Plany wdrażania firmy Microsoft Entra

Usługa Azure Active Directory to teraz identyfikator Entra firmy Microsoft, który może chronić organizację za pomocą zarządzania tożsamościami i dostępem w chmurze. Rozwiązanie łączy pracowników, klientów i partnerów ze swoimi aplikacjami, urządzeniami i danymi.

Skorzystaj z wskazówek w tym artykule, aby ułatwić tworzenie planu wdrażania identyfikatora Entra firmy Microsoft. Dowiedz się więcej o podstawach tworzenia planu, a następnie skorzystaj z poniższych sekcji dotyczących wdrażania uwierzytelniania, aplikacji i urządzeń, scenariuszy hybrydowych, tożsamości użytkowników i nie tylko.

Uczestnicy projektu i role

Podczas rozpoczynania planów wdrażania uwzględnij kluczowe osoby biorące udział w projekcie. Identyfikowanie i dokumentowanie uczestników projektu, ról, których dotyczy problem, oraz obszarów własności i obowiązków, które umożliwiają skuteczne wdrażanie. Tytuły i role różnią się od jednej organizacji do innej, jednak obszary własności są podobne. Poniższa tabela zawiera typowe i wpływowe role, które mają wpływ na dowolny plan wdrożenia.

Rola	Odpowiedzialność
Sponsor	Starszy lider przedsiębiorstwa z uprawnieniami do zatwierdzania lub przypisywania budżetu i zasobów. Sponsor jest połączeniem między menedżerami a zespołem wykonawczym.
Użytkownicy końcowi	Osoby, dla których usługa jest wdrażana. Użytkownicy mogą uczestniczyć w programie pilotażowym.
Menedżer pomocy technicznej IT	Zapewnia dane wejściowe dotyczące możliwości obsługi proponowanych zmian
Architekt tożsamości	Definiuje sposób, w jaki zmiana jest zgodna z infrastrukturą zarządzania tożsamościami
Właściciel firmy aplikacji	Jest właścicielem aplikacji, których dotyczy problem, które mogą obejmować zarządzanie dostępem. Udostępnia dane wejściowe w środowisku użytkownika.
Właściciel zabezpieczeń	Potwierdza, że plan zmian spełnia wymagania dotyczące zabezpieczeń
Menedżer zgodności	Zapewnia zgodność z wymaganiami firmowymi, branżowymi lub rządowymi

RACI

Odpowiedzialny, odpowiedzialny, odpowiedzialny, konsultowany i poinformowany (odpowiedzialny/odpowiedzialny/konsultowany/poinformowany(RACI) to model udziału różnych ról w realizacji zadań lub elementów dostarczanych dla projektu lub procesu biznesowego. Ten model ułatwia zapewnienie, że role w organizacji rozumieją obowiązki związane z wdrażaniem.

• Odpowiedzialne — osoby odpowiedzialne za poprawne ukończenie zadania.
  • Istnieje co najmniej jedna rola Odpowiedzialna, chociaż możesz delegować inne osoby, aby pomóc w dostarczaniu pracy.
• Odpowiedzialny — ten ostatecznie odpowiada za poprawność i ukończenie zadania lub zadania. Rola Accountable zapewnia spełnienie wymagań wstępnych zadań i delegowanie pracy z rolami odpowiedzialnymi. Rola Accountable zatwierdza pracę zapewnianą przez odpowiedzialne. Przypisz jedno konto dla każdego zadania lub elementu dostarczanego.
• Konsultowana - Rola konsultowana zawiera wskazówki, zazwyczaj ekspert w dziedzinie dziedziny (SME).
• Informowanie — ludzie byli na bieżąco z postępem, na ogół po zakończeniu zadania lub realizacji.

Wdrażanie uwierzytelniania

Użyj poniższej listy, aby zaplanować wdrożenie uwierzytelniania.

• Microsoft Entra multifactor authentication (MFA) — korzystanie z metod uwierzytelniania zatwierdzonych przez administratora, uwierzytelnianie wieloskładnikowe pomaga chronić dostęp do danych i aplikacji, jednocześnie spełniając wymagania dotyczące łatwego logowania:

  • Zobacz film wideo Jak skonfigurować i wymusić uwierzytelnianie wieloskładnikowe w dzierżawie
  • Zobacz Planowanie wdrożenia uwierzytelniania wieloskładnikowego

• Dostęp warunkowy — implementowanie automatycznych decyzji dotyczących kontroli dostępu dla użytkowników w celu uzyskiwania dostępu do aplikacji w chmurze na podstawie warunków:

  • Zobacz Co to jest dostęp warunkowy?
  • Zobacz Planowanie wdrożenia dostępu warunkowego

• Microsoft Entra samoobsługowe resetowanie hasła (SSPR) — pomóż użytkownikom zresetować hasło bez interwencji administratora:

  • Zobacz Opcje uwierzytelniania bez hasła dla identyfikatora entra firmy Microsoft

  • Zobacz Planowanie wdrożenia samoobsługowego resetowania haseł w usłudze Microsoft Entra

• Uwierzytelnianie bez hasła — zaimplementuj uwierzytelnianie bez hasła przy użyciu aplikacji Microsoft Authenticator lub kluczy zabezpieczeń FIDO2:

  • Zobacz Włączanie logowania bez hasła za pomocą aplikacji Microsoft Authenticator
  • Zobacz Planowanie wdrożenia uwierzytelniania bez hasła w usłudze Microsoft Entra ID

Aplikacje i urządzenia

Użyj poniższej listy, aby ułatwić wdrażanie aplikacji i urządzeń.

• Logowanie jednokrotne ( SSO) — umożliwia użytkownikowi dostęp do aplikacji i zasobów przy użyciu jednego logowania bez konieczności wprowadzania poświadczeń:
  • Zobacz Co to jest logowanie jednokrotne w usłudze Microsoft Entra ID?
  • Zobacz Planowanie wdrożenia logowania jednokrotnego
• portal Moje aplikacje — odnajdywanie i uzyskiwanie dostępu do aplikacji. Włącz produktywność użytkowników przy użyciu samoobsługi, na przykład zażądaj dostępu do grup lub zarządzaj dostępem do zasobów w imieniu innych osób.
  • Zobacz omówienie portalu Moje aplikacje
• Urządzenia — ocenianie metod integracji urządzeń za pomocą identyfikatora Entra firmy Microsoft, wybieranie planu implementacji i nie tylko.
  • Zobacz Planowanie wdrożenia urządzenia Firmy Microsoft Entra

Scenariusze hybrydowe

Poniższa lista zawiera opis funkcji i usług w scenariuszach hybrydowych.

• Active Directory Federation Services (AD FS) — migrowanie uwierzytelniania użytkownika z federacji do chmury przy użyciu uwierzytelniania przekazywanego lub synchronizacji skrótów haseł:
  • Zobacz: Co to jest federacja z identyfikatorem Entra firmy Microsoft?
  • Zobacz Migrowanie z federacji do uwierzytelniania w chmurze
• Serwer proxy aplikacji Firmy Microsoft Entra — umożliwia pracownikom wydajną pracę z urządzenia. Dowiedz się więcej o aplikacjach typu oprogramowanie jako usługa (SaaS) w chmurze i aplikacjach firmowych w środowisku lokalnym. Serwer proxy aplikacji Firmy Microsoft Entra umożliwia dostęp bez wirtualnych sieci prywatnych (VPN) lub stref zdemilitaryzowanych (DMZ):
  • Zobacz Dostęp zdalny do aplikacji lokalnych za pośrednictwem serwera proxy aplikacji firmy Microsoft Entra
  • Zobacz Planowanie wdrożenia serwera proxy aplikacji entra firmy Microsoft
• Bezproblemowe logowanie jednokrotne (Bezproblemowe logowanie jednokrotne) — używaj bezproblemowego logowania jednokrotnego na urządzeniach firmowych połączonych z siecią firmową. Użytkownicy nie potrzebują haseł, aby zalogować się do identyfikatora Entra firmy Microsoft i zwykle nie muszą wprowadzać nazw użytkowników. Autoryzowani użytkownicy uzyskują dostęp do aplikacji w chmurze bez dodatkowych składników lokalnych:
  • Zobacz Microsoft Entra SSO: Szybki start
  • Zobacz: Microsoft Entra seamless SSO: Technical deep dive (Bezproblemowe logowanie jednokrotne firmy Microsoft: szczegółowe omówienie techniczne)

