Что такое Управление идентификацией Microsoft Entra?
Управление идентификацией Microsoft Entra — это решение для управления удостоверениями, позволяющее организациям повысить производительность, укрепить безопасность и упростить соответствие требованиям и нормативным требованиям. Вы можете использовать Управление идентификацией Microsoft Entra для автоматического обеспечения правильности доступа к правильным ресурсам, с автоматизацией идентификации и доступом к процессам, делегированием бизнес-групп и повышением видимости. С помощью функций, включенных в Управление идентификацией Microsoft Entra, а также связанных продуктов Microsoft Entra, Microsoft Security и Microsoft Azure, вы можете снизить риски идентификации и доступа, защищая, отслеживая и проверяя доступ к критически важным ресурсам.
В частности, Управление идентификацией Microsoft Entra помогает организациям решать эти четыре ключевых вопроса для доступа к службам и приложениям как в локальной среде, так и в облаках:
- Какие пользователи и к каким ресурсам должны иметь доступ?
- Как эти пользователи применяют этот доступ?
- Существуют ли организационные элементы управления доступом?
- Могут ли аудиторы проверить, работает ли контроль эффективно?
С помощью Управление идентификацией Microsoft Entra можно реализовать следующие сценарии для сотрудников, деловых партнеров и поставщиков:
- Управление жизненным циклом удостоверений
- Управление жизненным циклом доступа
- обеспечение безопасного привилегированного доступа для администрирования.
Жизненный цикл удостоверений
Служба Identity Governance помогает организациям найти нужный баланс между показателями производительности (скорость, с которой сотрудник получает доступ к нужным ресурсам, например при начале работы в организации) и безопасности (динамика изменения уровня доступа со временем, например при изменении роли пользователя в организации). Управление жизненным циклом удостоверений — базовый процесс службы Identity Governance. Чтобы обеспечить эффективность управления в масштабе всей организации, необходимо модернизировать инфраструктуру управления жизненным циклом удостоверений для приложений.
Для многих организаций жизненный цикл идентификации для сотрудников и других работников связан с представлением этого человека в HCM (управление персоналом) или системе кадров. Организациям необходимо автоматизировать процесс создания удостоверения для нового сотрудника, основанного на сигнале от этой системы, чтобы сотрудник был продуктивным в день 1. И организациям необходимо обеспечить удаление удостоверений и доступа, когда сотрудник покидает организацию.
В Управление идентификацией Microsoft Entra можно автоматизировать жизненный цикл удостоверений для этих пользователей с помощью следующих пользователей:
- Входящий трафик подготовки из источников кадров вашей организации, включая получение из Workday и SuccessFactors, для автоматического поддержания удостоверений пользователей в Active Directory и Идентификаторе Microsoft Entra.
- Рабочие процессы жизненного цикла для автоматизации задач рабочих процессов, выполняемых на определенных ключевых событиях, таких как новый сотрудник планирует начать работу в организации, так как они изменяют состояние во время их работы в организации, и по мере того, как они покидают организацию. Например, рабочий процесс можно настроить для отправки электронной почты с временным доступом к руководителю нового пользователя или приветственному сообщению электронной почты пользователю в первый день.
- Политики автоматического назначения в управлении правами для добавления и удаления членства в группах пользователя, ролей приложений и ролей сайта SharePoint на основе изменений атрибутов пользователя.
- Подготовка пользователей для создания, обновления и удаления учетных записей пользователей в других приложениях с соединителями для сотен облачных и локальных приложений через SCIM, LDAP и SQL.
Организации также нуждаются в дополнительных удостоверениях для партнеров, поставщиков и других гостей, чтобы они могли сотрудничать или иметь доступ к ресурсам.
В Управление идентификацией Microsoft Entra можно включить бизнес-группы, чтобы определить, какие из этих гостей должны иметь доступ, и сколько времени используется:
- Управление правами, в котором можно указать другие организации, пользователи которых могут запрашивать доступ к ресурсам организации. Когда один из этих пользователей утверждается, они автоматически добавляются управлением правами в качестве гостя B2B в каталог вашей организации и назначают соответствующий доступ. А управление правами автоматически удаляет гостевого пользователя B2B из каталога вашей организации при истечении срока действия или отмене прав доступа.
