Dela konton med Microsoft Entra-ID
Översikt
I Microsoft Entra ID, som är en del av Microsoft Entra, behöver organisationer ibland använda ett enda användarnamn och lösenord för flera personer, vilket ofta sker i följande fall:
- Vid åtkomst till program som kräver en unik inloggning och lösenord för varje användare, oavsett om det gäller lokala appar eller molntjänster för konsumenter (till exempel företagskonton för sociala medier).
- När du skapar miljöer för flera användare. Du kan ha ett enda lokalt konto som har utökade privilegier och som används för att utföra grundläggande konfigurations-, administrations- och återställningsaktiviteter. Till exempel det lokala globala administratörskontot för Microsoft 365 eller rotkontot i Salesforce.
Traditionellt delas dessa konton genom att distribuera autentiseringsuppgifterna (användarnamn och lösenord) till rätt personer eller lagra dem på en delad plats där flera betrodda agenter kan komma åt dem.
Den traditionella delningsmodellen har flera nackdelar:
- Om du vill aktivera åtkomst till nya program måste du distribuera autentiseringsuppgifter till alla som behöver åtkomst.
- Varje delat program kan kräva en egen unik uppsättning delade autentiseringsuppgifter, vilket kräver att användarna kommer ihåg flera uppsättningar med autentiseringsuppgifter. När användarna måste komma ihåg många autentiseringsuppgifter ökar risken att de använder riskfyllda metoder. (till exempel att skriva ned lösenord).
- Du kan inte säga vem som har åtkomst till ett program.
- Du kan inte säga vem som har använt ett program.
- När du vill ta bort åtkomsten till ett program måste du uppdatera autentiseringsuppgifterna och distribuera dem till alla som behöver åtkomst till programmet.
Microsoft Entra-kontodelning
Microsoft Entra ID ger en ny metod för att använda delade konton som eliminerar dessa nackdelar.
Microsoft Entra-administratören konfigurerar vilka program som en användare kan komma åt med hjälp av Åtkomstpanelen och väljer den typ av enkel inloggning som passar bäst för programmet. En av dessa typer, lösenordsbaserad enkel inloggning, låter Microsoft Entra ID fungera som en slags "broker" under inloggningsprocessen för appen.
Användare loggar in en gång med sitt organisationskonto. Det här kontot är samma som de använder regelbundet för att komma åt sitt skrivbord eller sin e-post. De kan bara identifiera och komma åt de program som de har tilldelats. Med delade konton kan den här listan med program innehålla valfritt antal delade autentiseringsuppgifter. Slutanvändaren behöver inte komma ihåg eller skriva ned de olika konton som de kanske använder.
Delade konton ökar inte bara tillsynen och förbättrar användbarheten, de förbättrar även din säkerhet. Användare med behörighet att använda autentiseringsuppgifterna ser inte det delade lösenordet, utan får i stället behörighet att använda lösenordet som en del av ett samordnat autentiseringsflöde. Dessutom ger vissa SSO-program för lösenord möjlighet att använda Microsoft Entra-ID för att regelbundet överföra (uppdatera) lösenord. Systemet använder stora, komplexa lösenord, vilket ökar kontosäkerheten. Administratören kan enkelt bevilja eller återkalla åtkomst till ett program, veta vem som har åtkomst till kontot och vem som har använt det tidigare.
Microsoft Entra ID har stöd för delade konton för alla Enterprise Mobility Suite(EMS) eller Microsoft Entra ID P1- eller P2-licensplaner för alla typer av program för enkel inloggning med lösenord. Du kan dela konton för tusentals förintegrerade program i programgalleriet och kan lägga till ett eget lösenordsautentiserande program med anpassade SSO-appar.
Microsoft Entra-funktioner som aktiverar kontodelning är:
- Enkel inloggning med lösenord
- Lösenordsagent för enkel inloggning
- Grupptilldelning
- Anpassade lösenordsappar
- Instrumentpanel/rapporter för appanvändning
- Slutanvändaråtkomstportaler
- Appproxy
- Azure Marketplace
Dela ett konto
Om du vill använda Microsoft Entra-ID för att dela ett konto måste du:
- Lägga till ett programappsgalleri eller ett anpassat program
- Konfigurera programmet för enkel inloggning med lösenord (SSO)
- Använd gruppbaserad tilldelning och välj alternativet för att ange en delad autentiseringsuppgift
Du kan också göra ditt delade konto säkrare med Multi-Factor Authentication (MFA) (läs mer om att skydda program med Microsoft Entra-ID) och du kan delegera möjligheten att hantera vem som har åtkomst till programmet med hjälp av Microsoft Entra-grupphantering med självbetjäning .