A Microsoft Entra üzembehelyezési tervei

Az Azure Active Directory mostantól Microsoft Entra-azonosító, amely felhőbeli identitással és hozzáférés-kezeléssel védi a szervezetet. A megoldás összekapcsolja az alkalmazottakat, az ügyfeleket és a partnereket az alkalmazásokkal, az eszközökkel és az adatokkal.

Ez a cikk útmutatása segítséget nyújt a Microsoft Entra ID üzembe helyezésére vonatkozó terv összeállításához. Ismerje meg a tervezés alapjait, majd használja a következő szakaszokat a hitelesítés üzembe helyezéséhez, az alkalmazásokhoz és az eszközökhöz, a hibrid forgatókönyvekhez, a felhasználói identitáshoz stb.

Érdekelt felek és szerepkörök

Az üzembehelyezési tervek megkezdésekor vegye fel a legfontosabb érdekelt feleket. Azonosítsa és dokumentálja az érintett szereplőket, az érintett szerepköröket, valamint a hatékony üzembe helyezést lehetővé tevő tulajdonosi és felelősségi területeket. A címek és a szerepkörök szervezetenként eltérőek, a tulajdonosi területek azonban hasonlóak. Az üzembe helyezési terveket befolyásoló gyakori és befolyásos szerepkörökről az alábbi táblázatban olvashat.

Szerepkör	Feladatkörök
Szponzor	A költségvetés és erőforrások jóváhagyására vagy hozzárendelésére hatáskörrel rendelkező vállalati vezető. A szponzor a vezetők és a vezetői csapat közötti kapcsolat.
Végfelhasználók	Azok a személyek, akik számára a szolgáltatás implementálva van. A felhasználók részt vehetnek egy próbaprogramban.
IT Support Manager	Bemenetet biztosít a javasolt módosítások támogatottságához
Identitástervező vagy Azure Global Rendszergazda istrator	Meghatározza, hogy a módosítás hogyan igazodik az identitáskezelési infrastruktúrához
Alkalmazásvállalat tulajdonosa	Az érintett alkalmazások tulajdonosa, amely magában foglalhatja a hozzáférés-kezelést is. Bemenetet biztosít a felhasználói élményhez.
Biztonsági tulajdonos	Megerősíti, hogy a változásterv megfelel a biztonsági követelményeknek
Megfelelőségkezelő	Biztosítja a vállalati, iparági vagy kormányzati követelményeknek való megfelelést

RACI

A felelős, elszámoltatható, konzultált és tájékozott (felelős/felelős/felelős/konzultációs/tájékoztatási (RACI)) modell a különböző szerepkörök részvételére egy projekt vagy üzleti folyamat feladatainak vagy termékeinek elvégzésére. Ezzel a modellel biztosíthatja, hogy a szervezet szerepkörei megértsék az üzembe helyezési feladatokat.

• Felelős – A feladat megfelelő befejezéséért felelős személyek.
  • Van legalább egy felelős szerepkör, bár másokat delegálhat, hogy segítsenek a munka elvégzésében.
• Elszámoltatható – Az, aki végső soron felel a termék vagy feladat helyességéért és teljesítéséért. Az elszámoltatható szerepkör biztosítja, hogy a feladat előfeltételei teljesüljenek, és a meghatalmazottak felelősségteljes szerepkörökhöz dolgozzanak. Az elszámoltatható szerepkör jóváhagyja a Felelős által biztosított munkát. Rendeljen hozzá egy elszámoltathatót minden tevékenységhez vagy termékhez.
• Konzultáció – A konzultációs szerepkör útmutatást nyújt, jellemzően a téma szakértője (SME).
• Tájékoztatás – Az emberek naprakészen tartották az előrehaladást, általában a feladat vagy a teljesíthetőség befejezésekor.

Hitelesítés üzembe helyezése

A hitelesítés üzembe helyezésének megtervezéséhez használja az alábbi listát.

