Microsoft My Apps 入口網站整合

Last reviewed 2025-07-30 UTC

本文說明如何將 Google 服務和 Identity-Aware Proxy (IAP) 網頁安全網頁應用程式新增至 Microsoft「我的應用程式」入口網站,以及如何為這些應用程式啟用自動登入功能。

本文假設您已設定 Microsoft Entra ID 的單一登入功能,將 Cloud Identity 或 Google Workspace 帳戶與 Microsoft Entra ID 聯合。

事前準備

請確認您已完成將 Cloud Identity 或 Google Workspace 帳戶與 Microsoft Entra ID 聯合的步驟

從入口網站啟動單一登入

如要支援使用 Microsoft Entra ID 等外部身分識別提供者 (IdP) 進行驗證,Cloud Identity 和 Google Workspace 會採用服務供應商啟動的登入程序。使用這類登入方式時,驗證程序會從服務供應商開始,然後將您重新導向至 IdP,例如:

  1. 開啟網址或書籤,即可存取 Google 服務,例如 Google Cloud 控制台Looker Studio。Google 和其服務在此情境中扮演服務供應商的角色。
  2. 畫面上會顯示 Google 登入畫面,提示您輸入 Google 身分的電子郵件地址。
  3. 系統會將您重新導向至 Microsoft Entra ID,也就是 IdP。
  4. 登入 Microsoft Entra ID。
  5. Microsoft Entra ID 會將您重新導向至原本嘗試存取的 Google 服務。

服務供應商啟動登入程序的好處是,使用者可以開啟連結或使用書籤,直接存取 Google 服務。如果貴機構使用 Microsoft Entra ID,則可透過 Microsoft「我的應用程式」入口網站執行這項操作。如果使用者已將特定網站加入書籤,或記住特定網址,就不必透過入口網站開啟應用程式,這對進階使用者來說相當方便。對其他使用者而言,在入口網站中顯示相關應用程式的連結,仍有其價值。

不過,在 Microsoft「我的應用程式」入口網站中新增 https://lookerstudio.google.com 等連結時,服務供應商啟動的登入程序會出現缺點。即使使用者點按入口網站中的連結時,Microsoft Entra ID 工作階段有效,系統仍可能會顯示 Google 登入畫面,並提示使用者輸入電子郵件地址。Google 登入不知道現有的 Microsoft Entra ID 工作階段,因此會顯示看似多餘的登入提示。

設定 Microsoft 我的應用程式入口網站時,您可以使用特殊網址,避免額外的 Google 登入提示。這些網址會嵌入提示,說明使用者應使用哪個 Cloud Identity 或 Google Workspace 帳戶。這項額外資訊可讓系統在背景執行驗證,進而提升使用者體驗。

下表列出常見的 Google 服務、Microsoft Entra ID 中的對應名稱,以及可用於導入單一登入的連結 (如上一節所述)。

Google 服務 網址 標誌
Google Cloud 控制台 https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://console.cloud.google.com/ Google Cloud 標誌
Google 文件 https://docs.google.com/a/DOMAIN Google 文件標誌
Google 試算表 https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://sheets.google.com/ Google 試算表標誌
Google 協作平台 https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://slides.google.com/ Google 協作平台標誌
Google 雲端硬碟 https://drive.google.com/a/DOMAIN Google 雲端硬碟標誌
Gmail https://mail.google.com/a/DOMAIN Gmail 標誌
Google 網路論壇 https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://groups.google.com/ Google 網路論壇標誌
Google Keep https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://keep.google.com/ Google Keep 標誌
Looker Studio https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://lookerstudio.google.com/ Looker Studio 標誌
YouTube https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://www.youtube.com/ YouTube 標誌

如要將 Google 服務新增至 Microsoft My Apps 入口網站,請為每項服務建立新的企業應用程式:

  1. Azure 入口網站中,依序前往「Microsoft Entra ID」 >「Enterprise applications」
  2. 按一下 [New application] (新增應用程式)
  3. 按一下「建立自己的應用程式」,然後輸入下列資訊:

    • 應用程式名稱:輸入上表所示的 Google 服務名稱。
    • 您想對應用程式執行哪些操作:選取「整合圖庫中未列出的任何其他應用程式 (非圖庫)」。
  4. 點選「建立」

  5. 選取 [內容]

  6. 將標誌變更為表格中連結的檔案。

  7. 按一下 [儲存]

  8. 在左側選單中,選取「單一登入」

  9. 選取「已連結」

  10. 輸入表格中列出的網址,例如 http://docs.google.com/a/DOMAIN

    DOMAIN 替換為 Cloud Identity 或 Google Workspace 帳戶的主網域名稱,例如 example.com

  11. 按一下 [儲存]

