部署组织策略以控制对与 Microsoft Entra ID 集成的应用程序的访问

在前面的部分中，你已经为应用程序定义了治理策略，并且已经将该应用程序与 Microsoft Entra ID 集成。 在本部分中，你将配置 Microsoft Entra 条件访问和权利管理功能，以控制对应用程序的持续访问。 你将建立

• 条件访问策略，规定用户如何向 Microsoft Entra ID 进行身份验证，以便与 Microsoft Entra ID 集成的应用程序进行单一登录
• 权利管理策略，规定用户如何获取和保留对组中应用程序角色和成员身份的分配
• 访问评审策略，规定评审组成员资格的频率

部署这些策略后，便可以在用户请求并被分配了对应用程序的访问权限时监视 Microsoft Entra ID 的持续行为。

部署条件访问策略以强制实施 SSO

在本部分中，你将根据用户身份验证强度或设备状态等因素来制定条件访问策略，这些策略负责确定授权用户是否能够登录应用。

条件访问仅适用于依赖于 Microsoft Entra ID 进行单一登录 (SSO) 的应用程序。 如果应用程序无法集成 SSO，请继续完成下一部分中的操作。

1. 如果需要，请上传使用条款 (TOU) 文档。 如果你要求用户在访问应用程序之前接受使用条款 (TOU)，请创建并上传 TOU 文档，以便将其包含在条件访问策略中。
2. 验证用户是否已准备好进行 Microsoft Entra 多重身份验证。 我们建议为通过联合身份验证集成的业务关键型应用程序要求进行 Microsoft Entra 多重身份验证。 对于这些应用程序，应该有一项策略要求用户首先满足多重身份验证要求然后 Microsoft Entra ID 才能允许用户登录到应用程序。 某些组织还可以按位置阻止访问，或者要求用户从已注册的设备进行访问。 如果还没有合适的策略包含身份验证、位置、设备和 TOU 所需的条件，请将策略添加到条件访问部署。
3. 将应用程序 Web 终结点纳入相应的条件访问策略的范围。 如果现有的条件访问策略是为另一个应用程序而创建的，且另一个应用程序遵守相同治理要求，则可以更新该策略，使策略也适用于此应用程序，以避免产生大量策略。 完成更新后，请检查以确保应用预期的策略。 你可以使用条件访问假设分析工具查看哪些策略适用于用户。
4. 如果任何用户需要临时策略排除项，请创建定期访问评审。 在某些情况下，可能无法立即为每个授权用户强制实施条件访问策略。 例如，某些用户可能没有适当的已注册设备。 如果需要从条件访问策略中排除一个或多个用户并允许这些用户访问，请为从条件访问策略中排除的用户组配置访问评审。
5. 记录令牌生命周期和应用程序的会话设置。 被拒绝继续访问的用户能够继续使用联合应用程序的时长取决于应用程序自己的会话生存期和访问令牌生存期。 应用程序的会话生命周期取决于应用程序本身。 若要了解有关控制访问令牌生存期的详细信息，请参阅可配置令牌生存期。

部署权利管理策略以自动执行访问分配

在本部分中，你将配置 Microsoft Entra 权利管理，以便用户可以请求访问应用程序的角色或应用程序使用的组。 若要执行这些任务，需要具有“全局管理员”、“标识治理管理员”角色，或者被委托为目录创建者和应用程序的所有者。

1. 受治理应用程序的访问包应位于指定目录中。 如果还没有应用程序治理方案的目录，请在 Microsoft Entra 权利管理中创建目录。 如果要创建多个目录，可以使用 PowerShell 脚本创建每个目录。
2. 用必要的资源填充目录。 将应用程序以及应用程序依赖的任何 Microsoft Entra 组添加为该目录中的资源。 如果有多个资源，可以使用 PowerShell 脚本将每个资源添加到目录。
3. 为每个用户可以请求的角色或组创建访问包。 对于每个应用程序及它们的每个应用程序角色或组，创建一个访问包，其中包括角色或组作为其资源。 在配置这些访问包的阶段中，将每个访问包中的第一个访问包分配策略配置为直接分配策略，以便只有管理员可以创建分配。 在该策略中，为现有用户（如果有）设置访问评审要求，以便他们不会无限期地保留访问权限。 如果有多个访问包，可以使用 PowerShell 脚本在目录中创建每个访问包。
4. 配置访问包以强制实施职责分离要求。 如果你有职责分离要求，请为访问包配置不兼容的访问包或现有组。 如果你的方案需要能够替代职责分离检查，则还可以为这些替代方案设置其他访问包。
5. 向访问包添加已有权访问应用程序的现有用户的分配。 对于每个访问包，将具有该角色的应用程序的现有用户或该组的成员分配给访问包及其直接分配策略。 你可以使用 Microsoft Entra 管理中心直接将用户分配给访问包，也可通过 Graph 或 PowerShell 批量分配。
6. 创建允许用户请求访问权的其他策略。 在每个访问包中，创建额外的访问包分配策略以供用户请求访问权限。 在该策略中配置审批和定期访问评审要求。
7. 为应用程序使用的其他组创建定期访问评审。 如果某些组已被应用程序使用，但不是访问包的资源角色，则为这些组的成员资格创建访问评审。