• Microsoft Entra többtényezős hitelesítés (MFA) – A rendszergazda által jóváhagyott hitelesítési módszerek használatával a többtényezős hitelesítés segít megvédeni az adatokhoz és alkalmazásokhoz való hozzáférést, miközben kielégíti az egyszerű bejelentkezés iránti igényt:

  • A többtényezős hitelesítés konfigurálása és kényszerítése a bérlőben című videó
  • Többtényezős hitelesítés üzembe helyezésének megtervezése

• Feltételes hozzáférés – Automatizált hozzáférés-vezérlési döntések implementálása a felhasználók számára a felhőalkalmazásokhoz való hozzáféréshez a feltételek alapján:

  • Lásd: Mi a feltételes hozzáférés?
  • Tekintse meg, tervezze meg a feltételes hozzáférés üzembe helyezését

• Microsoft Entra önkiszolgáló jelszó-visszaállítás (SSPR) – Segítség a felhasználóknak a jelszó rendszergazdai beavatkozás nélküli alaphelyzetbe állításához:

  • Lásd: A Microsoft Entra ID jelszó nélküli hitelesítési beállításai

  • Lásd: Microsoft Entra önkiszolgáló jelszóátállítási üzembe helyezés megtervezése

• Jelszó nélküli hitelesítés – Jelszó nélküli hitelesítés implementálása a Microsoft Authenticator alkalmazással vagy a FIDO2 biztonsági kulcsokkal:

  • Lásd: Jelszó nélküli bejelentkezés engedélyezése a Microsoft Authenticator használatával
  • Lásd: Jelszó nélküli hitelesítés üzembe helyezésének megtervezése a Microsoft Entra-azonosítóban

Alkalmazások és eszközök

Az alkalmazások és eszközök üzembe helyezéséhez használja az alábbi listát.

• Egyszeri bejelentkezés (SSO) – Az alkalmazásokhoz és erőforrásokhoz való felhasználói hozzáférés engedélyezése egyetlen bejelentkezéssel, hitelesítő adatok újbóli megadása nélkül:
  • Lásd: Mi az egyszeri bejelentkezés a Microsoft Entra-azonosítóban?
  • Lásd: Egyszeri bejelentkezés üzembe helyezésének megtervezése
• Saját alkalmazások portál – Alkalmazások felderítése és elérése. A felhasználói hatékonyság növelése önkiszolgáló szolgáltatással, például csoportokhoz való hozzáférés kérése vagy erőforrásokhoz való hozzáférés kezelése mások nevében.
  • Lásd: Saját alkalmazások portál áttekintése
• Eszközök – Eszközintegrációs módszerek kiértékelése a Microsoft Entra-azonosítóval, a megvalósítási terv kiválasztása stb.
  • Tekintse meg, tervezze meg a Microsoft Entra-eszköz üzembe helyezését

Hibrid forgatókönyvek

Az alábbi lista a hibrid forgatókönyvek funkcióit és szolgáltatásait ismerteti.

• Active Directory összevonási szolgáltatások (AD FS) (AD FS) – Felhasználói hitelesítés áttelepítése összevonásról felhőbe átmenő hitelesítéssel vagy jelszókivonat-szinkronizálással:
  • Lásd: Mi az összevonás a Microsoft Entra-azonosítóval?
  • Lásd: Migrálás összevonásról felhőhitelesítésre
• Microsoft Entra alkalmazásproxy – Lehetővé teszi az alkalmazottak számára, hogy hatékonyak legyenek egy eszközről. Megismerheti a felhőbeli és a helyszíni vállalati alkalmazások szolgáltatásként nyújtott (SaaS) alkalmazásait. A Microsoft Entra alkalmazásproxy virtuális magánhálózatok (VPN-ek) vagy demilitarizált zónák (DMZ-k) nélkül teszi lehetővé a hozzáférést:
  • Lásd: Távoli hozzáférés a helyszíni alkalmazásokhoz a Microsoft Entra alkalmazásproxyn keresztül
  • Lásd: Microsoft Entra-alkalmazásproxy üzembe helyezésének megtervezése
• Közvetlen egyszeri bejelentkezés (közvetlen egyszeri bejelentkezés) – Közvetlen egyszeri bejelentkezés használata felhasználói bejelentkezéshez vállalati hálózathoz csatlakoztatott vállalati eszközökön. A felhasználóknak nincs szükségük jelszavakra a Microsoft Entra-azonosítóba való bejelentkezéshez, és általában nem kell felhasználóneveket megadniuk. A jogosult felhasználók további helyszíni összetevők nélkül férnek hozzá a felhőalapú alkalmazásokhoz:
  • Lásd: Microsoft Entra SSO: Rövid útmutató
  • Lásd: Microsoft Entra közvetlen egyszeri bejelentkezés: Műszaki mélybe merülés

