Руководство. Управление доступом к приложениям и их безопасностью

ИТ-администратор в Fabrikam добавил и настроил приложение из коллекции приложений Microsoft Entra. Теперь ему необходимо разобраться в функциях, доступных для управления доступом к приложению, и обеспечить безопасность приложения. С помощью сведений, приведенных в этом руководстве, администратор узнает, как выполнять следующие задачи:

Необходимые компоненты

• Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .
• Одна из следующих ролей: администратор привилегированных ролей, администратор облачных приложений или администратор приложений.
• Корпоративное приложение, настроенное в арендаторе Microsoft Entra.
• По крайней мере одна учетная запись пользователя добавлена и назначена приложению. Дополнительные сведения см. в кратком руководстве по созданию и назначению учетной записи пользователя.

Предоставление согласия администратора на уровне клиента

Администратор хочет настроить добавленное в клиент приложение так, чтобы все пользователи в организации могли использовать его без индивидуального запроса согласия. Чтобы избежать необходимость получения согласия пользователей, можно предоставить согласие для приложения от имени всех пользователей в организации. Дополнительные сведения см. в статье Общие сведения о согласии и разрешениях.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
2. Перейдите к приложениям Identity>Applications>Enterprise.
3. Выберите приложение, которому вы хотите предоставить согласие администратора на уровне клиента.
4. В разделе Безопасностьвыберите Разрешения.
5. Внимательно проверьте разрешения, необходимые для работы приложения. Если вы согласны с разрешениями, которые требует приложение, выберите Предоставление согласия администратора.

Создание политики условного доступа

Администратор хочет убедиться, что безопасно входить в систему могут только пользователи, которым назначено приложение. Для этого можно настроить политику условного доступа для группы пользователей, которая применяет многофакторную проверку подлинности. Дополнительные сведения см. в статье Что собой представляет условный доступ.

Создать группу

Администратору проще управлять доступом к приложению, назначив всех пользователей приложения для группы. Затем он может управлять доступом на уровне группы.

1. В меню слева в обзоре клиента выберите группы>"Все группы".
2. В верхней части области щелкните Новая группа.
3. Введите MFA-Test-Group в качестве имени группы.
4. Выберите пункт "Участники не выбраны", а затем выберите учетную запись пользователя, назначенную приложению.
5. Нажмите кнопку создания.

Создание политики условного доступа для группы

1. В меню слева в обзоре клиента выберите "Защита".
2. Выберите Условный доступ, затем Новая политика и Создать политику.
3. Введите имя политики, например MFA Pilot.
4. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
5. На вкладке Включение выберите Выбрать пользователей или группы, а затем — Пользователи и группы.
6. Найдите и выберите созданную ранее группу MFA-Test-Group, а затем нажмите кнопку Выбрать.
7. Пока не нажимайте кнопку Создать. Вы добавите MFA в политику в следующем разделе.

Настройка многофакторной проверки подлинности

В этом руководстве администратор может найти основные инструкции по настройке приложения, но перед запуском необходимо создать план для MFA. Дополнительные сведения см. в статье Планирование развертывания многофакторной проверки подлинности Microsoft Entra.

1. В разделе Облачные приложения или действия выберите пункт Облачные приложения, действия или контексты проверки подлинности не выбраны. В этом руководстве на вкладке "Включить " выберите "Выбрать ресурсы".
2. Найдите и выберите свое приложение, а затем нажмите кнопку Выбрать.
3. В разделе Элементы управления доступом и Предоставлениевыберите Выбрано элементов управления: 0.
4. Установите флажок "Требовать многофакторную проверку подлинности" и нажмите кнопку "Выбрать".
5. Для параметра Включить политику задайте значение Вкл.
6. Чтобы применить политику условного доступа, выберите Создать.

Тестирование многофакторной проверки подлинности

1. Откройте новое окно браузера в анонимном или приватном режиме и перейдите по URL-адресу приложения.
2. Войдите с помощью учетной записи, назначенной для приложения. Необходимо зарегистрировать и использовать многофакторную проверку подлинности Microsoft Entra. Следуйте инструкциям, чтобы завершить процесс и убедиться, что вы успешно войдите в Центр администрирования Microsoft Entra.
3. Закройте окно браузера.

Создание документа "Условия использования"

До того, как пользователи начнут работать с приложением, они должны ознакомиться с определенными положениями и условиями. Дополнительные сведения см . в разделе "Условия использования Microsoft Entra".