查看有关访问的报告

Microsoft Entra ID 和 Microsoft Entra ID 治理与 Azure Monitor 结合使用提供了多个报表，可帮助你了解谁有权访问应用程序，以及他们是否正在使用该访问权限。

• 管理员或目录所有者可以通过 Microsoft Entra 管理中心、Graph 或 PowerShell 检索具有访问包分配的用户列表。
• 还可以将审核日志发送到 Azure Monitor，并在 Microsoft Entra 管理中心中或通过 PowerShell 查看访问包更改历史记录。
• 你可以在 Microsoft Entra 管理中心的登录报告中或通过 Graph 查看应用程序过去 30 天的登录情况。
• 还可以将登录日志发送到 Azure Monitor，以存档长达两年的登录活动。

监视以根据需要调整权利管理策略和访问权限

根据你的应用程序的应用程序访问分配更改量，定期（例如每周、每月或每季度）使用 Microsoft Entra 管理中心以确保访问权限的授予符合策略要求。 还可以确保已确定进行审批和评审的用户仍然是这些任务的正确人选。

• 监视应用程序角色分配和组成员身份变更。 如果已将 Microsoft Entra ID 配置为将其审核日志发送到 Azure Monitor，请使用 Azure Monitor 中的Application role assignment activity 来监视和报告未通过权利管理进行的任何应用程序角色分配。 如果某些角色分配是由应用程序所有者直接创建的，则应联系该应用程序所有者以确定该分配是否已获得授权。 此外，如果应用程序依赖于 Microsoft Entra 安全组，还监视这些组的更改。

• 还会监视直接在应用程序中被授予访问权限的用户。 如果满足以下条件，即使用户不加入 Microsoft Entra ID 或者不被添加到 Microsoft Entra ID 的应用程序用户帐户存储中，也可以获取对应用程序的访问权限：

  • 应用程序在应用中具有本地用户帐户存储
  • 用户帐户存储位于数据库或 LDAP 目录中
  • 应用程序不会完全依赖于 Microsoft Entra ID 进行单一登录。

  对于包含上一个列表中的属性的应用程序，应定期检查用户是否仅通过 Microsoft Entra 预配添加到应用程序的本地用户存储中。 对于直接在应用程序中创建的用户，请联系应用程序所有者以确定该分配是否已获得授权。

• 确保审批者和审阅者保持最新状态。 对于在上一部分中配置的每个访问包，请确保访问包分配策略继续具有正确的审批者和审阅者。 如果以前配置的审批者和审阅者在组织中已不存在，或者获得了其他角色，请更新这些策略。

• 验证审阅者是否在评审期间做出决策。 监视这些访问包的定期访问评审是否成功完成，以确保审阅者参与并做出批准或拒绝用户继续需要访问的决定。

• 检查预配和取消预配是否按预期工作。 如果你之前已将用户预配配置到应用程序，则在应用审核结果或用户对访问包的分配到期时，Microsoft Entra ID 会开始从应用程序中取消预配被拒绝的用户。 可以监视取消预配用户的过程。 如果预配指示应用程序出错，可以下载预配日志以调查应用程序是否存在问题。

• 使用应用程序中的任何角色或组更改来更新 Microsoft Entra 配置。 如果应用程序管理员在其清单中添加新的应用程序角色、更新现有角色或依赖于其他组，则需要更新访问包和访问评审，以将这些新角色或组考虑在内。

后续步骤

• 访问评审部署计划