Felhasználók

• Felhasználói identitások – Megismerheti az automatizálást a felhasználói identitások felhőalkalmazásokban, például a Dropboxban, a Salesforce-ban, a ServiceNow-ban és egyebekben való létrehozásához, karbantartásához és eltávolításához.
  • Lásd: Automatikus felhasználókiépítési üzembe helyezés megtervezése a Microsoft Entra-azonosítóban
• Microsoft Entra ID-kezelés – Identitásszabályozás létrehozása és az identitásadatokra támaszkodó üzleti folyamatok továbbfejlesztése. A HR-termékek, például a Workday vagy a Successfactors segítségével szabályokkal kezelheti az alkalmazottak és a függő alkalmazottak identitásának életciklusát. Ezek a szabályok leképezik a Joiner-Mover-Leaver (JLM) folyamatokat, például az új bérlőt, a leállítást, az átvitelt az olyan informatikai műveletekre, mint a Létrehozás, Engedélyezés, Letiltás. További információért tekintse meg a következő szakaszt.
  • Lásd: Felhőalapú HR-alkalmazás megtervezése a Microsoft Entra felhasználói kiépítésére
• Microsoft Entra B2B együttműködés – A külső felhasználók közötti együttműködés javítása az alkalmazásokhoz való biztonságos hozzáféréssel:
  • Lásd: B2B-együttműködés áttekintése
  • Lásd: Microsoft Entra B2B együttműködési üzembe helyezés megtervezése

Identitásszabályozás és jelentéskészítés

Microsoft Entra ID-kezelés lehetővé teszi a szervezetek számára a termelékenység javítását, a biztonság megerősítését és a megfelelőség és a szabályozási követelmények egyszerűbb teljesítését. A Microsoft Entra ID-kezelés használatával biztosíthatja, hogy a megfelelő személyek megfelelő hozzáféréssel rendelkezzenek a megfelelő erőforrásokhoz. Az identitás- és hozzáférési folyamat automatizálásának, az üzleti csoportok delegálásának és a nagyobb láthatóságnak a javítása. Az alábbi lista segítségével megismerheti az identitásszabályozást és a jelentéskészítést.

További információ:

• Biztonságos hozzáférés egy csatlakoztatott világ számára – ismerje meg a Microsoft Entrát

• Alkalmazások hozzáférésének szabályozása a környezetben

• Privileged Identity Management (PIM) – Emelt szintű rendszergazdai szerepkörök kezelése a Microsoft Entra ID-ban, az Azure-erőforrásokban és más Microsoft-online szolgáltatások. Használja az igény szerinti (JIT) hozzáféréshez (JIT), jóváhagyási munkafolyamatokhoz és integrált hozzáférés-felülvizsgálatokhoz a rosszindulatú tevékenységek megelőzéséhez:

  • Lásd: Privileged Identity Management használatának megkezdése
  • A Privileged Identity Management üzembe helyezésének megtervezése

• Jelentéskészítés és monitorozás – A Microsoft Entra jelentéskészítési és monitorozási megoldásának tervezése függőségekkel és korlátozásokkal rendelkezik: jogi, biztonsági, üzemeltetési, környezeti és folyamatokat.

  • Lásd: A Microsoft Entra jelentéskészítési és monitorozási üzembehelyezési függőségei

• Hozzáférési felülvizsgálatok – Az erőforrásokhoz való hozzáférés megismerése és kezelése:

  • Lásd: Mik azok a hozzáférési felülvizsgálatok?
  • Lásd: A Microsoft Entra hozzáférés-ellenőrzési üzembe helyezésének megtervezése

Ajánlott eljárások próbaüzemhez

Mielőtt nagyobb csoportokra vagy mindenkire vonatkozóan módosítást végez, használjon próbaüzemet egy kis csoporttal való teszteléshez. Győződjön meg arról, hogy a szervezet minden használati esetét teszteli.

Próbaüzem: 1. fázis

Az első fázisban meg kell célozni az informatikai részleget, a használhatóságot és más felhasználókat, akik tesztelhetik és visszajelzést küldhetnek. Ezzel a visszajelzésekkel betekintést nyerhet a támogatási személyzet lehetséges problémáiba, és fejlesztheti az összes felhasználónak küldött kommunikációt és utasításokat.

Próbaüzem: 2. fázis

Bővítse a próbaüzemet nagyobb felhasználói csoportokra dinamikus tagság használatával vagy a felhasználók célzott csoportokhoz való manuális hozzáadásával.

További információ: Dinamikus tagsági szabályok csoportokhoz a Microsoft Entra-azonosítóban