Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Microsoft Entra ID Governance to rozwiązanie do zarządzania tożsamościami, które umożliwia organizacjom zwiększenie produktywności, wzmocnienie zabezpieczeń oraz łatwiejsze spełnianie wymagań związanych z zgodnością i regulacjami. Usługa Microsoft Entra ID Governance korzysta ze szczegółowych informacji opartych na sztucznej inteligencji, aby pomóc organizacjom automatycznie upewnić się, że odpowiednie osoby mają odpowiedni dostęp do odpowiednich zasobów. Można to osiągnąć za pomocą automatyzacji procesów tożsamości i dostępu, delegowania do grup biznesowych i zwiększenia widoczności. Dzięki funkcjom w usłudze Microsoft Entra ID Governance i powiązanych produktach firmy Microsoft można ograniczyć ryzyko związane z tożsamościami i dostępem, chroniąc, monitorując i przeprowadzając inspekcję dostępu do krytycznych zasobów.
W szczególności Zarządzanie tożsamością Microsoft Entra pomaga organizacjom radzić sobie z tymi czterema kluczowymi pytaniami dotyczącymi dostępu do usług i aplikacji zarówno lokalnych, jak i w chmurze:
- Które tożsamości powinny mieć dostęp do jakich zasobów?
- Co robią te tożsamości z tym dostępem?
- Czy istnieją mechanizmy kontroli organizacyjnej do zarządzania dostępem?
- Czy audytorzy mogą sprawdzić, czy kontrole działają skutecznie?
Dzięki Zarządzanie tożsamością Microsoft Entra można zaimplementować następujące scenariusze dla pracowników, partnerów biznesowych i dostawców:
- Zarządzaj cyklem życia tożsamości
- Zarządzanie cyklem życia dostępu
- Bezpieczny uprzywilejowany dostęp do administracji
Cykl życia tożsamości
Zarządzanie tożsamościami pomaga organizacjom osiągnąć równowagę między produktywnością — jak szybko osoba może mieć dostęp do potrzebnych zasobów, takich jak dołączenie do mojej organizacji? A bezpieczeństwo — w jaki sposób ich dostęp powinien ulec zmianie w czasie, na przykład ze względu na zmiany statusu zatrudnienia tej osoby? Zarządzanie cyklem życia tożsamości jest podstawą zarządzania tożsamościami, a skuteczne zarządzanie na dużą skalę wymaga modernizacji infrastruktury zarządzania cyklem życia tożsamości dla aplikacji.
W wielu organizacjach cykl życia tożsamości pracowników i innych pracowników jest związany z reprezentacją tej osoby w systemie HCM (zarządzanie kapitałem ludzkim) lub kadrowym. Organizacje muszą zautomatyzować proces tworzenia tożsamości dla nowego pracownika, który jest oparty na sygnałie z tego systemu, aby pracownik mógł być produktywny w dniu 1. Organizacje muszą upewnić się, że po opuszczeniu organizacji przez pracownika, te tożsamości i dostęp zostaną usunięte.
W ramach Zarządzania tożsamością Microsoft Entra można zautomatyzować cykl życia tożsamości dla tych osób przy użyciu następujących narzędzi:
- Wstępne zarządzanie z zasobów HR Twojej organizacji, w tym pobieranie danych z Workday i SuccessFactors, aby automatycznie zarządzać tożsamościami użytkowników zarówno w Active Directory, jak i Microsoft Entra ID.
- Przepływy pracy związane z cyklem życia do automatyzacji zadań przepływu pracy, które są uruchamiane w kluczowych momentach, takich jak zanim nowy pracownik ma rozpocząć pracę w organizacji, w miarę zmiany statusu podczas pracy w organizacji i gdy opuszcza organizację. Na przykład przepływ pracy można skonfigurować pod kątem wysyłania wiadomości e-mail z tymczasowym dostępem do menedżera nowego użytkownika lub powitalnej wiadomości e-mail do użytkownika pierwszego dnia.
- zasady automatycznego przypisywania w zarządzaniu upoważnieniami do dodawania i usuwania członkostw w grupach użytkownika, ról aplikacji i ról witryny programu SharePoint na podstawie zmian atrybutów użytkownika.
