bort ett företagsprogram.

Nästa steg