請注意,您不必在應用程式中設定 SAML 式單一登入 (SSO)。所有單一登入作業仍由您先前建立的單一登入應用程式處理。

如要將應用程式指派給使用者,請按照下列步驟操作:

  1. 在左側選單中選取「房源」
  2. 將「User assignment required」(需要使用者指派) 設定為「Yes」(是)
  3. 按一下 [儲存]
  4. 在左側選單中,依序點選「管理」>「使用者和群組」
  5. 點選「Add user」
  6. 選取「使用者」
  7. 選取要佈建的使用者或群組。如果您選取群組,系統會佈建該群組中的所有成員。
  8. 按一下「選取」
  9. 按一下「指派」

連結可能需要幾分鐘才會顯示在「我的應用程式」入口網站中。

控管存取權

在 Microsoft Entra ID 中將使用者和群組指派給個別應用程式,可控管連結的顯示狀態,但無法控管服務存取權。如果使用者開啟正確的網址,即使服務未顯示在「我的應用程式」入口網站中,使用者仍可存取該服務。如要控管哪些使用者和群組可以存取服務,您也必須在 Google 管理控制台開啟或關閉服務

您可以透過群組簡化控管顯示設定和存取權的程序:

  1. 為每項 Google 服務在 Microsoft Entra ID 中建立安全性群組,例如 Looker Studio usersGoogle Drive users
  2. 按照上一節所述,將群組指派給適當的 Microsoft Entra ID 企業應用程式。舉例來說,您可以將 Looker Studio users 指派給 Looker Studio 應用程式,並將 Google Drive users 指派給 Google 雲端硬碟應用程式。
  3. 設定要佈建至 Cloud Identity 或 Google Workspace 帳戶的群組
  4. 管理控制台中,為每個群組開啟相應的服務。舉例來說,您可以為 Looker Studio users 群組開啟 Looker Studio,並為 Google Drive users 群組開啟 Google 雲端硬碟。為其他人關閉這項服務。

現在只要在這些群組中新增及移除成員,就能同時控管存取權和顯示設定。

受 IAP 保護的網頁應用程式

如果您使用 IAP 保護網路應用程式,可以將這些應用程式的連結新增至 Microsoft My Apps 入口網站,並為這些應用程式啟用單一登入體驗。

在 Microsoft My Apps 入口網站中新增連結的程序與Google 服務相同,但您必須使用受 IAP 保護的網頁應用程式網址。

與 Google 服務一樣,您可以在使用者透過入口網站連結至受 IAP 保護的網路應用程式後,防止他們看到 Google 登入畫面,但程序有所不同。您不必使用特殊網址,而是將 IAP 設為一律使用特定 Cloud Identity 或 Google Workspace 帳戶進行驗證

  1. 在 Google Cloud 控制台中,啟動 Cloud Shell。

    啟用 Cloud Shell

  2. 初始化環境變數:

    PRIMARY_DOMAIN=primary-domain

    primary-domain 替換為 Cloud Identity 或 Google Workspace 帳戶的主網域,例如 example.com

  3. 建立臨時設定檔,指示 IAP 一律使用 Cloud Identity 或 Google Workspace 帳戶的主網域進行驗證:

    cat << EOF > iap-settings.yaml
    accessSettings:
      oauthSettings:
        loginHint: "$PRIMARY_DOMAIN"
    EOF
    
  4. 將設定套用至專案中的所有 IAP 網頁資源:

    gcloud iap settings set iap-settings.yaml --resource-type=iap_web
  5. 移除臨時設定檔:

    rm iap-settings.yaml

控管存取權

在 Microsoft Entra ID 中將使用者和群組指派給個別應用程式,可控管受 IAP 保護的網頁應用程式連結顯示權限,但無法控管應用程式存取權。如要控管存取權,您也必須自訂受 IAP 保護的網頁應用程式的 Identity and Access Management (IAM) 政策

與 Google 服務一樣,您可以使用群組簡化控管顯示設定和存取權的程序:

  1. 為每個應用程式在 Microsoft Entra ID 中建立安全性群組,例如: Payroll application users
  2. 將群組指派給對應的 Microsoft Entra ID 企業應用程式。
  3. 設定要佈建至 Cloud Identity 或 Google Workspace 帳戶的群組
  4. 更新受 IAP 保護的網頁應用程式的 IAM 政策,將「受 IAP 保護的網頁應用程式使用者」角色授予 Payroll application users 群組,同時禁止其他使用者存取

只要在 Payroll application users 群組中新增及移除成員,即可一次控管存取權和瀏覽權限。

後續步驟

貢獻者

作者:Johannes Passing | 雲端解決方案架構師