- проверки доступа, автоматизирующие повторяющиеся проверки существующих гостей, уже имеющихся в каталоге вашей организации, и удаляет этих пользователей из каталога вашей организации, когда им больше не нужен доступ.
Дополнительные сведения см. в разделе "Что такое управление жизненным циклом удостоверений".
Жизненный цикл доступа
Организациям требуется использовать определенный процесс для управления доступом после первоначальной подготовки при создании удостоверения пользователя. Более того, им важно иметь возможность эффективного масштабирования для разработки и применения политик доступа и элементов управления в непрерывном цикле.
С помощью Управление идентификацией Microsoft Entra ИТ-отделы могут установить, какие права доступа должны иметь пользователи между различными ресурсами, и какие проверка принудительного применения, такие как разделение обязанностей или удаление доступа при изменении задания. Идентификатор Microsoft Entra имеет соединители для сотен облачных и локальных приложений, и вы можете интегрировать другие приложения вашей организации, использующие группы AD, другие локальные каталоги или базы данных, имеющие SOAP или REST API, включая SAP, или реализующие такие стандарты, как SCIM, SAML или OpenID Подключение. Когда пользователь пытается войти в одно из этих приложений, идентификатор Microsoft Entra применяет политики условного доступа . Например, в политики условного доступа можно включить отображение условий использования и получение согласия пользователя на эти условия перед предоставлением доступа к приложению. Дополнительные сведения см. в статье об управлении доступом к приложениям в вашей среде, включая определение политик организации для управления доступом к приложениям, интеграции приложений и развертыванию политик.
Доступ к изменениям между приложениями и группами можно автоматизировать на основе изменений атрибутов. Рабочие процессы жизненного цикла Microsoft Entra и управление правами Microsoft Entra автоматически добавляют и удаляют пользователей в группы или пакеты доступа, чтобы доступ к приложениям и ресурсам обновлялся. Пользователи также могут быть перемещены, когда их условия в организации изменяются в разных группах и могут быть полностью удалены из всех групп или пакетов доступа.
Организации, которые ранее использовали локальный продукт управления удостоверениями, могут перенести свою модель ролей организации в Управление идентификацией Microsoft Entra.
Кроме того, ИТ-подразделение может делегировать решения по управлению доступом лицам, принимающим бизнес-решения. Например, сотрудники, желающие получить доступ к конфиденциальным данным клиентов в маркетинговом приложении компании в Европе, могут потребовать одобрения от своего руководителя, руководителя отдела или владельца ресурсов и сотрудника по вопросам безопасности. Управление правами позволяет определить, как пользователи запрашивают доступ между пакетами членства в группах и командах, ролей приложений и SharePoint Online, а также принудительное разделение обязанностей проверка на запросы доступа.
Организации также могут контролировать доступ гостевых пользователей, включая локальные приложения. Затем эти права доступа можно регулярно проверять с помощью повторяющихся проверок доступа Microsoft Entra для повторной сертификации доступа.
Жизненный цикл привилегированного доступа
Управление привилегированным доступом является ключевой частью современной системы управления удостоверениями, особенно учитывая потенциал неправильного использования, связанного с правами администратора, может привести к организации. Сотрудники, поставщики и подрядчики, которые принимают права администратора, должны иметь свои учетные записи и права привилегированного доступа.
Microsoft Entra управление привилегированными пользователями (PIM) предоставляет дополнительные элементы управления, предназначенные для защиты прав доступа к ресурсам в Microsoft Entra, Azure, других веб-службах Майкрософт и других приложениях. JIT-доступ и возможности генерации оповещений об изменении ролей, предоставляемые Microsoft Entra PIM, в дополнение к многофакторной проверке подлинности и условному доступу, предоставляют полный набор элементов управления для защиты ресурсов организации (роли каталогов, роли каталогов, роли Microsoft 365, роли ресурсов Azure и членство в группах). Как и в других формах доступа, организации могут использовать проверки доступа для настройки повторной сертификации повторяющегося доступа для всех пользователей в привилегированных ролях администратора.
