Планы развертывания Microsoft Entra

Azure Active Directory теперь является идентификатором Microsoft Entra, который может защитить вашу организацию с помощью облачного удостоверения и управления доступом. Решение подключает сотрудников, клиентов и партнеров к своим приложениям, устройствам и данным.

Используйте инструкции этой статьи, чтобы создать план для развертывания идентификатора Microsoft Entra. Узнайте о основах планирования, а затем используйте следующие разделы для развертывания проверки подлинности, приложений и устройств, гибридных сценариев, удостоверения пользователя и многое другое.

Заинтересованные лица и роли

При запуске планов развертывания включите ключевых заинтересованных лиц. Определение и документирование заинтересованных лиц, затронутых ролей и областей владения и обязанностей, которые обеспечивают эффективное развертывание. Названия и роли отличаются от одной организации к другой, однако области владения похожи. В следующей таблице приведены общие и влиятельные роли, влияющие на любой план развертывания.

Роль	Обязанности
Спонсор	Старший руководитель предприятия с полномочиями утвердить или назначить бюджет и ресурсы. Спонсором является связь между менеджерами и исполнительной командой.
Конечные пользователи	Люди, для которых реализована служба. Пользователи могут участвовать в пилотной программе.
Менеджер по ИТ-поддержке	Предоставляет входные данные о поддержке предлагаемых изменений
Архитектор удостоверений	Определяет, как изменение соответствует инфраструктуре управления удостоверениями
Владелец бизнеса приложения	Владеет затронутыми приложениями, которые могут включать управление доступом. Предоставляет входные данные для взаимодействия с пользователем.
Владелец системы безопасности	Подтверждает, что план изменений соответствует требованиям безопасности
Диспетчер соответствия	Обеспечивает соответствие корпоративным, отраслевым или государственным требованиям

RACI

Ответственные, учетные записи, консультации и информированные (ответственные/ ответственные/ управляемые и информированные (RACI)) — это модель участия различных ролей для выполнения задач или доставки для проекта или бизнес-процесса. Используйте эту модель, чтобы убедиться, что роли в организации понимают обязанности по развертыванию.

• Ответственный — люди, ответственные за правильное завершение задачи.
  • Существует по крайней мере одна ответственной роль, хотя вы можете делегировать другие, чтобы помочь доставить работу.
• Подотчетный — один в конечном счете отвечает за правильность и завершение доставки или задачи. Роль с учетной записью гарантирует, что предварительные требования к задачам выполняются, и делегаты работают с ответственными ролями. Роль "Учетная запись" утверждает работу, которую предоставляет ответственный. Назначьте одну учетную запись для каждой задачи или доставки.
• Обратитесь к специалисту по вопросам. Роль , которая предоставляет рекомендации, как правило, эксперт по вопросам предметов (SME).
• Информировано - люди постоянно обновлялись до прогресса, как правило, после завершения задачи или доставки.

Развертывание проверки подлинности

Используйте следующий список для планирования развертывания проверки подлинности.

• Многофакторная проверка подлинности (MFA) Microsoft Entra . Использование методов проверки подлинности, утвержденных администратором, многофакторная проверка подлинности помогает защитить доступ к данным и приложениям при выполнении требований к простому входу:

  • См. видео, как настроить и применить многофакторную проверку подлинности в клиенте
  • См. планирование развертывания многофакторной проверки подлинности

• Условный доступ . Реализация автоматизированных решений по управлению доступом для пользователей для доступа к облачным приложениям на основе условий:

  • Смотрите, что такое условный доступ?
  • См. планирование развертывания условного доступа

• Самостоятельный сброс пароля Microsoft Entra (SSPR) — помощь пользователям сбросить пароль без вмешательства администратора:

  • См. параметры проверки подлинности без пароля для идентификатора Microsoft Entra

  • См. раздел " Планирование самостоятельного сброса пароля в Microsoft Entra"

• Проверка подлинности без пароля. Реализация проверки подлинности без пароля с помощью приложения Microsoft Authenticator или ключей безопасности FIDO2:

  • См. инструкции по включению входа без пароля с помощью Microsoft Authenticator
  • См. сведения о планировании развертывания без пароля в идентификаторе Microsoft Entra

Приложения и устройства

Используйте следующий список, чтобы помочь развернуть приложения и устройства.

• Единый вход (единый вход) — включение доступа пользователей к приложениям и ресурсам с помощью одного входа без повторного ввода учетных данных:
  • Смотрите, что такое единый вход в идентификаторе Microsoft Entra?
  • См. планирование развертывания единого входа
• портал Мои приложения — обнаружение и доступ к приложениям. Включите производительность пользователей с помощью самообслуживания, например запрашивать доступ к группам или управлять доступом к ресурсам от имени других пользователей.
  • Обзор портала Мои приложения
• Устройства — оценка методов интеграции устройств с идентификатором Microsoft Entra, выбор плана реализации и многое другое.
  • См. планирование развертывания устройства Microsoft Entra

Гибридные сценарии

В следующем списке описаны функции и службы в гибридных сценариях.

