Справочник по операциям управления удостоверениями и доступом Microsoft Entra

В этом разделе руководства по операциям Microsoft Entra описаны проверка и действия, которые следует учитывать для защиты жизненного цикла удостоверений и их назначений и управления ими.

Примечание.

Эти рекомендации актуальны на дату публикации, но со временем могут измениться. Организации должны постоянно оценивать свои методы идентификации, так как продукты и службы Майкрософт постоянно развиваются.

Ключевые операционные процессы

Назначьте владельцев на ключевые задачи

Для управления идентификатором Записи Майкрософт требуется непрерывное выполнение ключевых операционных задач и процессов, которые не могут быть частью проекта развертывания. Эти задачи по-прежнему важны для поддержания среды. Ключевые задачи и их рекомендуемые владельцы включают в себя следующее:

Задача	Ответственное лицо
Определите процесс создания подписок Azure	Зависит от организации
Решите, кто получит лицензии Enterprise Mobility + Security	Операционная группа управления IAM
Решите, кто получит лицензии Microsoft 365	Команда продуктивности
Решите, кто получит другие лицензии, например Dynamics, Visual Studio Codespaces	Application Owner;
Назначение лицензий	Операционная группа управления IAM
Устранение неполадок и исправление ошибок назначения лицензий	Операционная группа управления IAM
Подготовка удостоверений для приложений в идентификаторе Microsoft Entra	Операционная группа управления IAM

Просматривая свой список, вы можете обнаружить, что вам нужно либо назначить владельца для задач, у которых отсутствует владелец, либо настроить владение для задач с владельцами, которые не соответствуют приведенным выше рекомендациям.

Назначение владельцев рекомендованного чтения

• Назначение ролей администратора в Microsoft Entra ID

Локальная синхронизация удостоверений

Выявление и устранение проблем синхронизации

Майкрософт рекомендует иметь хорошую основу и понимание проблем в вашей локальной среде, которые могут привести к проблемам синхронизации с облаком. Так как автоматизированные средства, такие как IdFix и Microsoft Entra Подключение Работоспособность, могут создавать большое количество ложных срабатываний, рекомендуется выявлять ошибки синхронизации, которые не устранены в течение более чем 100 дней путем очистки этих объектов в ошибке. Долговременные неразрешенные ошибки синхронизации могут привести к возникновению проблем со службой поддержки. Устранение ошибок во время синхронизации дает обзор различных типов ошибок синхронизации, некоторых возможных сценариев, вызывающих эти ошибки, и возможных способов их исправления.

Конфигурация синхронизации Microsoft Entra Подключение

Чтобы включить все гибридные возможности, состояние безопасности на основе устройств и интеграцию с идентификатором Microsoft Entra, необходимо синхронизировать учетные записи пользователей, которые сотрудники используют для входа на настольные компьютеры.

Если вы не синхронизируете вход пользователей леса, вам следует изменить синхронизацию, чтобы она происходила из правильного леса.

Область синхронизации и фильтрация объектов

Удаление известных сегментов объектов, которые не требуется синхронизировать, дает следующие операционные преимущества:

• Меньше источников ошибок синхронизации
• Более быстрые циклы синхронизации
• Меньше "мусора" для переноса из локальной среды, например загрязнения глобального списка адресов для локальных учетных записей служб, которые не актуальны в облаке

Примечание.

Если вы обнаружите, что импортируете много объектов, которые не экспортируются в облако, вам следует выполнить фильтрацию по подразделениям или определенным атрибутам.

Примеры исключаемых объектов:

• Учетные записи служб, которые не используются для облачных приложений
• Группы, которые не предназначены для использования в облачных сценариях, например те, которые используются для предоставления доступа к ресурсам
• Пользователи или контакты, которые являются внешними удостоверениями, которые должны быть представлены в Microsoft Entra Совместная работа B2B
• Учетные записи компьютеров, сотрудники которых не предназначены для доступа к облачным приложениям, например с серверов

Примечание.