- aprowizowanie użytkowników w celu tworzenia, aktualizowania i usuwania kont użytkowników w innych aplikacjach z łącznikami do setek aplikacji w chmurze i lokalnych za pośrednictwem protokołu SCIM, LDAP i SQL.
Organizacje potrzebują również dodatkowych tożsamości, dla partnerów, dostawców i innych gości, aby umożliwić im współpracę lub dostęp do zasobów.
W platformie Microsoft Entra ID Governance możesz umożliwić grupom biznesowym ustalenie, którzy z gości powinni mieć dostęp i na jak długo, korzystając z:
- Zarządzanie upoważnieniami umożliwia określenie innych organizacji, których tożsamości mogą wnioskować o dostęp do zasobów Twojej organizacji. Po zatwierdzeniu jednego z żądań tożsamości są one automatycznie dodawane przez zarządzanie upoważnieniami jako gość B2B do katalogu organizacji. Następnie przypisano im odpowiedni dostęp. Zarządzanie upoważnieniami automatycznie usuwa użytkownika-gościa B2B z katalogu organizacji po wygaśnięciu lub odwołaniu praw dostępu.
- przeglądy dostępu , które automatycznie przeprowadzają cykliczne przeglądy już istniejących w katalogu gości, i usuwa je z katalogu organizacji, gdy dostęp nie jest już potrzebny. Sugestie oparte na sztucznej inteligencji pomagają recenzentom podejmować lepsze świadome decyzje.
Aby uzyskać więcej informacji, zobacz Zarządzanie cyklem życia pracownika i gościa.
Cykl życia dostępu
Organizacje potrzebują procesu zarządzania dostępem poza tym, co zostało początkowo aprowidowane dla użytkownika podczas tworzenia tożsamości tego użytkownika. Ponadto organizacje przedsiębiorstwa muszą mieć możliwość wydajnego skalowania, aby móc opracowywać i wymuszać zasady dostępu i mechanizmy kontroli na bieżąco.
Dzięki zarządzaniu identyfikatorami entra firmy Microsoft działy IT mogą ustalić, które tożsamości praw dostępu powinny znajdować się w różnych zasobach. Mogą również określić niezbędne kontrole, takie jak rozdzielenie obowiązków lub usunięcie dostępu przy zmianie stanowiska. Identyfikator Entra firmy Microsoft zawiera łączniki do setek aplikacji w chmurze i lokalnych. Możesz zintegrować inne aplikacje organizacji, które korzystają z grup AD, innych katalogów lokalnych lub bazy danych, które mają SOAP lub REST API, w tym SAP, lub które implementują standardy, takie jak SCIM, SAML lub OpenID Connect. Gdy użytkownik próbuje zalogować się do jednej z tych aplikacji, identyfikator Entra firmy Microsoft wymusza zasady dostępu warunkowego. Na przykład zasady dostępu warunkowego mogą obejmować wyświetlanie warunków użytkowania i zapewnienie, że użytkownik zgodził się na te warunki przed uzyskaniem dostępu do aplikacji. Aby uzyskać więcej informacji, zobacz zarządzanie dostępem do aplikacji w twoim środowisku, w tym jak definiować zasady organizacyjne dotyczące zarządzania dostępem do aplikacji, integrować aplikacje i wdrażać zasady.
Zmiany dostępu między aplikacjami i grupami można zautomatyzować na podstawie zmian atrybutów. Przepływy pracy cyklu życia Microsoft Entra i zarządzanie uprawnieniami Microsoft Entra automatycznie dodają i usuwają tożsamości do grup lub pakietów dostępu, aby zapewnić bieżące aktualizowanie dostępu do aplikacji i zasobów. Tożsamości można również przenosić do innych grup, gdy zmienia się ich status w organizacji, a nawet można je całkowicie usunąć ze wszystkich grup lub pakietów dostępu.
Organizacje, które wcześniej korzystały z lokalnego produktu do zarządzania tożsamościami, mogą migrować model ról organizacyjnych do Zarządzania tożsamościami Microsoft Entra ID.
