Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Scenariusze wdrażania to wskazówki dotyczące łączenia i testowania produktów i usług firmy Microsoft w zakresie zabezpieczeń. Możesz dowiedzieć się, w jaki sposób możliwości współpracują ze sobą, aby zwiększyć produktywność, zwiększyć bezpieczeństwo, a także pomóc spełnić wymagania dotyczące zgodności i przepisów.
W tym przewodniku są wyświetlane następujące produkty i usługi:
- Microsoft Entra ID Governance
- Microsoft Entra ID
- Microsoft Entra
- Zarządzanie upoważnieniami
- Azure Logic Apps
- Privileged Identity Management (PIM) dla grup
- Panel kontrolny zarządzania tożsamościami
Użyj tego scenariusza, aby określić potrzebę użycia Microsoft Entra ID Governance do utworzenia i przyznania dostępu Twojej organizacji. Dowiedz się, jak zarządzać użytkownikami-gośćmi w swoim środowisku.
Oś czasu weryfikacji koncepcji
Harmonogramy Proof-of-Concept (PoC) pokazują przybliżony czas trwania fazy dostarczania i są oparte na złożoności scenariusza. Czasy są szacowane i różnią się w zależności od środowiska.
- Proces wdrażania i odkrywania — 2 godziny
- Automatyczne przypisywanie zasobów — 1 godzina
- Niestandardowe przepływy pracy — 2 godziny
- Konwertowanie użytkowników zewnętrznych — 1 godzina
- Przegląd dostępu — 1 godzina
Wymagania dotyczące scenariusza
Aby włączyć ten scenariusz, upewnij się, że spełnione są następujące wymagania:
- Microsoft Entra ID Licencja P1 lub P2
- Jednostka SKU Microsoft Entra ID Governance
- Microsoft Logic Apps i zasady automatycznego przypisywania
- Dwie dzierżawy, docelowa i źródło
- Konto użytkownika chmury w dzierżawie docelowej w celu zatwierdzenia i uzyskania dostępu
- Użytkownik chmury w dzierżawie źródłowej w celu żądania dostępu
- Konto w najmie docelowym:
- Administrator użytkowników,
- Administrator zarządzania tożsamością
- Administrator ról uprzywilejowanych lub
- Administrator globalny
Współpraca B2B i użytkownicy-goście
Aby współpracować z użytkownikami gośćmi, możesz zezwolić im na używanie preferowanej tożsamości do logowania się do swojej aplikacji lub innych aplikacji w przedsiębiorstwie, takich jak SaaS, opracowywanych na zamówienie i nie tylko. Zazwyczaj użytkownicy współpracy B2B znajdują się w katalogu jako użytkownicy-goście.
Dowiedz się więcej w omówieniu współpracy B2B z gośćmi zewnętrznymi dla pracowników.
Twórz użytkowników gości w Microsoft Entra ID
Użytkownicy mogą korzystać z funkcji samoobsługowego zarządzania upoważnieniami firmy Microsoft w celu zarejestrowania się w celu uzyskania dostępu. Dowiedz się więcej o rejestracji samoobsługowej i sposobie zarządzania dostępem zewnętrznym za pomocą zarządzania upoważnieniami.
Zarządzanie upoważnieniami lub rejestracja samoobsługowa
Poniższa tabela ułatwia podejmowanie decyzji.
| Zarządzanie upoważnieniami | Oboje | Rejestracja samoobsługowa |
|---|---|---|
| — Żądane za pomocą portalu My Access lub linku — Pakiety dostępu — Wbudowane przepływy pracy zatwierdzania — Żądania w zakresie organizacji — Automatyzacja cyklu życia — Obsługuje tożsamości języka SAML (Security Assertion Markup Language) i funkcje współpracy usług sieci Web (WS-Fed) |
— Żądanie wyzwalane przez użytkownika końcowego — Zbieranie innych atrybutów — Wyzwalanie niestandardowych aplikacji logiki i interfejsów API — Dostępne dla wszystkich — Obsługuje: Identyfikator Entra firmy Microsoft, jednorazowe hasło przez e-mail (OTP) |
- Strona logowania do onboardingu oznaczona marką - Użytkownicy zakładają konta w aplikacji - Opcje językowe - Obsługuje: Google, Konto Microsoft (MSA), Facebook |
Wprowadzenie i odkrywanie
Za pomocą pulpitu nawigacyjnego zarządzania tożsamościami firmy Microsoft odkrywaj informacje dotyczące użycia funkcji tożsamości skonfigurowanych w Twojej dzierżawie. Zobacz bieżący stan środowiska, określ akcje odpowiedzi i znajdź linki do dokumentacji.
