在前面的部分中,你 定义了应用程序的治理策略 ,并将 该应用程序与 Microsoft Entra ID 集成。 在本部分中,你将配置 Microsoft Entra 条件访问和权利管理功能,以控制对应用程序的持续访问。 你将建立
- 条件访问策略,规定用户如何对集成到 Microsoft Entra ID 的应用程序进行身份验证,从而实现单一登录。
- 权限管理策略,针对用户如何获取和保留应用程序角色分配及群组成员资格。
- 访问审核策略,以了解组成员身份审核的频率。
部署这些策略后,可以在用户请求时监视 Microsoft Entra ID 的持续行为,并向其分配对应用程序的访问权限。
为 SSO 强制部署条件访问策略
在本部分中,将基于用户身份验证强度或设备状态等因素,建立条件访问策略,用于确定授权用户是否能够登录到应用。
条件访问仅适用于依赖于 Microsoft Entra ID 进行单一登录(SSO)的应用程序。 如果应用程序无法集成 SSO,请继续阅读下一节。
- 根据需要上传使用条款(TOU)文档。 如果你要求用户在访问应用程序之前接受使用条款(TOU),则创建并 上传 TOU 文档 ,以便它可以包含在条件访问策略中。
- 验证用户是否已准备好Microsoft Entra 多重身份验证。 我们建议为通过联合集成的业务关键应用程序要求Microsoft Entra 多重身份验证。 对于这些应用程序,应该有一个策略要求用户在Microsoft Entra ID 之前满足多重身份验证要求,允许他们登录到应用程序。 某些组织还可以按位置阻止访问,或者 要求用户从已注册的设备进行访问。 如果还没有合适的策略包含身份验证、位置、设备和 TOU 所需的条件,请将 策略添加到条件访问部署。
- 将应用程序 Web 终结点引入相应的条件访问策略的范围。 如果现有的条件访问策略是为另一个应用程序创建且符合相同治理要求的应用程序,则可以更新该策略,使其同样适用于此应用程序,以避免具有大量策略。 进行更新后,请检查以确保应用预期的策略。 可以使用 条件访问假设工具 来查看将应用于用户的策略。
- 如果任何用户需要临时策略排除项,请创建定期访问审核。 在某些情况下,可能无法立即为每个授权用户强制实施条件访问策略。 例如,某些用户可能没有适当的已注册设备。 如果需要从条件访问策略中排除一个或多个用户并允许他们访问,请为 从条件访问策略中排除的用户组配置访问评审。
- 记录令牌生命周期和应用程序的会话设置。 拒绝继续访问的用户可以使用联合应用程序的时间取决于应用程序自己的会话生存期,以及访问令牌生存期。 应用程序的会话生存期取决于应用程序本身。 若要详细了解如何控制访问令牌的生存期,请参阅 可配置的令牌生存期。
部署权利管理策略以自动执行访问分配
在本部分中,您将配置 Microsoft Entra 权限管理,使用户可以请求访问应用程序的角色或应用程序使用的群组。 为了执行这些任务,默认的最小特权角色是 Identity Governance Administrator 角色,也可以 将其他用户委派为目录创建者,也可以是应用程序的所有者。
注释
遵循最低特权访问原则,建议在此处使用“标识治理管理员”角色。
- 受治理应用程序的访问包应位于指定的目录中。 如果还没有应用程序治理方案的目录,请在 Microsoft Entra 权利管理中创建目录。 如果有多个目录要创建,可以使用 PowerShell 脚本 创建每个目录,如 使用 PowerShell 创建目录中所示。
- 用必需的资源来充实目录。 将应用程序以及应用程序依赖的任何Microsoft Entra 组 添加为该目录中的资源。 如果有多个资源,可以使用 PowerShell 脚本将 每个资源添加到目录,如 将应用程序添加为目录的资源所示。
- 为每个用户可以请求的角色或组创建访问包。 对于每个应用程序及它们的每个应用程序角色或组,创建一个访问包,其中包括角色或组作为其资源。 在配置这些访问包的此阶段,请将每个访问包中的第一个访问包分配策略配置为 直接分配的策略,以便只有管理员可以创建分配。 在该策略中,为现有用户(如果有)设置访问评审要求,以便他们不会无限期地保留访问权限。 如果你有许多访问包,则可以使用 PowerShell 脚本 在目录中创建每个访问包,如 为具有单个角色的应用程序创建访问包。
- 配置访问包以实施职能分离的要求。 如果你有职责分离要求,请为访问包配置不兼容的访问包或现有组。 如果你的方案需要能够替代职责分离检查,则还可以为这些替代方案设置其他访问包。
