A Microsoft Entra identitás- és hozzáférés-kezelési műveleteinek referencia-útmutatója
A Microsoft Entra üzemeltetési referenciaútmutatójának ez a szakasza ismerteti az identitások és hozzárendeléseik életciklusának biztonságossá tételéhez és kezeléséhez megfontolandó ellenőrzéseket és műveleteket.
Feljegyzés
Ezek a javaslatok a közzététel dátumától kezdve aktuálisak, de idővel változhatnak. A szervezeteknek folyamatosan értékelniük kell identitáskezelési gyakorlataikat, ahogy a Microsoft termékei és szolgáltatásai idővel fejlődnek.
Főbb üzemeltetési folyamatok
Tulajdonosok hozzárendelése a fő feladatokhoz
A Microsoft Entra-azonosító kezeléséhez olyan kulcsfontosságú üzemeltetési feladatok és folyamatok folyamatos végrehajtására van szükség, amelyek esetleg nem részei egy bevezetési projektnek. Továbbra is fontos, hogy ezeket a feladatokat a környezet fenntartása érdekében állítsa be. A legfontosabb feladatok és azok javasolt tulajdonosai a következők:
| Task | Tulajdonos |
|---|---|
| Az Azure-előfizetések létrehozásának folyamatának meghatározása | Szervezettől függően változik |
| Döntse el, hogy kik kapják meg az Enterprise Mobility + Security licenceket | IAM Operations Team |
| Döntse el, hogy kik kapják meg a Microsoft 365-licenceket | Hatékonyságnövelő csapat |
| Döntse el, hogy ki szerez be más licenceket, például Dynamics, Visual Studio Codespaces | Alkalmazás tulajdonosa |
| Licencek hozzárendelése | IAM Operations Team |
| Licenc-hozzárendelési hibák elhárítása és javítása | IAM Operations Team |
| Identitások kiépítése alkalmazások számára a Microsoft Entra-azonosítóban | IAM Operations Team |
A lista áttekintése során előfordulhat, hogy tulajdonost kell hozzárendelnie azokhoz a tevékenységekhez, amelyek nem rendelkeznek tulajdonossal, vagy olyan tevékenységek tulajdonjogát kell módosítania, amelyek nem összhangban vannak a megadott javaslatokkal.
Javasolt olvasási tulajdonosok hozzárendelése
Helyszíni identitásszinkronizálás
Szinkronizálási problémák azonosítása és megoldása
A Microsoft azt javasolja, hogy megfelelő alapkonfigurációval rendelkezzen, és ismerje meg a helyszíni környezetben előforduló problémákat, amelyek a felhőbe való szinkronizálással kapcsolatos problémákat eredményezhetnek. Mivel az olyan automatizált eszközök, mint az IdFix és a Microsoft Entra Connect Health, nagy mennyiségű hamis pozitív eredményt hozhatnak létre, javasoljuk, hogy a hibákban lévő objektumok eltávolításával azonosítsa azokat a szinkronizálási hibákat, amelyeket még több mint 100 napja nem kell elhárítani. A hosszú távú megoldatlan szinkronizálási hibák támogatási incidenseket okozhatnak. A szinkronizálás során előforduló hibák hibaelhárítása áttekintést nyújt a szinkronizálási hibák különböző típusairól, néhány lehetséges forgatókönyvről, amelyek ezeket a hibákat okozzák, valamint a hibák kijavításának lehetséges módjait.
Microsoft Entra Connect Sync-konfiguráció
Az összes hibrid élmény, az eszközalapú biztonsági helyzet és a Microsoft Entra ID-val való integráció engedélyezéséhez szinkronizálnia kell azokat a felhasználói fiókokat, amelyeket az alkalmazottak az asztalukra való bejelentkezéshez használnak.
Ha nem szinkronizálja az erdő felhasználóinak bejelentkezését, módosítsa a szinkronizálást úgy, hogy a megfelelő erdőből származzon.
