控管環境中應用程式的存取權
Microsoft Entra 識別碼治理可讓您透過適當的程序與可見性,平衡貴組織的安全性需求與員工生產力。 其功能可確保正確的人員在正確的時間存取組織中正確的資源。
具有合規性需求或風險管理計劃的組織具有敏感性或業務關鍵性應用程式。 應用程式敏感度可能基於其用途或其包含的數據,例如組織客戶的財務資訊或個人資訊。 對於這些應用程式,組織中只有所有使用者的子集通常會獲得存取權的授權,而且只能根據記載的商務需求來允許存取。 作為組織管理存取權控件的一部分,您可以使用 Microsoft Entra 功能來:
- 設定適當的存取權
- 將使用者布建至應用程式
- 強制執行存取檢查
- 產生報告,以示範這些控件如何用來符合您的合規性和風險管理目標。
除了應用程式存取治理案例之外,您也可以針對其他案例使用 Microsoft Entra ID 控管 功能和其他 Microsoft Entra 功能,例如檢閱和移除其他使用者,或管理從條件式存取原則排除的使用者。 如果您的組織在 Microsoft Entra ID 或 Azure 中有多個系統管理員,請使用 B2B 或自助群組管理,則您應該 規劃這些案例的存取權檢閱部署 。
授權需求
使用此功能需要 Microsoft Entra ID 控管授權。 若要尋找您需求的正確授權,請參閱 Microsoft Entra ID 控管 授權基本概念。
開始使用控管應用程式的存取權
Microsoft Entra ID 控管 可以與許多應用程式整合,使用 OpenID 連線、SAML、SCIM、SQL 和 LDAP 等標準。 透過這些標準,您可以使用 Microsoft Entra ID 搭配許多熱門 SaaS 應用程式、內部部署應用程式,以及您組織開發的應用程式。 備妥 Microsoft Entra 環境之後,如下列章節所述,三個步驟計劃涵蓋如何將應用程式連線到 Microsoft Entra ID,並啟用要用於該應用程式的身分識別治理功能。
- 定義組織用來控管應用程式存取權的原則
- 將應用程式與 Microsoft Entra ID 整合,以確保只有授權的使用者可以存取應用程式,並檢閱使用者對應用程式的現有存取權,以設定已檢閱所有用戶的基準。 這可允許驗證和使用者布建
- 部署這些 原則以控制單一登錄 (SSO) 並自動化該應用程式的存取指派
設定 Microsoft Entra ID 和 Microsoft Entra ID 控管 以進行身分識別治理之前的必要條件
開始控管來自 Microsoft Entra ID 控管 的應用程式存取程式之前,您應該先檢查是否已適當設定 Microsoft Entra 環境。
請確定您的 Microsoft Entra ID 和 Microsoft Online Services 環境已準備好讓應用程式整合並正確授權的合規性需求。 合規性是 Microsoft、雲端服務提供者(CSP)和組織的共同責任。 若要使用 Microsoft Entra ID 來管理應用程式的存取權,您必須在租使用者中具有下列 其中一個授權組合 :
- Microsoft Entra ID 控管 及其必要條件,Microsoft Entra ID P1
- Microsoft Entra ID 控管 Microsoft Entra ID P2 及其必要條件、Microsoft Entra ID P2 或 Enterprise Mobility + Security (EMS) E5 的逐步執行
您的租用戶必須擁有至少與受控管的成員(非來賓)用戶數目一樣多的授權,包括具有或可以要求應用程式存取權、核准或檢閱應用程式的存取權。 針對這些使用者使用適當的授權,您接著可以控管每個使用者最多1500個應用程式的存取權。
如果您要控管來賓對應用程式的存取權,請將 Microsoft Entra 租用戶連結到 MAU 計費的訂用帳戶。 在要求來賓或檢閱其存取權之前,必須先執行此步驟。 如需詳細資訊,請參閱 Microsoft Entra 外部 ID 的計費模型。
檢查 Microsoft Entra ID 是否已經將其稽核記錄和其他記錄傳送至 Azure 監視器。 Azure 監視器是選擇性的,但對於控管應用程式的存取很有用,因為 Microsoft Entra 只會在其稽核記錄中儲存最多 30 天的稽核事件。 您可以保留稽核數據超過預設保留期限,如 Microsoft Entra ID 儲存報告數據多久中所述,以及使用 Azure 監視器活頁簿和自定義查詢和記錄稽核數據的報表。 您可以按下 [活頁簿],在 Microsoft Entra 系統管理中心的 Microsoft Entra 標識符中檢查 Microsoft Entra 組態,以查看其是否使用 Azure 監視器。 如果未設定此整合,而且您有 Azure 訂用帳戶且位於 或 角色中
Global Administrator
,您可以將 Microsoft Entra ID 設定為使用 Azure 監視器。Security Administrator
請確定只有獲授權的用戶位於 Microsoft Entra 租使用者中具有高許可權的系統管理角色。 中的 管理員 istrators全域 管理員 istrator、Identity Governance 管理員 istrator、User 管理員 istrator、Application 管理員 istrator、Cloud Application 管理員 istrator 和 Privileged Role 管理員 istrator 可以變更使用者及其應用程式角色指派。 如果尚未檢閱這些角色的成員資格,您需要位於 Global 管理員 istrator 或 Privileged Role 管理員 istrator 的使用者,以確保這些目錄角色的存取權檢閱已啟動。 您也應該確保訂用帳戶中保留 Azure 監視器、Logic Apps 和其他 Microsoft Entra 設定作業所需資源的使用者已檢閱。
檢查您的租使用者是否有適當的隔離。 如果您的組織使用 Active Directory 內部部署,且這些 AD 網域已連線到 Microsoft Entra ID,則您必須確保雲端裝載服務的高許可權系統管理作業會與內部部署帳戶隔離。 確認您已 設定系統來保護 Microsoft 365 雲端環境免於內部部署入侵。
檢查 Microsoft Entra 環境準備就緒之後,請繼續 定義應用程式的治理原則 。