Szczegółowe informacje o użytkownikach zewnętrznych
Z biegiem czasu w dzierżawie Microsoft Entra tworzone są konta użytkowników zewnętrznych. Gdy użytkownicy zewnętrzni lub goście przestaną uzyskiwać dostęp do dzierżawy, konto użytkownika zewnętrznego stanie się nieaktualne.
Możesz monitorować i usuwać nieaktywne konta dostępu gości za pomocą przeglądów dostępu.
Zarządzanie atrybutami użytkowników zewnętrznych
Zatwierdzający akceptują lub odrzucają żądania pakietów dostępu. Aby ułatwić osobom zatwierdzającym podejmowanie decyzji dotyczących dostępu w kontekście dołączania użytkowników zewnętrznych do systemu, możesz uwzględnić niestandardowe pytania w przepływie żądania dostępu. Przechowywać informacje o wnioskodawcy dla aplikacji lub innych procesów.
Zarządzanie upoważnieniami
Zdecentralizowane rozwiązania do obsługi tożsamości umożliwiają osobom kontrolowanie tożsamości cyfrowych i zarządzanie danymi tożsamości bez polegania na scentralizowanym urzędzie lub pośredniku. Zmniejsz potrzebę, aby nowi pracownicy lub partnerzy biznesowi musieli samozaświadczać się. Uprość procesy zatwierdzania i popraw swoje podejście do zgodności. Dowiedz się więcej o zweryfikowanych identyfikatorach firmy Microsoft w zarządzaniu upoważnieniami.
Przypisania użytkowników zewnętrznych i pakiety dostępu
Kiedy użytkownicy zewnętrzni proszą o początkowy dostęp, są zapraszani do katalogu i przydziela się im dostęp. W zarządzaniu upoważnieniami użyj pakietów dostępu, aby przypisać dostęp do wielu zasobów. Upewnij się, że pakiety dostępu znajdują się w kontenerze o nazwie wykaz, który zawiera zasoby, które można dodać do pakietu dostępu.
- Zarządzanie dostępem dla użytkowników zewnętrznych w zarządzaniu upoważnieniami
- Tworzenie pakietu dostępu w zarządzaniu upoważnieniami
- Wyświetlanie, dodawanie i usuwanie przypisań dla pakietu dostępu
Uruchomienie PoC: dostęp użytkowników zewnętrznych
- Dodaj połączoną organizację.
- Informacje o ustawieniach dla użytkowników zewnętrznych.
- Utwórz pakiet dostępu w zarządzaniu upoważnieniami.
- Zmień ustawienie Ukryte.
- Utwórz pakiet dostępu z wymaganiami zweryfikowanego identyfikatora.
- Przypisz użytkowników.
- Udostępnij link, aby zażądać pakietu dostępu w zarządzaniu upoważnieniami.
Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem dla użytkowników zewnętrznych w zarządzaniu upoważnieniami.
Przypisywanie i usuwanie zasobów
Aby dowiedzieć się, jak przypisać dostęp, usunąć go i uzyskać więcej wskazówek dotyczących PoC, przejdź do Scenariusza 2: Przypisywanie dostępu pracowników do zasobów.
Niestandardowe przepływy pracy w usłudze Azure Logic Apps
Aby utworzyć i uruchomić zautomatyzowane przepływy pracy za pomocą usługi Azure Logic Apps, dowiedz się więcej o niestandardowych przypadkach użycia i nie tylko lub przejdź do scenariusza 2: Przypisywanie dostępu pracowników do zasobów.