• службы федерации Active Directory (AD FS) (AD FS) — перенос проверки подлинности пользователей из федерации в облако с сквозной проверкой подлинности или синхронизацией хэша паролей:
  • См. сведения о федерации с идентификатором Microsoft Entra?
  • См. статью " Миграция из федерации в облачную проверку подлинности"
• Прокси приложения Microsoft Entra— позволяет сотрудникам работать с устройства. Узнайте о приложениях saaS в облаке и корпоративных приложениях в локальной среде. Прокси приложения Microsoft Entra обеспечивает доступ без виртуальных частных сетей (VPN) или демилитаризованных зон (DMZ):
  • Просмотр, удаленный доступ к локальным приложениям через прокси приложения Microsoft Entra
  • См. планирование развертывания прокси приложения Microsoft Entra
• Простой единый вход (Простой единый вход) — использование простого единого входа для входа пользователей на корпоративных устройствах, подключенных к корпоративной сети. Пользователям не нужны пароли для входа в идентификатор Microsoft Entra ID, и обычно не нужно вводить имена пользователей. Авторизованные пользователи получают доступ к облачным приложениям без дополнительных локальных компонентов:
  • См. краткое руководство по единому входу в Microsoft Entra
  • Смотрите, Microsoft Entra простой единый вход: Техническая глубокое погружение

Пользователи

• Удостоверения пользователей. Сведения об автоматизации для создания, обслуживания и удаления удостоверений пользователей в облачных приложениях, таких как Dropbox, Salesforce, ServiceNow и многое другое.
  • См. планирование автоматического развертывания подготовки пользователей в идентификаторе Microsoft Entra
• Управление идентификацией Microsoft Entra. Создание системы управления удостоверениями и улучшение бизнес-процессов, использующих данные удостоверения. С помощью продуктов отдела кадров, таких как Workday или Successfactors, управляйте жизненным циклом удостоверений сотрудников и персонала с помощью правил. Эти правила сопоставляют процессы Joiner-Mover-Leaver (JLM), такие как new Hire, Terminate, Transfer, to IT actions, например Create, Enable, Disable. Дополнительные сведения см. в следующем разделе.
  • См. планирование облачного приложения кадров в подготовке пользователей Microsoft Entra
• Совместная работа Microsoft Entra B2B — улучшение совместной работы внешних пользователей с безопасным доступом к приложениям:
  • Обзор совместной работы B2B
  • См. планирование развертывания совместной работы Microsoft Entra B2B

Управление удостоверениями и отчеты

Управление идентификацией Microsoft Entra позволяет организациям повысить производительность, укрепить безопасность и упростить соответствие требованиям и нормативным требованиям. Используйте Управление идентификацией Microsoft Entra, чтобы обеспечить правильный доступ к нужным ресурсам. Улучшение автоматизации процессов идентификации и доступа, делегирование бизнес-групп и повышение видимости. Используйте следующий список, чтобы узнать об управлении удостоверениями и отчетах.

Подробнее:

• Безопасный доступ для подключенного мира — соответствие Требованиям Microsoft Entra

• Управление доступом к приложениям в вашей среде

• управление привилегированными пользователями (PIM) — управление привилегированными административными ролями с помощью идентификатора Microsoft Entra, ресурсов Azure и других веб-службы Майкрософт. Используйте его для JIT-доступа (JIT), рабочих процессов утверждения запросов и интегрированных проверок доступа, чтобы предотвратить вредоносные действия:

  • См. статью "Начало работы с управление привилегированными пользователями"
  • См. планирование развертывания управление привилегированными пользователями

• Отчеты и мониторинг . Проектирование решений для создания отчетов и мониторинга Microsoft Entra имеет зависимости и ограничения: юридические, безопасность, операции, среда и процессы.

  • См. отчеты и мониторинг зависимостей развертывания Microsoft Entra

• Проверки доступа. Общие сведения о доступе к ресурсам и управление ими:

  • Смотрите, что такое проверки доступа?
  • См. планирование развертывания проверок доступа Microsoft Entra

Рекомендации по пилотным проектам

Прежде чем вносить изменения для больших групп или всех, используйте пилотные проекты для тестирования с небольшой группой. Убедитесь, что каждый вариант использования в вашей организации тестируется.

Пилотный проект: этап 1

На первом этапе нацеливайтесь на ИТ, удобство использования и других пользователей, которые могут тестировать и предоставлять отзывы. Используйте этот отзыв, чтобы получить аналитические сведения о потенциальных проблемах для сотрудников службы поддержки, а также для разработки сообщений и инструкций, которые вы отправляете всем пользователям.

Пилотный проект: этап 2

Расширяйте пилотный проект до более крупных групп пользователей с помощью динамического членства или вручную добавляя пользователей в целевые группы.

Дополнительные сведения. Правила динамического членства для групп в идентификаторе Microsoft Entra