Szinkronizálási hatókör és objektumszűrés
A szinkronizálni nem szükséges ismert objektumok gyűjtőinek eltávolítása a következő működési előnyökkel jár:
- Kevesebb szinkronizálási hibaforrás
- Gyorsabb szinkronizálási ciklusok
- Kevesebb "szemét" a helyszíni szolgáltatásokból való továbbításhoz, például a felhőben nem releváns helyszíni szolgáltatásfiókok globális címlistájának szennyezése
Feljegyzés
Ha úgy találja, hogy sok olyan objektumot importál, amelyet nem exportál a felhőbe, akkor szervezeti egység vagy adott attribútumok alapján kell szűrnie.
Kizárandó objektumok például a következők:
- Felhőalkalmazásokhoz nem használt szolgáltatásfiókok
- Olyan csoportok, amelyeket nem kívánnak felhőforgatókönyvekben használni, például az erőforrásokhoz való hozzáférés biztosításához
- A Microsoft Entra B2B-együttműködés
- Olyan számítógépfiókok, ahol az alkalmazottaknak nem a felhőalkalmazásokhoz kell hozzáférnie, például kiszolgálókról
Feljegyzés
Ha egyetlen emberi identitás több fiókkal rendelkezik, például egy örökölt tartomány áttelepítéséből, egyesüléséből vagy felvásárlásából, akkor csak a felhasználó által napi szinten használt fiókot kell szinkronizálnia, például azt, amit a számítógépére való bejelentkezéshez használnak.
Ideális esetben törekedjen egyensúlyt teremteni a szinkronizálni kívánt objektumok számának és a szabályok összetettségének csökkentése között. A szervezeti egység/tárolószűrés és a cloudFiltered attribútumhoz való egyszerű attribútumleképezés közötti kombináció általában hatékony szűrési kombináció.
Fontos
Ha éles környezetben használ csoportszűrést, át kell váltania egy másik szűrési módszerre.
Szinkronizálási feladatátvétel vagy vészhelyreállítás
A Microsoft Entra Connect kulcsfontosságú szerepet játszik a kiépítési folyamatban. Ha a szinkronizálási kiszolgáló bármilyen okból offline állapotba kerül, a helyszíni módosítások nem frissíthetők a felhőben, és hozzáférési problémákat okozhatnak a felhasználók számára. Ezért fontos meghatározni egy feladatátvételi stratégiát, amely lehetővé teszi a rendszergazdák számára, hogy a szinkronizálási kiszolgáló offline állapotba helyezése után gyorsan folytatják a szinkronizálást. Az ilyen stratégiák a következő kategóriákba sorolhatók:
- A Microsoft Entra Connect Server üzembe helyezése átmeneti módban – lehetővé teszi a rendszergazda számára, hogy egy egyszerű konfigurációs kapcsolóval "előléptesse" az előkészítési kiszolgálót az éles környezetbe.
- Virtualizálás használata – Ha a Microsoft Entra Connect virtuális gépen (virtuális gépen) van üzembe helyezve, a rendszergazdák a virtualizálási vermet alkalmazhatják a virtuális gép élő, migrálási vagy gyors ismételt üzembe helyezésére, és így folytathatják a szinkronizálást.
Ha szervezete nem rendelkezik a Sync vészhelyreállítási és feladatátvételi stratégiájával, ne habozzon üzembe helyezni a Microsoft Entra Connectet átmeneti módban. Hasonlóképpen, ha az éles és az előkészítési konfiguráció között eltérés van, a Microsoft Entra Connect előkészítési módot újra kell létrehoznia az éles konfigurációnak megfelelően, beleértve a szoftververziókat és a konfigurációkat is.
Legyen naprakész
A Microsoft rendszeresen frissíti a Microsoft Entra Connectet. Az egyes új verziók teljesítménybeli fejlesztései, hibajavításai és új képességeinek kihasználása érdekében maradjon naprakész.
Ha a Microsoft Entra Connect-verzió több mint hat hónappal lemaradt, frissítsen a legújabb verzióra.
Forráshorgony
Az ms-DS-konzisztencia forráshorgonyként való használata lehetővé teszi az objektumok erdők és tartományok közötti könnyebb migrálását, ami gyakori az AD-tartományok konszolidációjában/tisztításában, az egyesülésekben, a beszerzésekben és az értékesítésekben.
Ha jelenleg az ObjectGuidot használja forráshorgonyként, javasoljuk, hogy váltson az ms-DS-ConsistencyGuid használatára.
Egyéni szabályok
A Microsoft Entra Connect egyéni szabályai lehetővé teszik az attribútumok folyamatának szabályozását a helyszíni objektumok és a felhőobjektumok között. Az egyéni szabályok túlzott használata vagy helytelen használata azonban a következő kockázatokat jelentheti:
- Összetettség hibaelhárítása
- Teljesítménycsökkenés összetett műveletek objektumok közötti végrehajtásakor
- Nagyobb a konfiguráció eltérésének valószínűsége az éles kiszolgáló és az átmeneti kiszolgáló között
- További többletterhelés a Microsoft Entra Connect frissítésekor, ha az egyéni szabályok 100-nál nagyobb elsőbbséget élveznek (a beépített szabályok használják)
Ha túlságosan összetett szabályokat használ, vizsgálja meg az összetettség okait, és keresse meg az egyszerűsítési lehetőségeket. Hasonlóképpen, ha 100-nál nagyobb elsőbbséget élvező egyéni szabályokat hozott létre, akkor ki kell javítania a szabályokat, hogy ne legyenek veszélyben, vagy ne ütközhessenek az alapértelmezett készlettel.
Példák az egyéni szabályok helytelen használatára:
- A címtárban lévő piszkos adatok kompenzálása – Ebben az esetben azt javasoljuk, hogy az AD-csapat tulajdonosaival együttműködve szervizelési feladatként törölje a címtárban lévő adatokat, és módosítsa a folyamatokat a hibás adatok újbóli bevezetésének elkerülése érdekében.
- Egyéni felhasználók egyszeri szervizelése – Gyakori, hogy olyan szabályokat talál, amelyeknél a speciális esetek kiugróan kiugróak, általában egy adott felhasználóval kapcsolatos probléma miatt.
- Túlkomplikált "CloudFiltering" – Bár az objektumok számának csökkentése ajánlott eljárás, fennáll annak a kockázata, hogy túl bonyolult szinkronizálási hatókört hoz létre túl sok szinkronizálási szabály használatával. Ha összetett logikát használ a szervezeti egység szűrési folyamatán kívüli objektumok belefoglalására/kizárására, javasoljuk, hogy ezt a logikát a szinkronizáláson kívül kezelje. Ezt úgy teheti meg, hogy az objektumokat egy egyszerű "cloudFiltered" attribútummal címkézi, amely egy egyszerű szinkronizálási szabály használatával áramolhat.
Microsoft Entra Connect Configuration Documenter
A Microsoft Entra Connect configuration documenter egy eszköz, amellyel dokumentációt készíthet a Microsoft Entra Connect-telepítésről. Ez az eszköz jobban megismeri a szinkronizálási konfigurációt, és segít magabiztosan javítani a dolgokat. Az eszköz azt is megmutatja, hogy milyen változások történtek a Microsoft Entra Connect új buildjének vagy konfigurációjának alkalmazásakor, valamint hogy mely egyéni szinkronizálási szabályok lettek hozzáadva vagy frissítve.
Az eszköz jelenlegi képességei a következők:
- A Microsoft Entra Connects Sync teljes konfigurációjának dokumentációja.
- Két Microsoft Entra Connect Sync-kiszolgáló konfigurációjában bekövetkezett változások vagy egy adott konfigurációs alapkonfiguráció változásainak dokumentációja.
- PowerShell-telepítési szkript létrehozása a szinkronizálási szabály eltéréseinek vagy testreszabásainak egyik kiszolgálóról a másikra való migrálásához.
Hozzárendelés alkalmazásokhoz és erőforrásokhoz
Csoportalapú licencelés a Microsoft felhőszolgáltatásaihoz
A Microsoft Entra ID a microsoftos felhőszolgáltatások csoportalapú licenceléssel egyszerűsíti a licencek kezelését. Ily módon az IAM biztosítja ezeknek a csoportoknak a csoportinfrastruktúráját és delegált kezelését a szervezetek megfelelő csoportjainak. A Microsoft Entra ID-ban többféleképpen is beállíthatja a csoportok tagságát, például:
Helyszíni szinkronizálás – A csoportok helyszíni címtárakból származhatnak, ami jó választás lehet azoknak a szervezeteknek, akik olyan csoportkezelési folyamatokat hoztak létre, amelyek kibővíthetők a Microsoft 365-licencek hozzárendeléséhez.