Если одно человеческое удостоверение имеет несколько учетных записей, подготовленных в результате чего-то вроде миграции, слияния или приобретения унаследованного домена, вам следует синхронизировать только учетную запись, используемую пользователем на повседневной основе, например то, что они используют для входа в свой компьютер.

В идеале вы хотите достичь баланса между уменьшением количества объектов для синхронизации и сложности в правилах. Как правило, комбинация фильтрации OU/контейнера и простого сопоставления атрибута с атрибутом cloudFiltered является эффективной комбинацией фильтрации.

Важно!

Если вы используете групповую фильтрацию в производственной среде, вам следует перейти на другой подход к фильтрации.

Синхронизация аварийного переключения или аварийного восстановления

Microsoft Entra Подключение играет ключевую роль в процессе подготовки. Если сервер синхронизации выходит в автономный режим по какой-либо причине, изменения в локальной среде не могут быть обновлены в облаке и могут привести к проблемам с доступом для пользователей. Поэтому важно определить стратегию отработки отказа, которая позволяет администраторам быстро возобновить синхронизацию после перехода сервера синхронизации в автономный режим. Такие стратегии можно разделить на следующие категории:

• Развертывание microsoft Entra Подключение Server(s) в промежуточном режиме — позволяет администратору "повысить уровень" промежуточного сервера в рабочую среду с помощью простого коммутатора конфигурации.
• Используйте виртуализацию. Если в виртуальной машине развернута Подключение Microsoft Entra, администраторы могут использовать свой стек виртуализации для динамической миграции или быстрого повторного развертывания виртуальной машины и, следовательно, возобновления синхронизации.

Если вашей организации не хватает стратегии аварийного восстановления и отработки отказа для синхронизации, вам не следует стесняться развертывать Microsoft Entra Подключение в промежуточном режиме. Аналогичным образом, если между рабочей и промежуточной конфигурацией имеется несоответствие, необходимо повторно создать базовый режим Microsoft Entra Подключение промежуточного режима, чтобы соответствовать рабочей конфигурации, включая версии программного обеспечения и конфигурации.

Последние новости

Корпорация Майкрософт регулярно обновляет Microsoft Entra Подключение. Будьте в курсе событий, чтобы воспользоваться преимуществами повышения производительности, исправления ошибок и новых возможностей, которые предоставляет каждая новая версия.

Если версия Microsoft Entra Подключение превышает шесть месяцев, необходимо обновить до последней версии.

Привязка к источнику

Использование ms-DS-consistencyguid в качестве привязки к источнику позволяет упростить миграцию объектов между лесами и доменами, что является обычным делом при консолидации/очистке доменов AD, слияниях, поглощениях и разделениях.

Если вы в настоящее время используете ObjectGuid в качестве привязки к источнику, мы рекомендуем вам переключиться на использование ms-DS-ConsistencyGuid.

Настраиваемые правила

Microsoft Entra Подключение пользовательские правила обеспечивают возможность управления потоком атрибутов между локальными объектами и облачными объектами. Однако чрезмерное или неправильное использование пользовательских правил может привести к следующим рискам:

• Сложность устранения неполадок
• Снижение производительности при выполнении сложных операций над объектами
• Более высокая вероятность расхождения конфигурации между производственным сервером и промежуточным сервером
• Дополнительные затраты при обновлении Microsoft Entra Подключение, если пользовательские правила создаются в пределах приоритета больше 100 (используется встроенными правилами)

Если вы используете слишком сложные правила, следует изучить причины сложности и найти возможности для упрощения. Аналогичным образом, если вы создали настраиваемые правила со значением приоритета более 100, вы должны исправить правила, чтобы они не подвергались риску и не конфликтовали с набором по умолчанию.