Zarządzanie cyklem życia użytkownika zewnętrznego
W zarządzaniu upoważnieniami użytkownicy zewnętrzni mają trzy stany: zarządzane, niezarządzane i puste. Użytkownicy zewnętrzni zaproszeni do dzierżawy są niezarządzani. Niepodporządkowani mogą utracić ostatnie przypisanie pakietu dostępu, ale mogą pozostać w środowisku tenantowym na czas nieokreślony. Aby zarządzać cyklem życia zasobów, przekształć niezarządzane w zarządzane, gdy mają dostęp.
Dowiedz się, jak zarządzać dostępem użytkowników zewnętrznych w zarządzaniu upoważnieniami.
Demonstracja koncepcji: cykl życia użytkownika-gościa
- Tworzenie pakietu dostępu w zarządzaniu upoważnieniami
- Utwórz zasady automatycznego przypisania
- Zarządzanie cyklem życia użytkownika-gościa w centrum administracyjnym firmy Microsoft Entra
Przeglądy dostępu
Aby dowiedzieć się, jak włączyć cykliczne przeglądy dostępu, przejdź do scenariusza 2: Przypisywanie dostępu pracowników do zasobów.
Przeglądy wieloetapowe
Dowiedz się więcej na temat przeglądów wielostopniowych, które zmniejszają obciążenie recenzentów, przejdź do Scenariusza 2: Przypisywanie pracownikom dostępu do zasobów.
Nieaktywni użytkownicy
Możesz przeprowadzać nieaktywne przeglądy użytkowników, aby rozpoznawać nieaktualne konta. Aby dowiedzieć się więcej, przejdź do scenariusza 2: Przypisywanie dostępu pracowników do zasobów.
Przynależność użytkownika do grupy
Funkcja Przynależność użytkownika do grupy ułatwia podejmowanie decyzji dotyczących dostępu na podstawie zaleceń pochodnych uczenia maszynowego. Aby dowiedzieć się więcej, przejdź do scenariusza 2: Przypisywanie dostępu pracowników do zasobów.
Ryzyko związane z użytkownikiem-gościem w aplikacjach Microsoft Teams i grupach platformy Microsoft 365
Przeglądy dostępu obejmują nowe grupy z użytkownikami-gośćmi i grupami z niedawno dodanymi gośćmi. Rekomendacje dotyczące przeglądu są oparte na szczegółach ostatniego logowania. W przypadku tej opcji goście, którym odmówiono dostępu, są blokowani przed zalogowaniem, a następnie konto zostaje usunięte.
Więcej informacji:
- Dostęp gościa w aplikacji Microsoft Teams
- Zarządzanie dostępem gościa w grupach platformy Microsoft 365
- Omówienie grup platformy Microsoft 365 dla administratorów
- Informacje dotyczące ustawień udostępniania dla gości na platformie Microsoft 365
Przeglądy dostępu użytkowników-gości
Podczas przeprowadzania przeglądów dostępu można przeglądać grupy, które mają członków użytkowników-gości. Możesz też przeglądać aplikacje z przypisanymi użytkownikami-gośćmi. Goście są nieaktywni po upływie 30 dni bez logowania.
Okno dialogowe Przegląd nowego dostępu z wyróżnioną kartą Typ przeglądu i opcjami użytkownika-gościa.
Raport historii przeglądu dostępu
Aby dowiedzieć się więcej na temat raportów historii przeglądu do pobrania, zobacz Scenariusz 2: Przypisywanie dostępu pracowników do zasobów.
Wdrażanie PoC: Przewodnik po przeglądzie dostępu
Aby uzyskać instrukcje dotyczące wdrażania PoC, przejdź do Scenariusz 2: Przypisywanie dostępu pracowników do zasobów.
Następne kroki
- Wprowadzenie do przewodnika wdrażania ładu w usłudze Microsoft Entra ID
- Scenariusz 1. Automatyzacja cyklu życia pracowników
- Scenariusz 2. Przypisywanie dostępu pracowników do zasobów
- Scenariusz 3. Zarządzanie dostępem gościa i partnera
- Scenariusz 4. Zarządzanie uprzywilejowanymi tożsamościami i ich dostępem