什么是 Microsoft Entra ID 中的应用程序管理?

Microsoft Entra ID 中的应用程序管理是在云中创建、配置、管理和监视应用程序的过程。 在 Microsoft Entra 租户中注册应用程序后,分配给该应用程序的用户可以安全地访问它。 可以在 Microsoft Entra ID 中注册多种类型的应用程序。 有关详细信息,请参阅Microsoft 标识平台的应用程序类型

本文介绍管理应用程序生命周期的以下重要方面:

  • 开发、添加或连接 – 根据是开发自己的应用程序、使用预集成的应用程序还是连接到本地应用程序,可以采用不同的路径。
  • 管理访问权限 – 可以通过以下方式管理访问权限:使用单一登录 (SSO)、分配资源、定义授予和同意访问权限的方式以及使用自动预配。
  • 配置属性 – 配置登录应用程序的要求以及应用程序在用户门户中的表示方式。
  • 保护应用程序 – 管理权限配置、多重身份验证、条件访问、令牌和证书。
  • 治理和监视 – 通过使用权利管理、报告和监视资源来管理交互和审核活动。
  • 清理 – 不再需要应用程序时,通过移除对其的访问权限并将其删除来清理租户。

开发、添加或连接

可以通过多种方式管理 Microsoft Entra ID 中的应用程序。 开始管理应用程序的最简单方法是使用 Microsoft Entra 库中的预集成的应用程序。 可以开发自己的应用程序并将其注册到 Microsoft Entra ID,也可以继续使用本地应用程序。

下图显示了这些应用程序如何与 Microsoft Entra ID 进行交互。

Diagram showing how your own developed apps, preintegrated apps, and on-premises apps can be used as enterprise apps.

预集成的应用程序

许多应用程序都已预集成(在本文上图中显示为“云应用程序”)并且可以轻松设置。 Microsoft Entra 库中的每个应用程序都有一篇文章,显示了配置应用程序所需的步骤。 有关如何从库中将应用程序添加到 Microsoft Entra 租户的简单示例,请参阅快速入门:添加企业应用程序

你自己的应用程序

如果开发自己的商业应用程序,则可以将其注册到 Microsoft Entra ID,以利用租户提供的安全功能。 可以在“应用注册”中注册你的应用程序,也可以在“企业应用程序”中添加新应用程序时,使用“创建自己的应用程序”链接进行注册 。 考虑如何在应用程序中实现身份验证,以与 Microsoft Entra 集成。

如果希望可以通过库使用你的应用程序,则可以提交使其变为可用的请求

本地应用程序

如果要继续使用本地应用程序,但要利用 Microsoft Entra ID 提供的功能,请使用Microsoft Entra 应用程序代理将其与 Microsoft Entra ID 连接。 想要在外部发布本地应用程序时,可以实施应用程序代理。 然后,需要访问内部应用程序的远程用户可以安全地访问这些应用。

管理访问权限

若要管理应用程序的访问权限,需要回答以下问题:

  • 如何向应用程序授予和同意访问权限?
  • 应用程序是否支持 SSO?
  • 应将哪些用户、组和所有者分配给应用程序?
  • 是否有其他标识提供者支持该应用程序?
  • 自动预配用户标识和角色会有所帮助吗?

可以管理用户同意设置,以选择用户是否可以允许应用程序或服务访问用户配置文件和组织数据。 向应用程序授予访问权限后,用户可以登录到与 Microsoft Entra ID 集成的应用程序,该应用程序可以访问你的组织的数据,以提供丰富的数据驱动体验。

如果用户无法同意应用程序请求的权限,请考虑配置管理员同意工作流。 此工作流允许用户提供理由并请求管理员审查和批准应用程序。 要了解如何在 Microsoft Entra 租户中配置管理员同意工作流,请参阅配置管理员同意工作流

作为管理员,你可以向应用程序授予租户范围的管理员同意。 当应用程序需要普通用户无法授予的权限时,需要租户范围的管理员同意。 授予租户范围的管理员同意还允许组织实施自己的评审流程。 在授予同意之前,请务必仔细查看应用程序请求的权限。 向应用程序授予租户范围的管理员同意后,所有用户都可以登录到该应用程序,除非已将其配置为需要用户分配。

单一登录

请考虑在应用程序中实现 SSO。 可以为 SSO 手动配置大多数应用程序。 Microsoft Entra ID 中最常用的选项是基于 SAML 的 SSO 和基于 OpenID Connect 的 SSO。 在开始之前,请确保你已了解 SSO 的要求以及如何规划部署。 有关在 Microsoft Entra 租户中为企业应用程序配置基于 SAML 的 SSO 的详细信息,请参阅使用 Microsoft Entra ID 为应用程序启用单一登录