Примеры неправильного использования пользовательских правил:

• Компенсировать грязное данные в каталоге. В этом случае рекомендуется работать с владельцами команды AD и очищать данные в каталоге в качестве задачи исправления и настраивать процессы, чтобы избежать повторного введения плохих данных.
• Одноразовая исправление отдельных пользователей — обычно часто можно найти правила, которые изливает особый случай, как правило, из-за проблемы с конкретным пользователем.
• Чрезмерно усложненный "CloudFiltering" — при снижении количества объектов рекомендуется создавать и чрезмерно усложнять синхронизацию область с помощью многих правил синхронизации. Если существует сложная логика включения и исключения объектов за пределами фильтрации подразделений, рекомендуется справиться с этой логикой вне синхронизации и пометить объекты простым атрибутом CloudFiltered, который может выполняться с помощью простого правила синхронизации.

Документатор конфигурации Microsoft Entra Подключение

Microsoft Entra Подключение Configuration Documenter — это средство, которое можно использовать для создания документации по установке Microsoft Entra Подключение, чтобы лучше понять конфигурацию синхронизации, обеспечить уверенность в том, что было правильно, и знать, что было изменено при применении новой сборки или конфигурации Microsoft Entra Подключение или добавлены или обновлены пользовательские правила синхронизации. Текущие возможности инструмента включают:

• Документация по полной конфигурации Microsoft Entra Подключение Sync.
• Документация по любым изменениям в конфигурации двух серверов синхронизации Microsoft Entra Подключение или изменений из заданной базовой конфигурации.
• Создание сценария развертывания PowerShell для переноса различий в правилах синхронизации или настроек с одного сервера на другой.

Назначение приложениям и ресурсам

Групповое лицензирование облачных сервисов Майкрософт

Идентификатор Microsoft Entra упрощает управление лицензиями с помощью группового лицензирования для облачных служб Майкрософт. Таким образом, IAM предоставляет инфраструктуру группы и делегирует управление этими группами соответствующим командам в организациях. Существует несколько способов настройки членства в группах в идентификаторе Microsoft Entra ID, в том числе:

• Синхронизация из локальной сети — группы могут поступать из локальных каталогов, что может подойти организациям, установившим процессы управления группами, которые можно расширить для назначения лицензий в Microsoft 365.

• На основе атрибутов/динамический — группы могут быть созданы в облаке на основе выражения, основанного на пользовательских атрибутах, например: "Отдел" равно "продажам". Идентификатор Microsoft Entra поддерживает члены группы, сохраняя его в соответствии с определенным выражением. Использование такой группы для назначения лицензий позволяет назначать лицензии на основе атрибутов, что хорошо подходит для организаций, у которых в каталоге есть данные высокого качества.

• Делегированное владение — группы могут быть созданы в облаке и назначены владельцами. Таким образом, вы можете дать возможность владельцам бизнеса, например команде совместной работы или группе бизнес-аналитики, определять, кто должен иметь доступ.

Если вы используете ручной процесс для назначения лицензий и компонентов пользователям, рекомендуется реализовать групповое лицензирование. Если текущий процесс не отслеживает ошибки лицензирования или то, что назначено и доступно, необходимо определить улучшения процесса, чтобы устранить ошибки лицензирования и отслеживать назначение лицензирования.

Другой аспект управления лицензиями — определение планов обслуживания (компонентов лицензии), которые должны быть включены в зависимости от должностных функций в организации. Предоставление доступа к планам обслуживания, которые не нужны, может привести к тому, что пользователи видят средства на портале Office, для которых они не были обучены или не должны использоваться. Это может вызвать дополнительный объем службы поддержки, ненужную подготовку и поставить под угрозу соблюдение нормативных требований и управление, например при предоставлении OneDrive для бизнеса лицам, которым может быть запрещено обмениваться контентом.

Используйте следующие рекомендации для определения планов обслуживания для пользователей.

• Администраторы должны определить "пакеты" планов обслуживания, которые будут предлагаться пользователям, в зависимости от их роли, например "белый воротничок" или "напольный работник".
• Создайте группы по кластеру и назначьте лицензию с тарифным планом.
• При желании можно определить атрибут для хранения пакетов для пользователей.