- 将已有权访问应用程序的现有用户的分配添加到访问包中。 对于每个访问包,将相应角色应用程序的现有用户或该组的成员分配到访问包及其直接分配策略中。 可以使用 Microsoft Entra 管理中心直接将用户分配给访问包,也可通过 Graph 或 PowerShell 批量分配,如添加现有用户的分配中所示。
- 创建其他策略以允许用户请求访问权限。 在每个访问包中, 为用户创建其他访问包分配策略 以请求访问权限。 在该策略中配置审批和定期访问评审要求。
- 为应用程序使用的其他组创建定期访问评审。 如果应用程序使用了组,但不是访问包的资源角色,则为这些组的成员身份 创建访问评审 。
查看有关访问的报告
使用 Azure Monitor Microsoft Entra ID 和 Microsoft Entra ID Governance 提供了多个报告,可帮助你了解谁有权访问应用程序以及他们是否使用该访问权限。 这些包括:
- 管理员或目录所有者可以通过 Microsoft Entra 管理中心、Graph 或 PowerShell 检索具有访问包分配的用户列表。
- 还可以将审核日志发送到 Azure Monitor,并在 Microsoft Entra 管理中心或通过 PowerShell 查看 访问包更改的历史记录。
- 可以在 Microsoft Entra 管理中心或通过 Graph 的登录报告中查看应用程序最近 30 天的登录。 还可以将 登录日志发送到 Azure Monitor ,以存档最多两年的登录活动。
Microsoft Entra 中提供了其他报告。 有关权利管理中的报表的详细信息,请参阅 在权利管理中查看报表和日志。
还可以使用 Azure 数据资源管理器来保留和报告来自 Microsoft Entra、Microsoft Entra ID Governance 和其他源的当前或历史数据。 有关详细信息,请参阅 Azure 数据资源管理器中使用来自 Microsoft Entra ID 的数据的自定义报表。
监视以根据需要调整权利管理策略和访问权限
根据应用程序的应用程序访问分配更改量定期(例如每周、每月或季度),使用 Microsoft Entra 管理中心来确保根据策略授予访问权限。 还可以确保已识别的审批和评审人员仍然是这些工作的正确人选。
监视应用程序角色分配和组成员身份更改。 如果您已将 Microsoft Entra ID 配置为将其审核日志发送到 Azure Monitor,请在 Azure Monitor 中使用
Application role assignment activity来监控并报告未经权限管理的任何应用程序角色分配。 如果应用程序所有者直接创建了角色分配,则应联系该应用程序所有者以确定该分配是否已获得授权。 此外,如果应用程序依赖于 Microsoft Entra 安全组,也要监视这些组的变更。另请注意在应用程序中直接被授予访问权限的用户。 如果满足以下条件,则用户可以获取对应用程序的访问权限,即使不属于或未被添加到 Microsoft Entra ID 的一部分,也无需通过 Microsoft Entra ID 将其添加到应用程序的用户账户存储中。
- 该应用程序在应用中具有本地用户帐户存储
- 用户帐户存储位于数据库或 LDAP 目录中
- 应用程序不完全依赖于 Microsoft Entra ID 进行单一登录。
对于具有先前列表中属性的应用程序,应定期检查用户是否仅通过 Microsoft Entra 预配添加到应用程序的本地用户存储中。 如果直接在应用程序中创建的用户,请联系应用程序所有者以确定该分配是否已获得授权。
确保审批者和审阅者保持最新状态。 对于在上一部分中配置的每个访问包,请确保访问包分配策略继续具有正确的审批者和审阅者。 如果以前配置的审批者和审阅者不再存在于组织中,或者处于其他角色,请更新这些策略。
验证审阅者是否在评审期间做出决策。 监视 这些访问包的定期访问评审 是否成功完成,以确保审阅者参与并做出决策,以批准或拒绝用户继续需要访问。
检查预配和取消预配是否按预期工作。 如果之前已将用户预配到应用程序,那么当评审结果被实施,或用户对访问包的分配过期时,Microsoft Entra ID 开始从应用程序中撤销这些被拒绝用户的预配。 可以监视取消预配用户的过程。 如果预配指示应用程序出错,可以 下载预配日志 来调查应用程序是否存在问题。
使用应用程序中的角色或组更改来更新Microsoft Entra配置。 如果应用程序管理员在其 清单中添加新的应用角色、更新现有角色或依赖于其他组,则需要更新访问包和访问评审,以考虑这些新角色或组。