1. Создайте новый документ в Microsoft Word.
2. Введите "Мои условия использования", а затем сохраните документ на компьютере как mytou.pdf.
3. В разделе Управление в меню Условный доступ выберите Условия использования.
4. В верхнем меню выберите + Новые условия.
5. В текстовом поле Имя введите Мои условия использования (TOU).
6. В текстовом поле Отображаемое имя введите Мои условия использования (TOU).
7. Отправьте условия использования в формате PDF.
8. В поле Язык выберите Русский.
9. Для параметра Требовать, чтобы пользователи развернули условия использования выберите Включить.
10. Для принудительного применения с помощью шаблонов политик условного доступа выберите пользовательскую политику.
11. Нажмите кнопку создания.

Добавление условий использования в политику

1. В меню слева в обзоре клиента выберите "Защита".
2. Выберите Условный доступ, а затем Политики. В списке политик выберите политику Пилотный проект многофакторной проверки подлинности.
3. В разделе Элементы управления доступом и Предоставлениещелкните ссылку "Выбрано элементов управления".
4. Выберите Мои условия использования (TOU).
5. Выберите параметр Требовать все выбранные элементы управления, а затем нажмите кнопку Выбрать.
6. Выберите Сохранить.

Создание коллекции на портале "Мои приложения"

На портале "Мои приложения" администраторы и пользователи могут управлять приложениями, используемыми в организации. Дополнительные сведения см. в статье Возможности для взаимодействия пользователя с приложениями.

По умолчанию все приложения перечислены вместе на одной странице. Однако коллекции можно использовать для объединения связанных приложений и их представления на отдельной вкладке, что упрощает их поиск. Например, коллекции можно использовать для создания логических группировок приложений для конкретных ролей заданий, задач, проектов и т. п. В этом разделе вы сможете создать коллекцию и назначить ее пользователям и группам.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
2. Перейдите к приложениям Identity>Applications>Enterprise.
3. В разделе "Управление" выберите коллекции средства запуска приложений>.
4. Выберите пункт Новая коллекция. На странице "Создать коллекцию" введите имя коллекции (рекомендуется не использовать "коллекцию" в имени). Затем введите описание.
5. Перейдите на вкладку "Приложения". Выберите и добавьте приложение, а затем на странице "Добавить приложения", выберите все приложения, которые нужно добавить в коллекцию, или используйте поле поиска для поиска приложений.
6. Завершив добавление приложений, нажмите Добавить. Отобразится список выбранных приложений. Для изменения порядка приложений в списке можно использовать кнопки со стрелками.
7. Перейдите на вкладку "Владельцы ". Нажмите кнопку "+ Добавить пользователей и группы", а затем на странице "Добавить пользователей и группы", выберите пользователей или группы, которым нужно назначить владение. Завершив выбор пользователей и групп, нажмите кнопку Выбрать.
8. Перейдите на вкладку Пользователи и группы. Выберите пункт + Добавить пользователей и группы, затем на странице Добавление пользователей и групп выберите пользователей или группы, которым необходимо назначить коллекцию. Либо воспользуйтесь полем поиска для поиска пользователей или групп. Завершив выбор пользователей и групп, нажмите кнопку Выбрать.
9. Выберите Просмотр и создание, а затем нажмите кнопку Создать. Отобразятся свойства новой коллекции.

Проверка коллекции на портале "Мои приложения"

1. Откройте новое окно браузера в анонимном или приватном режиме и перейдите на портал Мои приложения.
2. Войдите с помощью учетной записи, назначенной для приложения.
3. Убедитесь, что созданная коллекция отображается на портале "Мои приложения".
4. Закройте окно браузера.

Очистка ресурсов

Вы можете сохранить ресурсы для использования в дальнейшем или, если вы не планируете использовать ресурсы, созданные в этом руководстве, удалите их, выполнив приведенные ниже действия.

Удаление приложения

1. В меню слева выберите Корпоративные приложения. Откроется панель Все приложения и отобразится список приложений в вашем клиенте Microsoft Entra. Найдите и выберите приложение, которое нужно удалить.
2. В разделе Управление в меню слева выберите Свойства.
3. В верхней части панели Свойства выберите Удалить, а затем нажмите кнопку Да, чтобы подтвердить удаление приложения из клиента Microsoft Entra.

Удаление политики условного доступа

1. Выберите Корпоративные приложения.
2. В разделе "Защита" выберите условный доступ.
3. Найдите и выберите Пилотная версия MFA.
4. В верхней части панели выберите Удалить.

Удаление группы

1. Выберите группы удостоверений>.
2. На странице "Все группы" найдите и выберите группу MFA-Test-Group.
3. На странице "Обзор" нажмите кнопку Удалить.

Следующие шаги

Сведения о проверке работоспособности и правильности использования приложения см. в следующих статьях: