管理應用程式的存取權
將應用程式整合到組織的身分系統後,持續的存取管理、使用評估和報告仍然是一個挑戰。 在許多情況下,IT 管理員或支援人員必須在管理應用程式的存取權限方面發揮持續的積極作用。 有時,指派是由一個總體或部門的 IT 團隊執行。 通常,指派決策旨在委派給業務決策者,在 IT 部門進行指派之前需要他們的核准。
其它組織投資與現有的自動身分和存取管理系統 (如基於角色的存取控制 (RBAC) 或基於屬性的存取控制 (ABAC)) 的整合。 整合和規則開發往往是專業化的且較昂貴。 任一管理方法的監測或報告是其自己單獨、昂貴且複雜的投資。
Microsoft Entra ID 如何協助?
Microsoft Entra ID 支援針對已設定的應用程式進行廣泛的存取管理,讓組織能夠透過委派和包括管理員管理,從自動、屬性型指派 (ABAC 或 RBAC 案例) 輕鬆達成正確的存取原則。 使用 Microsoft Entra ID,您可以輕鬆實現複雜的原則,為單一應用程式結合多個管理模式,甚至可以重新使用具有相同受眾應用程式的管理規則。
使用 Microsoft Entra AD,完全整合使用方式和指派報告,使管理員能夠輕鬆報告指派狀態、指派錯誤甚至使用方式。
將使用者和群組指派給應用程式
Microsoft Entra 應用程式指派著重於兩種主要指派模式:
個別指派 具有雲端應用程式目錄的IT系統管理員 管理員 istrator 許可權可以選取個別用戶帳戶,並授與他們應用程式存取權。
群組型指派(需要 Microsoft Entra ID P1 或 P2) 具有目錄的 IT 系統管理員可以將群組指派給應用程式。 特定使用者的存取權限由他們在嘗試存取應用程式時是否是該群組的成員決定。 換句話說,管理員可以有效地建立 [所指派群組的任何當前成員有權存取該應用程式] 的指派規則。 使用這個指派選項,系統管理員可以受益於任何 Microsoft Entra 群組管理選項,包括屬性型動態群組、外部系統群組(例如,內部部署的 Active Directory 或 Workday),或 管理員 istrator 管理或自助管理的群組。 可將單一群組輕鬆地指派給多個應用程式,以確保具有指派相關性的應用程式可共用指派規則,從而降低總體管理複雜性。
注意
目前對應用程式的群組型指派不支援巢狀群組 成員資格。
使用這兩種指派模式,系統管理員可以達成任何理想的指派管理方法。
要求應用程式的使用者指派
對於某些類型的應用程式,您可以選擇要求將使用者指派給該應用程式。 如此一來,您可以阻止除您明確指派給該應用程式的使用者之外的所有人登入。 下列類型的應用程式支援此選項:
- 針對使用 SAML 型驗證的同盟單一登入 (SSO) 所設定的應用程式
- 使用 Microsoft Entra 預先驗證的應用程式 Proxy 應用程式
- 建置於 Microsoft Entra 應用程式平台,且在使用者或系統管理員同意該應用程式之後,使用 OAuth 2.0/OpenID Connect 驗證的應用程式。 某些企業應用程式對允許登入的人員提供更多的控制。
需要使用者指派時,只有您指派給應用程式的使用者 (透過直接使用者指派或根據群組成員資格) 才能登入。 他們可以在 [我的應用程式] 入口網站或使用直接連結來存取應用程式。
不需要使用者指派時,未指派的使用者不會在其 我的應用程式 上看到應用程式,但他們仍然可以登入應用程式本身(也稱為SP起始的登入),或者他們可以使用應用程式[屬性] 頁面中的 [使用者存取 URL] (也稱為 IDP 起始的登入)。 如需要求使用者指派設定的詳細資訊,請參閱設定應用程式
此設定不會影響應用程式是否出現在 [我的應用程式] 上。 一旦您將使用者或群組指派給應用程式,應用程式就會出現在使用者的 [我的應用程式] 存取面板上。
注意
當應用程式需要指派時,不允許使用者同意該應用程式。 即使這樣會允許該應用程式的使用者同意,也是如此。 請務必對要求指派的應用程式授予全租用戶的管理員同意。
對於某些應用程式,要求使用者指派的選項在應用程式的屬性中無法使用。 在這些情況下,您可以使用 PowerShell 在服務主體上設定 appRoleAssignmentRequired 屬性。
確定存取應用程式的使用者體驗
Microsoft Entra ID 提供數種可自訂的方式來部署應用程式至組織中的終端使用者:
- Microsoft Entra My Apps
