确定想要使用 Microsoft Entra ID 来管理访问的一个或多个应用程序后,请记下组织用于确定哪些用户应具有访问权限的策略,以及系统应提供的任何其他约束。
在指定范围内选择应用程序及其角色
具有合规性要求或风险管理计划的组织拥有敏感或业务关键型应用程序。 如果此应用程序是环境中的现有应用程序,则可能已经记录了此应用程序“应有权访问”的人员的访问策略。 如果没有,可能需要咨询各种利益干系人,例如合规性和风险管理团队,以确保用于自动执行访问决策的策略适用于你的方案。
收集每个应用程序提供的角色和权限。 某些应用程序可能只有一个角色,例如,只有角色为“User”的应用程序。 更复杂的应用程序可能会显示多个角色,以便通过 Microsoft Entra ID 进行管理。 这些应用程序角色通常对具有该角色的用户在应用内拥有的访问施加广泛的约束。 例如,具有管理员角色的应用程序可能具有两个角色“User”和“Administrator”。 其他应用程序还可能依赖组成员身份或声明来进行更精细的角色检查。这些信息可以通过 Microsoft Entra ID 提供的账户配置,使用联合 SSO 协议发出的声明,或者作为安全组成员身份写入至 AD。 最后,可能存在应用程序特定的角色不会显示在 Microsoft Entra ID 中 - 也许应用程序不允许在 Microsoft Entra ID 中定义管理员,而是依赖于自己的授权规则来标识管理员。 SAP Cloud Identity Services 只有一个角色( 用户)可用于分配。
注释
如果使用的是支持预配的 Microsoft Entra 应用程序库中的应用程序,则在配置预配后,Microsoft Entra ID 可能会导入应用程序中定义的角色,并使用应用程序的角色自动更新应用程序清单。
选择哪些角色和组具有要在 Microsoft Entra ID 中接受管理的成员资格。 根据合规性和风险管理要求,组织通常会优先考虑授予特权访问或敏感信息访问权限的应用程序角色或组。
通过先决条件和其他约束来定义组织的访问应用程序策略
在本部分中,你将记下计划用于确定应用程序访问权限的组织策略。 您可以在电子表格中将其记录为一个表格,例如
| 应用角色 | 访问先决条件 | 审批者 | 默认访问持续时间 | 权限分离约束 | 条件访问策略 |
|---|---|---|---|---|---|
| 西部销售 | 销售团队的成员 | 用户的负责人 | 年度评审 | 不能具有 东部销售 访问权限 | 多重身份验证(MFA)和访问所需的已注册设备 |
| 西部销售 | 非销售部门的任何员工 | 销售部门主管 | 90 天 | 不适用 | 访问需要多因素认证和注册设备 |
| 西部销售 | 非员工销售代表 | 销售部门主管 | 30 天 | 不适用 | 需要 MFA 才能访问 |
| 东部销售 | 销售团队的成员 | 用户的经理 | 年度审核 | 不能具有 西部销售 访问权限 | 访问所需的 MFA 和已注册设备 |
| 东部销售 | 非销售部门的任何员工 | 销售部门主管 | 90 天 | 不适用 | 访问需要多因素认证和已注册设备 |
| 东部销售 | 非员工销售代表 | 销售部门主管 | 30 天 | 不适用 | 需要 MFA 才能访问 |
如果已有组织角色定义,请参阅 如何迁移组织角色 以获取详细信息。
确定是否存在先决条件要求,即用户必须满足的标准,然后才能获得对应用程序的访问权限。 例如,在正常情况下,只允许全职员工或特定部门或成本中心的员工访问特定部门的应用程序。 此外,如果其他部门的用户请求访问,您可能需要其通过一个或多个额外审批者的权利管理政策。 虽然拥有多个审批阶段可能会减缓用户获得访问权限的整个过程,但这些额外阶段可确保访问请求适当,并负责决策。 例如,员工访问的请求可以有两个阶段的审批,首先由请求的用户经理,第二阶段由负责应用程序中数据的资源所有者之一。
确定已批准访问的用户具有访问权限的时间,以及该访问权限何时应消失。 对于许多应用程序,用户可能会无限期地保留访问权限,直到它们不再与组织关联。 在某些情况下,访问权限可能会绑定到特定项目或里程碑,以便在项目结束时自动删除访问权限。 或者,如果只有少数用户通过策略使用应用程序,则可以通过该策略对每个人的访问进行季度或每年评审,以便定期进行监督。
如果组织已使用组织角色模型管理访问权限,请计划将组织角色模型引入Microsoft Entra ID。 你可能定义了一个 组织角色 ,该角色根据用户的属性(例如其位置或部门)分配访问权限。 即使没有预先确定的项目结束日期,这些进程也能确保用户最终在不再需要访问权限时失去访问权限。
询问是否存在职责分离约束。 例如,你可能具有两个应用角色(西部销售和东部销售)的应用程序,并且你想要确保用户一次只能有一个销售区域。 包含任何彼此不兼容的应用角色对的列表,以便如果用户具有一个角色,则不允许他们请求第二个角色。
选择适当的条件访问策略以访问应用程序。 建议分析应用程序,并将其分组到具有相同用户资源要求的应用程序中。 如果这是与标识治理的 Microsoft Entra ID Governance 集成的第一个联合 SSO 应用程序,则可能需要创建新的条件访问策略来表达约束,例如多重身份验证(MFA)的要求或基于位置的访问。 你可以将用户配置为要求同意 使用条款。 有关如何定义条件访问策略的更多注意事项,请参阅 计划条件访问部署 。
确定应如何处理标准的例外情况。 例如,应用程序通常只能供指定员工使用,但审核员或供应商可能需要对特定项目进行临时访问。 或者,旅行的员工可能需要从通常被阻止的位置访问,因为你的组织在该位置没有存在。 在这些情况下,可以选择具有权利管理策略以供审批,该策略可能具有不同的阶段、不同的时间限制或不同的审批者。 在 Microsoft Entra 租户中以来宾用户身份登录的供应商可能没有经理,因此其访问请求可以由组织发起人或资源所有者或安全官员批准。
由于利益干系人正在审查谁应具有访问权限的组织策略,因此你可以开始 将应用程序 与 Microsoft Entra ID 集成。 在后续步骤中,你已准备好 部署组织批准的策略 ,用于 Microsoft Entra ID 治理中的访问。