Użytkownicy

• Tożsamości użytkowników — dowiedz się więcej o automatyzacji tworzenia, konserwacji i usuwania tożsamości użytkowników w aplikacjach w chmurze, takich jak Dropbox, Salesforce, ServiceNow i nie tylko.
  • Zobacz Planowanie automatycznego wdrażania aprowizacji użytkowników w usłudze Microsoft Entra ID
• Zarządzanie tożsamością Microsoft Entra — tworzenie ładu tożsamości i ulepszanie procesów biznesowych korzystających z danych tożsamości. Dzięki produktom kadrowym, takim jak Workday lub Successfactors, zarządzaj cyklem życia tożsamości pracowników i personelu warunkowego przy użyciu reguł. Te reguły mapować procesy Joiner-Mover-Leaver (JLM), takie jak New Hire, Terminate, Transfer, to IT actions, such as Create, Enable, Disable. Aby uzyskać więcej informacji, zobacz następującą sekcję.
  • Zobacz Planowanie aplikacji cloud HR w usłudze Microsoft Entra aprowizacji użytkowników
• Współpraca firmy Microsoft Entra B2B — ulepszanie współpracy użytkowników zewnętrznych przy użyciu bezpiecznego dostępu do aplikacji:
  • Zobacz Omówienie współpracy B2B
  • Zobacz Planowanie wdrożenia współpracy B2B firmy Microsoft

Zarządzanie tożsamościami i raportowanie

Zarządzanie tożsamością Microsoft Entra umożliwia organizacjom zwiększenie produktywności, wzmocnienie zabezpieczeń i łatwiejsze spełnianie wymagań prawnych i zgodności. Użyj Zarządzanie tożsamością Microsoft Entra, aby upewnić się, że odpowiednie osoby mają odpowiedni dostęp do odpowiednich zasobów. Ulepszanie automatyzacji procesów tożsamości i dostępu, delegowanie do grup biznesowych i zwiększenie widoczności. Skorzystaj z poniższej listy, aby dowiedzieć się więcej o zarządzaniu tożsamościami i raportowaniu.

Więcej informacji:

• Bezpieczny dostęp dla połączonego świata — poznaj firmę Microsoft Entra

• Zarządzanie dostępem do aplikacji w środowisku

• Privileged Identity Management (PIM) — zarządzanie uprzywilejowanymi rolami administracyjnymi w usłudze Microsoft Entra ID, zasobami platformy Azure i innymi Usługi online firmy Microsoft. Służy do uzyskiwania dostępu just in time (JIT), przepływów pracy zatwierdzania żądań i zintegrowanych przeglądów dostępu, aby zapobiec złośliwym działaniom:

  • Zobacz Rozpoczynanie korzystania z usługi Privileged Identity Management
  • Zobacz Planowanie wdrożenia usługi Privileged Identity Management

• Raportowanie i monitorowanie — projekt rozwiązania do raportowania i monitorowania firmy Microsoft ma zależności i ograniczenia: prawne, zabezpieczenia, operacje, środowisko i procesy.

  • Zobacz Microsoft Entra reporting and monitoring deployment dependencies (Zobacz: Raportowanie i monitorowanie zależności wdrażania firmy Microsoft)

• Przeglądy dostępu — omówienie dostępu i zarządzanie dostępem do zasobów:

  • Zobacz: Co to są przeglądy dostępu?
  • Zobacz Planowanie wdrożenia przeglądów dostępu firmy Microsoft Entra

Najlepsze rozwiązania dotyczące pilotażu

Przed wprowadzeniem zmiany dla większych grup lub wszystkich użyj pilotów do testowania z małą grupą. Upewnij się, że każdy przypadek użycia w organizacji jest testowany.

Pilotaż: faza 1

W pierwszej fazie należy określić elementy it, użyteczność i innych użytkowników, którzy mogą testować i przekazywać opinie. Skorzystaj z tej opinii, aby uzyskać szczegółowe informacje na temat potencjalnych problemów dla pracowników pomocy technicznej oraz opracowywać komunikaty i instrukcje wysyłane do wszystkich użytkowników.

Pilotaż: faza 2

Poszerz pilotaż do większych grup użytkowników przy użyciu członkostwa dynamicznego lub ręcznie dodając użytkowników do grup docelowych.

Dowiedz się więcej: Reguły członkostwa dynamicznego dla grup w usłudze Microsoft Entra ID