Dinamikus tagsági csoportok – Az attribútumalapú csoportok felhasználói attribútumokon alapuló kifejezés alapján hozhatók létre a felhőben, például a Részleg egyenlő az "értékesítéssel". A Microsoft Entra ID fenntartja a csoport tagjait, és konzisztens marad a definiált kifejezéssel. A dinamikus tagsági csoportok használata a licenckiosztáshoz lehetővé teszi az attribútumalapú licenc-hozzárendelést, ami jó választás azoknak a szervezeteknek, amelyek magas adatminőséggel rendelkeznek a címtárukban.
Delegált tulajdonjog – Csoportok hozhatók létre a felhőben, és kijelölt tulajdonosok is lehetnek. Ily módon az üzleti tulajdonosok, például az együttműködési csapat vagy a BI csapata is meghatározhatja, hogy kinek kell hozzáféréssel rendelkeznie.
Ha jelenleg manuális eljárással rendel licenceket és összetevőket a felhasználókhoz, javasoljuk, hogy csoportos licencelést implementáljon. Ha a jelenlegi folyamat nem figyeli a licencelési hibákat, vagy megállapítja, hogy mely licencek vannak hozzárendelve az elérhetőhez képest, akkor a folyamat fejlesztéseit kell meghatároznia. Győződjön meg arról, hogy a folyamat kezeli a licencelési hibákat, és figyeli a licencelési hozzárendeléseket.
A licenckezelés másik aspektusa a szolgáltatáscsomagok (a licenc összetevői) meghatározása, amelyeket a szervezet feladatfüggvényei alapján engedélyezni kell. A nem szükséges szolgáltatáscsomagokhoz való hozzáférés biztosítása azt eredményezheti, hogy a felhasználók olyan eszközöket láthatnak a Microsoft 365 portálon, amelyeken még be kell tanítani őket, vagy nem kellene használniuk őket. Ezek a forgatókönyvek további ügyfélszolgálati kötetet, szükségtelen üzembe helyezést, valamint a megfelelőséget és az irányítást is veszélyeztethetik; Ha például olyan személyek számára helyezi üzembe a OneDrive-ot, akik nem oszthatnak meg tartalmakat.
A szolgáltatáscsomagok felhasználók számára történő definiálásához használja az alábbi irányelveket:
- A rendszergazdáknak "csomagokat" kell meghatározniuk a felhasználók számára a szerepkörük alapján felajánlandó szolgáltatáscsomagokról; például a fehérgalléros munkavégző és a padlómunkás.
- Csoportok létrehozása fürtök szerint, és a licenc hozzárendelése szolgáltatáscsomaggal.
- Megadható egy attribútum, amely a felhasználók csomagjait tárolja.
Fontos
A Microsoft Entra ID csoportalapú licencelése a licencelési hibaállapotban lévő felhasználók fogalmát mutatja be. Ha licencelési hibákat észlel, azonnal azonosítania kell és meg kell oldania a licenc-hozzárendeléssel kapcsolatos problémákat.
Életciklus-kezelés
Ha jelenleg olyan eszközt használ, mint például a Microsoft Identity Manager vagy egy helyszíni infrastruktúrára támaszkodó külső rendszer, javasoljuk, hogy a meglévő eszközről töltse ki a hozzárendelést. Ehelyett a csoportalapú licencelést kell implementálnia, és dinamikus tagsági csoportokon alapuló csoportéletciklus-felügyeletet kell meghatároznia.
Ha a meglévő folyamat nem veszi figyelembe a szervezetből kilépő új alkalmazottakat vagy alkalmazottakat, akkor dinamikus tagsági csoportokon alapuló csoportalapú licencelést kell üzembe helyeznie, és meg kell határoznia azok életciklusát. Végül, ha a csoportalapú licencelés olyan helyszíni csoportokon van üzembe helyezve, amelyek nem rendelkeznek életciklus-kezeléssel, fontolja meg a felhőcsoportok használatát olyan képességek engedélyezéséhez, mint a delegált tulajdonjog vagy az attribútumalapú dinamikus tagsági csoportok.