Ponadto IT może delegować decyzje dotyczące zarządzania dostępem osobom podejmującym decyzje biznesowe. Na przykład pracownicy, którzy chcą uzyskać dostęp do poufnych danych klientów w aplikacji marketingowej firmy w Europie, mogą potrzebować zatwierdzenia od swojego kierownika, kierownika działu lub właściciela zasobów oraz oficera ryzyka bezpieczeństwa. Zarządzanie upoważnieniami umożliwia zdefiniowanie sposobu, w jaki tożsamości żądają dostępu w ramach pakietów członkostwa w grupach i zespołach, ról aplikacji i ról usługi SharePoint Online oraz wymuszają kontrole rozdziału obowiązków dotyczące żądań dostępu. Pakiety dostępu mogą wymagać regularnych przeglądów dostępu, a inne prawa dostępu, takie jak członkostwo w grupach, mogą być również regularnie weryfikowane przy użyciu cyklicznych przeglądów dostępu Microsoft Entra w celu recertyfikacji dostępu, w tym odstających elementów wśród równorzędnych, zidentyfikowanych przez sztuczną inteligencję, które mogą wymagać dokładniejszej kontroli. Agent przeglądu dostępu pomaga recenzentom, automatycznie zbierając szczegółowe informacje i generując zalecenia, a także prowadzi ich przez proces przeglądu w usłudze Microsoft Teams, wykorzystując język naturalny, z prostymi podsumowaniami i proponowanymi decyzjami, dzięki czemu mogą podejmować ostateczne decyzje z pewnością i przejrzystością.
Organizacje mogą również kontrolować, które tożsamości gości mają dostęp, w tym do aplikacji lokalnych.
Cykl życia dostępu uprzywilejowanego
Zarządzanie uprzywilejowanym dostępem jest kluczową częścią nowoczesnego zarządzania tożsamością, zwłaszcza biorąc pod uwagę potencjalne nieprawidłowe użycie związane z prawami administratora, które może zaszkodzić organizacji. Pracownicy, dostawcy i wykonawcy, którzy przejmują prawa administracyjne, muszą mieć swoje konta i uprzywilejowane prawa dostępu zarządzane.
Usługa Microsoft Entra Privileged Identity Management (PIM) udostępnia dodatkowe mechanizmy kontroli dostosowane do zabezpieczania praw dostępu do zasobów w witrynie Microsoft Entra, Azure, innych usługach Microsoft Online Services i innych aplikacjach. Dostęp just in time i funkcje powiadamiania o zmianie roli udostępniane przez firmę Microsoft Entra PIM, oprócz uwierzytelniania wieloskładnikowego i dostępu warunkowego, zapewniają kompleksowy zestaw mechanizmów kontroli ładu, które ułatwiają zabezpieczanie zasobów organizacji (ról katalogu, ról platformy Microsoft 365, ról zasobów platformy Azure i członkostwa w grupach). Podobnie jak w przypadku innych form dostępu, organizacje mogą używać przeglądów dostępu do konfigurowania cyklicznej ponownej certyfikacji dostępu dla wszystkich tożsamości pełniących role administratorów uprzywilejowanych.
Wymagania dotyczące licencji
Korzystanie z tej funkcji wymaga licencji Microsoft Entra ID Governance lub Microsoft Entra Suite. Aby znaleźć odpowiednią licencję dla swoich potrzeb, zobacz Podstawy licencjonowania zarządzania tożsamościami Microsoft Entra.
Wprowadzenie
Zapoznaj się z wymaganiami wstępnymi przed skonfigurowaniem Microsoft Entra ID do zarządzania tożsamością. Następnie odwiedź pulpit zarządzania w centrum administracyjnym Microsoft Entra, aby rozpocząć korzystanie z zarządzania uprawnieniami, przeglądów dostępu, przepływów pracy cyklu życia i usługi Privileged Identity Management.
Dostępne są również samouczki dotyczące zarządzania dostępem do zasobów w zarządzaniu upoważnieniami, dołączania użytkowników zewnętrznych do identyfikatora Entra firmy Microsoft za pośrednictwem procesu zatwierdzania, zarządzania dostępem do aplikacji i istniejących użytkowników aplikacji.
Chociaż każda organizacja może mieć własne unikatowe wymagania, poniższe przewodniki konfiguracyjne zawierają również zasady odniesienia zalecane przez firmę Microsoft, aby zapewnić większe bezpieczeństwo i produktywność pracowników.
- Planowanie wdrożenia przeglądów dostępu w celu zarządzania cyklem życia dostępu do zasobów
- Konfiguracje tożsamości i dostępu do urządzeń w modelu Zero Trust
- Zabezpieczanie dostępu uprzywilejowanego
Możesz również współpracować z jednym z partnerów ds. usług i integracji firmy Microsoft, aby zaplanować wdrożenie lub zintegrować je z aplikacjami i innymi systemami w danym środowisku.
Jeśli masz jakieś opinie dotyczące funkcji zarządzania tożsamościami, wybierz pozycję Masz opinię? w centrum administracyjnym firmy Microsoft Entra, aby przesłać swoją opinię. Zespół regularnie przegląda Twoją opinię.
Upraszczanie zadań zarządzania tożsamościami przy użyciu automatyzacji
Po rozpoczęciu korzystania z tych funkcji zarządzania tożsamościami można łatwo zautomatyzować typowe scenariusze zarządzania tożsamościami. W poniższej tabeli przedstawiono sposób rozpoczynania pracy z automatyzacją dla każdego scenariusza:
| Scenariusz do automatyzacji | Przewodnik automatyzacji |
|---|---|
| Automatyczne tworzenie, aktualizowanie i usuwanie kont użytkowników usługi AD i firmy Microsoft Entra dla pracowników | Planowanie integracji systemu HR w chmurze z aprowizacją użytkowników w usłudze Microsoft Entra |
| Aktualizowanie członkostwa w grupie na podstawie zmian atrybutów użytkownika członkowskiego | Tworzenie grupy dynamicznej |
| Przypisywanie licencji | licencjonowanie oparte na grupach |
| Dodawanie i usuwanie członkostwa w grupach użytkownika, ról aplikacji i ról witryny programu SharePoint na podstawie zmian atrybutów użytkownika | Konfigurowanie zasad automatycznego przypisywania dla pakietu dostępu w zarządzaniu upoważnieniami |
| Dodawanie i usuwanie członkostw użytkownika w grupach, ról aplikacji i ról witryny SharePoint w określonym dniu | Konfigurowanie ustawień cyklu życia pakietu dostępu w zarządzaniu upoważnieniami |
| Uruchamianie niestandardowych przepływów pracy, gdy użytkownik żąda dostępu, otrzymuje go lub gdy dostęp jest usuwany | Wyzwalanie usługi Logic Apps w zarządzaniu upoważnieniami |
| Regularne przeglądanie członkostw gości w grupach i zespołach Microsoft oraz usuwanie członkostw gości, które zostały odrzucone | Tworzenie przeglądu dostępu |
| Usuwanie kont gości, które zostały odrzucone przez recenzenta | Przeglądanie i usuwanie użytkowników zewnętrznych, którzy nie mają już dostępu do zasobów |
| Usuwanie kont gości, które nie mają przypisań pakietów dostępu | Zarządzanie cyklem życia użytkowników zewnętrznych |
| Zarządzanie dostępem użytkowników do aplikacji lokalnych oraz aplikacji w chmurze, które mają własne katalogi lub bazy danych. | Skonfiguruj automatyczne tworzenie użytkowników z przypisaniami użytkowników lub filtrami zakresu |
| Inne zaplanowane zadania | Automatyzowanie zadań zarządzania tożsamościami za pomocą usług Azure Automation i Microsoft Graph za pośrednictwem modułu Microsoft.Graph.Identity.Governance programu PowerShell |
Zarządzanie tożsamościami dla agentów (wersja zapoznawcza)
Dzięki dodaniu platformy tożsamości agenta firmy Microsoft, zarządzanie tożsamościami i dostępem agentów w taki sam sposób, jak zarządzanie tożsamościami ludzi, jest równie ważne w cyklu zarządzania ładem w organizacji. Aby uzyskać więcej informacji, zobacz Zarządzanie tożsamościami agentów (wersja zapoznawcza).