用户、组和所有者分配

默认情况下,所有用户都可以访问你的企业应用程序,而无需将这些应用程序分配给他们。 但是,如果要将应用程序分配给一组用户,请将应用程序配置为要求用户分配,并将所选用户分配到应用程序。 有关如何创建用户帐户并将其分配给应用程序的简单示例,请参阅快速入门:创建和分配用户帐户

如果订阅中包含组,则将组分配给应用程序,以便可以将正在进行的访问管理委派给组所有者。

分配所有者是一种简单方法,可用于授予管理应用程序的 Microsoft Entra 配置的所有方面的能力。 身为所有者的用户可以管理应用程序的组织特定配置。 最佳做法是主动监视租户中的应用程序,以确保它们至少有两个所有者,从而避免出现应用程序没有所有者的情况。

自动预配

应用程序预配是指在用户需要访问的应用程序中自动创建用户标识和角色。 除了创建用户标识外,自动预配还包括在状态或角色发生更改时维护和删除用户标识。

标识提供者

是否有想要 Microsoft Entra ID 与之交互的标识提供者? 主领域发现提供了一种配置,便于 Microsoft Entra ID 确定用户在登录时需要使用哪个标识提供者进行身份验证。

用户门户

Microsoft Entra ID 提供可自定义的方式来向组织中的用户部署应用程序。 例如,“我的应用”门户或 Microsoft 365 应用程序启动器。 “我的应用”为用户提供了单一位置来开始工作并查找他们有权访问的所有应用程序。 作为应用程序的管理员,你应该规划组织中的用户如何使用“我的应用”

配置属性

将应用程序添加到 Microsoft Entra 租户时,将有机会配置属性,这些属性会影响用户与应用程序互动的方式。 可以启用或禁用登录后将应用程序设置为要求用户分配的功能。 你还可以确定应用程序的可见性、代表应用程序的徽标以及有关应用程序的任何说明。 有关可配置的属性详细信息,请参阅企业应用程序的属性

保护应用程序

有多种方法可帮助你确保企业应用程序的安全。 例如,你可以限制租户访问管理可见性、数据和分析,并可能提供混合访问。 确保企业应用程序的安全还涉及管理权限配置、MFA、条件访问、令牌和证书。

权限

定期检查并在必要时管理授予应用程序或服务的权限非常重要。 通过定期评估是否存在可疑活动,确保只允许对应用程序进行适当的访问。

通过权限分类,可根据组织的策略和风险评估确定不同权限的影响。 例如,可使用同意策略中的权限分类来确定允许用户同意哪一组权限。

多重身份验证和条件访问

Microsoft Entra 多重身份验证使用第二种形式的身份验证来提供另一层安全性,有助于保护对数据和应用程序的访问。 有许多方法可用于第二因素身份验证。 在开始之前,请为组织中的应用程序规划 MFA 部署

组织可以使用条件访问启用 MFA,以使解决方案满足其特定需求。 管理员可以使用条件访问策略将控制措施分配给特定应用程序、操作或身份验证上下文

令牌和证书

Microsoft Entra ID 中的身份验证流会使用不同类型的安全令牌,具体取决于所使用的协议。 例如,SAML 令牌用于 SAML 协议,ID 令牌访问令牌用于 OpenID Connect 协议。 令牌已使用 Microsoft Entra ID 中生成的唯一证书根据特定的标准算法签名。

可以通过加密令牌来提供更高的安全性。 还可以管理令牌中的信息,包括应用程序允许的角色

默认情况下,Microsoft Entra ID 使用SHA-256 算法为 SAML 响应进行签名。 除非应用程序要求使用 SHA-1,否则请使用 SHA-256。 建立管理证书生存期的流程。 签名证书的最长生存期为三年。 要防止或最大程度地减少因证书过期而导致的中断,请使用角色和电子邮件通讯组列表,以确保密切监视与证书相关的更改通知。

治理和监视

利用 Microsoft Entra ID 中的权利管理,可以管理应用程序与管理员、目录所有者、访问包管理器、审批者和请求者之间的交互。

Microsoft Entra 报告和监视解决方案的过程取决于你在法律、安全和操作等方面的要求以及现有的环境和流程。 Microsoft Entra ID 中维护了多个日志。 因此,你应该规划报告和监视部署以尽可能为应用程序保持最佳体验。

清理

可以清理对应用程序的访问权限。 例如,删除用户的访问权限。 还可以禁用用户登录方式。 最后,如果组织不再需要该应用程序,可以将其删除。 要详细了解如何从 Microsoft Entra 租户中删除企业应用程序,请参阅快速入门:删除企业应用程序

引导式演练

有关本文中许多建议的引导式演练,请参阅 Microsoft 365 使用单一登录 (SSO) 保护云应用的引导式演练

后续步骤