Alkalmazások hozzárendelése a "Minden felhasználó" csoporttal
Az erőforrás-tulajdonosok úgy gondolhatják, hogy a Minden felhasználó csoport csak vállalati alkalmazottakat tartalmaz, ha valójában vállalati alkalmazottakat és vendégeket is tartalmaznak. Ennek eredményeképpen különös figyelmet kell vállalnia, amikor a Minden felhasználó csoportot használja az alkalmazás-hozzárendeléshez, és hozzáférést biztosít az erőforrásokhoz, például SharePoint-tartalmakhoz vagy alkalmazásokhoz.
Fontos
Ha a Minden felhasználó csoport engedélyezve van, és feltételes hozzáférési szabályzatokhoz, alkalmazáshoz vagy erőforrás-hozzárendeléshez van használva, győződjön meg arról, hogy biztonságossá teszi a csoportot , ha nem szeretné, hogy vendégfelhasználók is szerepeljenek benne. Emellett a licencelési hozzárendeléseket úgy is ki kell javítania, hogy csak vállalati alkalmazottakat tartalmazó csoportokat hoz létre és rendel hozzá. Ha viszont úgy találja, hogy a Minden felhasználó csoport engedélyezve van, de nem használja az erőforrásokhoz való hozzáférést, győződjön meg arról, hogy a szervezet működési útmutatója az, hogy szándékosan használja ezt a csoportot (amely magában foglalja a Vállalati alkalmazottakat és a Vendégeket is).
Automatikus felhasználói kiépítés az alkalmazásokhoz
Az alkalmazásokhoz való automatikus felhasználói kiépítés a legjobb módszer az identitások egységes kiépítésére, megszüntetésére és életciklusára több rendszerben.
Ha jelenleg ad-hoc módon épít ki alkalmazásokat, vagy CSV-fájlokat, JIT-t vagy olyan helyszíni megoldást használ, amely nem foglalkozik az életciklus-kezeléssel, javasoljuk, hogy implementálja az alkalmazások kiépítését a Microsoft Entra-azonosítóval. Ez a megoldás támogatott alkalmazásokat biztosít, és konzisztens mintát határoz meg az olyan alkalmazásokhoz, amelyeket még nem támogat a Microsoft Entra ID.
A Microsoft Entra Connect szinkronizálási ciklusának alapkonfigurációja
Fontos, hogy tisztában legyen a szervezet módosításainak mennyiségével, és győződjön meg arról, hogy nem tart túl sokáig a kiszámítható szinkronizálási idő.
Az alapértelmezett változásszinkronizálási gyakoriság 30 perc. Ha a változásszinkronizálás következetesen több mint 30 percet vesz igénybe, vagy jelentős eltérések vannak az előkészítés és az éles környezet változásszinkronizálási teljesítménye között, vizsgálja meg és tekintse át a Microsoft Entra Connect teljesítményét befolyásoló tényezőket.
A Microsoft Entra Connect hibaelhárítási ajánlott olvasata
- Címtárattribútumok előkészítése a Microsoft 365-kel való szinkronizáláshoz az IdFix eszközzel
- Microsoft Entra Connect: Hibaelhárítási hibák a szinkronizálás során
Összegzés
A biztonságos identitásinfrastruktúra öt aspektusból áll. Ez a lista segít gyorsan megtalálni és végrehajtani a szükséges műveleteket az identitások és jogosultságaik életciklusának biztonságossá tételéhez és kezeléséhez a szervezetben.
- Tulajdonosok hozzárendelése a fő feladatokhoz.
- Szinkronizálási problémák keresése és megoldása.
- Feladatátvételi stratégia definiálása vészhelyreállításhoz.
- Egyszerűbbé teheti a licencek kezelését és az alkalmazások hozzárendelését.
- A felhasználók alkalmazásokhoz való kiépítésének automatizálása.
Következő lépések
Ismerkedés a hitelesítésfelügyeleti ellenőrzésekkel és műveletekkel.