Важно!

Групповое лицензирование в идентификаторе Microsoft Entra представляет концепцию пользователей в состоянии ошибки лицензирования. Если вы заметили какие-либо ошибки лицензирования, вам следует немедленно выявить и решить любые проблемы с назначением лицензий.

Управление жизненным циклом

Если вы используете средство, например Microsoft Identity Manager или стороннюю систему, которая использует локальную инфраструктуру, рекомендуется выгрузить назначение из существующего средства, реализовать лицензирование на основе групп и определить управление жизненным циклом группы на основе групп. Аналогичным образом, если ваш существующий процесс не учитывает новых сотрудников или сотрудников, покидающих организацию, вам следует развернуть групповое лицензирование на основе динамических групп и определить жизненный цикл членства в группе. Наконец, если групповое лицензирование развертывается для локальных групп, в которых отсутствует управление жизненным циклом, рассмотрите возможность использования облачных групп для включения таких возможностей, как делегирование владения или динамическое членство на основе атрибутов.

Отнесение приложений к группе "Все пользователи"

Владельцы ресурсов могут полагать, что группа Все пользователи содержит только корпоративных сотрудников, хотя в действительности они могут включать как корпоративных сотрудников, так и гостей. В результате вам следует проявлять особую осторожность при использовании группы Все пользователи для назначения приложений и предоставления доступа к таким ресурсам, как контент или приложения SharePoint.

Важно!

Если группа "Все пользователи" включена и используется для политик условного доступа, приложений или назначений ресурсов, убедитесь, что группа не требует включения гостевых пользователей. Кроме того, вам следует исправить свои назначения лицензий, создав и назначив группы, которые содержат только корпоративных сотрудников. С другой стороны, если вы обнаружите, что группа Все пользователи включена, но не используется для предоставления доступа к ресурсам, убедитесь, что операционное руководство вашей организации предполагает намеренное использование этой группы (в которую входят как корпоративные сотрудники, так и гости).

Автоматическая подготовка пользователей в приложениях

Автоматическая подготовка пользователей для приложений — лучший способ создания согласованной подготовки, отмены подготовки и жизненного цикла удостоверений в нескольких системах.

Если вы в настоящее время подготавливаете приложения в нерегламентированном режиме или используете такие вещи, как CSV-файлы, JIT или локальное решение, которое не отвечает управлению жизненным циклом, рекомендуется реализовать подготовку приложений с помощью идентификатора Microsoft Entra для поддерживаемых приложений и определить согласованный шаблон для приложений, которые еще не поддерживаются идентификатором Microsoft Entra.

Базовые показатели цикла разностной синхронизации Microsoft Entra Подключение

Важно понимать объем изменений в организации и убедиться, что это не занимает слишком много времени, чтобы обеспечить прогнозируемое время синхронизации.

Частота по умолчанию дельта-синхронизации составляет 30 минут. Если разностная синхронизация занимает более 30 минут или существует значительное несоответствие между производительностью промежуточной и рабочей синхронизации, следует изучить и проверить факторы, влияющие на производительность Microsoft Entra Подключение.

Рекомендации по устранению неполадок в Microsoft Entra Подключение

• Подготовьте атрибуты каталога для синхронизации с Microsoft 365 с помощью инструмента IdFix
• Microsoft Entra Подключение: устранение ошибок во время синхронизации

Итоги

Есть пять аспектов безопасной инфраструктуры идентификации. Этот список поможет вам быстро найти и предпринять необходимые действия для защиты и управления жизненным циклом удостоверений и их прав в вашей организации.

• Назначьте владельцев на ключевые задачи.
• Найдите и устраните проблемы с синхронизацией.
• Определите стратегию аварийного переключения для аварийного восстановления.
• Оптимизируйте управление лицензиями и назначением приложений.
• Автоматизируйте синхронизацию пользователей с приложениями.

Следующие шаги

Начните с проверок и действий управления аутентификацией.