利用 Microsoft Entra ID Governance,可以在组织的安全性和员工工作效率与适当的流程和可见性需求之间实现平衡。 其功能可确保用户和代理 ID 在正确的时间正确访问组织中的适当资源。
具有合规性要求或风险管理计划的组织拥有敏感或业务关键型应用程序。 应用程序的敏感性可能基于其目的或其包含的数据,例如组织客户的财务信息或个人信息。 对于这些应用程序,通常只有组织中所有用户和代理 ID 的子集才有权访问,并且只能根据记录的业务要求允许访问。
作为组织访问权限管理控制的一部分,可以使用 Microsoft Entra 功能来完成以下操作:
- 设置适当的访问权限
- 将用户配置到应用程序
- 强制实施访问权限检查
- 生成报告以展示这些控制如何用于满足你的合规性和风险管理目标。
除了应用程序访问治理方案之外,你还可以将 Microsoft Entra ID 治理功能和其他 Microsoft Entra 功能用于其他方案,例如审查和移除其他组织的用户或管理从条件访问策略中排除的用户。 如果你的组织在 Microsoft Entra ID 或 Azure 中有多个管理员,使用 B2B 或自助服务组管理,那么你应该为这些方案规划访问审查部署。
许可要求
使用此功能需要Microsoft Entra ID Governance 或 Microsoft Entra Suite 许可证。 若要查找符合要求的正确许可证,请参阅 Microsoft Entra ID Governance 许可基础知识。
应用程序访问权限管理入门
Microsoft Entra ID 治理可以使用 OpenID Connect、SAML、SCIM、SQL 和 LDAP 等标准与许多应用程序集成。 通过这些标准,可以将 Microsoft Entra ID 与许多常用的 SaaS 应用程序、本地应用程序,以及你的组织已开发的应用程序配合使用。
如下节所述,准备好 Microsoft Entra 环境后,该三步计划将涵盖如何将应用程序连接到 Microsoft Entra ID 并启用标识治理功能以用于该应用程序。
- 定义你的组织用于应用程序访问权限治理的策略
- 将应用程序与 Microsoft Entra ID 集成,以确保只有授权用户才能访问应用程序,并审查用户对应用程序的现有访问权限,以设置所有已审查用户的基线。 此操作将允许身份验证和用户预配
- 部署这些策略以控制单一登录 (SSO) 并自动为该应用程序分配访问权限
在配置 Microsoft Entra ID 和 Microsoft Entra ID 治理以用于标识治理之前需满足的先决条件
在开始通过 Microsoft Entra ID 治理来治理应用程序访问权限之前,应检查 Microsoft Entra 环境是否配置得当。
选择适当的租户部署体系结构。 如果要为业务合作伙伴以及员工用户提供对应用程序的访问权限,请选择一个租户以集成应用程序并部署标识治理功能,该功能将针对业务合作伙伴方案的任何协作或隔离要求进行配置。 有关详细信息,请参阅 Microsoft Entra 外部 ID 部署体系结构与 Microsoft Entra。
确保Microsoft Entra ID 和 Microsoft Online Services 环境已准备就绪,以便集成和正确许可应用程序的符合性要求。 合规性是 Microsoft、云服务提供商 (CSP) 和组织的共同责任。 若要使用 Microsoft Entra ID 治理对应用程序的访问权限,你必须在租户中拥有以下某个许可证组合:
- Microsoft Entra ID 治理及其先决条件,Microsoft Entra ID P1
- 适用于 Microsoft Entra ID P2 的 Microsoft Entra ID 治理升级及其先决条件,Microsoft Entra ID P2 或企业移动性 + 安全性 (EMS) E5
- Microsoft Entra Suite
租户需要拥有至少与受管理的成员(非来宾)用户数一样多的许可证,包括有权或可以请求访问应用程序、批准或评审应用程序访问权限的用户。 通过为这些用户提供适当的许可证,你可以控制每个用户对多达 1500 个应用程序的访问。 有关详细信息,请参阅 示例许可证方案。
如果你将管理来宾对应用程序的访问权限,请将你的 Microsoft Entra 租户链接到 MAU 计费的订阅上。 必须在来宾要求或查看他们的访问权限之前执行此步骤。
检查 Microsoft Entra ID 是否已将其审核日志以及可选的其他日志发送到 Azure Monitor。 Azure Monitor 是可选的,但可以用于治理应用的访问权限,因为 Microsoft Entra 最多只能在其审核日志中存储 30 天的审核事件。 审核数据保留时间可以超过默认保留期,如 Microsoft Entra ID 会存储报告数据多长时间?中所述,还可以对历史审核数据使用 Azure Monitor 工作簿和自定义查询和报告。 你可以检查 Microsoft Entra 配置以确认它是否在使用 Azure Monitor,方法如下:在 Microsoft Entra 管理中心内的“Microsoft Entra ID”中单击“工作簿”。 如果未配置此集成,而你拥有 Azure 订阅并且角色为
Global Administrator或Security Administrator,则可以将 Microsoft Entra ID 配置为使用 Azure Monitor。选择对象保留方法。 如果你的组织需要能够报告历史Microsoft Entra 对象,例如列出过去一年中有权访问应用程序的用户和代理 ID 的报表,包括随后从 Microsoft Entra 中删除的用户和代理 ID,则应计划将对象从 Microsoft Entra 存档到单独的存储库,以便保留和报告。 有关详细信息,请参阅在 Azure 数据资源管理器(ADX)中使用来自 Microsoft Entra ID的数据的
自定义报表。 确保在 Microsoft Entra 租户中,只有授权用户拥有高度特权的管理角色。 以下管理员可以更改用户及其应用程序角色分配:全局管理员、标识治理管理员、用户管理员、应用程序管理员、云应用程序管理员和特权角色管理员。 如果那些角色的成员资格最近尚未被审查,你需要拥有全局管理员或特权角色管理员身份的用户来确保启动这些目录角色的访问审查。 你还应确保对在拥有 Azure Monitor、Logic Apps 和其他运行 Microsoft Entra 配置所需资源的订阅中的 Azure 角色用户进行了审核。
检查租户是否有适当的隔离。 如果你的组织在本地使用 Active Directory,并且这些 AD 域连接到 Microsoft Entra ID,则你需要确保云托管服务的高特权管理操作与本地帐户隔离。 检查是否已将系统配置为保护 Microsoft 365 云环境免受本地入侵。
检查完 Microsoft Entra 环境后,继续为应用程序定义治理策略。