- Microsoft 365 應用程式啟動器
- 直接登入同盟應用程式 (service-pr)
- 同盟、密碼型或現有應用程式的深層連結
您可以判斷指派給企業應用程式的使用者是否可以在 My Apps 和 Microsoft 365 應用程式啟動器中看到它。
範例:使用 Microsoft Entra ID 的複雜應用程式指派
考慮 Salesforce 等應用程式。 在許多組織中,Salesforce 主要供行銷和銷售團隊使用。 通常,行銷團隊的成員擁有對 Salesforce 的高度特許權限,而銷售團隊的成員則擁有有限的存取權限。 在許多情況下,大量的資訊工作者對該應用程式的存取受到限制。 這些規則的例外會使事情變得複雜。 通常,行銷或銷售領導團隊有權在這些通用規則之外授予使用者存取權限或更改其角色。
透過 Microsoft Entra ID,可以預先設定 Salesforce 等應用程式以進行單一登入 (SSO) 和自動佈建。 在設定應用程式後,管理員可以執行一次性動作來建立和指派適當的群組。 在此範例中,管理員可以執行以下指派:
您可以定義動態群組 ,以使用部門或角色等屬性自動代表行銷和銷售小組的所有成員:
- 行銷群組的所有成員都會被指派至 Salesforce 中的 [行銷] 角色
- 銷售群組的所有成員都會被指派至 Salesforce 中的 [銷售] 角色。 進一步細化可以使用多個群組來代表指派至不同 Salesforce 角色的區域銷售團隊。
為了啟用例外機制,可以為每個角色建立一個自助服務群組。 例如,可以建立作為自助服務群組的 [Salesforce marketing exception] 群組。 可以將該群組指派至 Salesforce 行銷角色,並且行銷領導團隊可以成為擁有者。 行銷領導團隊的成員可以新增或移除使用者、設定加入原則,甚至核准或拒絕個別使用者的加入要求。 可透過資訊工作者的適當經驗來支援此機制,不需要對擁有者或成員進行專門的訓練。
在此情況下,所有指派的使用者都會自動佈建到 Salesforce。 當他們新增至不同的群組時,其角色指派將會在 Salesforce 中更新。 使用者可以透過 My Apps、Office Web 用戶端,或瀏覽至其組織的 Salesforce 登入頁面來探索及存取 Salesforce。 管理員 istrators 可以使用 Microsoft Entra ID 報告輕鬆檢視使用方式和指派狀態。
管理員可以使用 Microsoft Entra 條件式存取來設定特定角色的存取原則。 這些原則可以包括是否允許在企業環境之外進行存取,甚至包括多重要素驗證或在各種情況下實現存取的裝置需求。
存取 Microsoft 應用程式
Microsoft 應用程式 (例如 Exchange、SharePoint、Yammer 等) 的指派和管理方式,與第三方 SaaS 應用程式或其他您與 Microsoft Entra ID 整合以進行單一登入的應用程式略有不同。
使用者有三種主要方式可以存取 Microsoft 已發佈的應用程式。
對於 Microsoft 365 或其他付費套件中的應用程式,用戶會透過 授權指派直接授與其用戶帳戶的存取權,或是透過群組型授權指派 功能來授與存取權。
對於 Microsoft 或第三方免費發佈供任何人使用的應用程式,使用者可透過使用者同意來被授與存取權。 使用者可透過其 Microsoft Entra 公司或學校帳戶來登入應用程式,並允許它可以存取其帳戶上的某些有限的資料集。
對於 Microsoft 或第三方免費發佈供任何人使用的應用程式,使用者也可以透過管理員同意來被授與存取權。 這表示系統管理員已判斷應用程式可由組織中的所有人使用,因此他們以特殊許可權角色登入應用程式,管理員 istrator 角色,並將存取權授與組織中的每個人。
某些應用程式會結合這些方法。 例如,某些 Microsoft 應用程式是 Microsoft 365 訂閱的一部分,但仍需要同意。
使用者可以透過其 Office 365 入口網站來存取 Microsoft 365 應用程式。 您也可以在 我的應用程式 中顯示或隱藏 Microsoft 365 應用程式,並在目錄的使用者設定中顯示或隱藏 Office 365 可見度切換。
如同企業應用程式,您可以透過 Microsoft Entra 系統管理中心或使用 PowerShell 將使用者指派給特定的 Microsoft 應用程式。