Требования к лицензиям
Для использования этой функции требуются лицензии Управление идентификацией Microsoft Entra. Чтобы найти подходящую лицензию для ваших требований, см. Управление идентификацией Microsoft Entra основы лицензирования.
Начало работы
Ознакомьтесь с предварительными условиями перед настройкой идентификатора Microsoft Entra для управления удостоверениями. Затем перейдите на панель мониторинга управления в Центре администрирования Microsoft Entra, чтобы начать использовать управление правами, проверки доступа, рабочие процессы жизненного цикла и управление привилегированными пользователями.
Существуют также руководства по управлению доступом к ресурсам в управлении правами, подключение внешних пользователей к идентификатору Microsoft Entra с помощью процесса утверждения, управление доступом к приложениям и существующим пользователям приложения.
Хотя у каждой организации могут быть собственные уникальные требования, следующие руководства по настройке также предоставляют базовые политики, которые корпорация Майкрософт рекомендует соблюдать, чтобы обеспечить более безопасную и продуктивную рабочую силу.
- Планирование развертывания проверок доступа для управления жизненным циклом доступа к ресурсам
- Конфигурации доступа к удостоверению и устройству нулевого доверия
- Защита привилегированного доступа
Вы также можете взаимодействовать с одним из служб Майкрософт и партнеров по интеграции для планирования развертывания или интеграции с приложениями и другими системами в вашей среде.
Если у вас есть отзывы о функциях управления удостоверениями, выберите "Получить отзыв" в Центре администрирования Microsoft Entra, чтобы отправить свой отзыв. Наши специалисты регулярно проверяют ваши отзывы.
Упрощение задач управления идентификатором с помощью автоматизации
Начав использовать эти функции управления идентификатором, вы сможете легко автоматизировать распространенные сценарии управления идентификатором. В следующей таблице показано, как приступить к работе с автоматизацией для каждого сценария:
| Сценарий для автоматизации | Руководство по автоматизации |
|---|---|
| Автоматическое создание, обновление и удаление учетных записей пользователей AD и Microsoft Entra для сотрудников | Планирование облачной подготовки кадров в Microsoft Entra |
| Обновление членства в группе на основе изменений атрибутов зарегистрированного пользователя | Создание динамической группы |
| Назначение лицензий | Групповое лицензирование |
| Добавление и удаление членства пользователя в группах, ролей приложений и ролей сайта SharePoint на основе изменений атрибутов пользователя | Настройка политики автоматического назначения для пакета доступа в управлении правами |
| Добавление и удаление членства пользователя в группах, ролей приложений и ролей сайта SharePoint в определенную дату | Настройка параметров жизненного цикла для пакета для доступа в управлении правами |
| Запуск настраиваемых рабочих процессов, когда пользователь запрашивает доступ, получает его или доступ удаляется | Активация Logic Apps в управлении правами |
| Регулярная проверка членства гостей в группах Microsoft и Teams и удаление отклоненных гостевых членств | Создание проверки доступа |
| Удаление гостевых учетных записей, которые были отклонены рецензентом | Проверка и удаление внешних пользователей, у которых больше нет доступа к ресурсам |
| Удаление гостевых учетных записей, у которых нет назначений пакета для доступа | Управление жизненным циклом внешних пользователей |
| Подготовка пользователей к работе в локальных и облачных приложениях, имеющих собственные каталоги или базы данных | Настройка автоматической подготовки пользователей к работе с помощью назначений пользователей или фильтров масштабирования |
| Другие запланированные задачи | Автоматизация задач управления идентификатором с помощью службы автоматизации Azure и Microsoft Graph с использованием модуля PowerShell Microsoft.Graph.Identity.Governance |
Приложение — роли с минимально необходимыми привилегиями для управления возможностями Identity Governance
Мы рекомендуем использовать роль с наименьшим уровнем привилегий для выполнения задач администрирования в службе Identity Governance. Рекомендуется использовать Microsoft Entra PIM для активации роли по мере необходимости для выполнения этих задач. Ниже перечислены роли каталога с минимально необходимыми привилегиями для настройки функций Identity Governance.
| Функция | Наименее привилегированная роль |
|---|---|
| Управление правами | Администратор управления удостоверениями |
| Проверки доступа | Пользователь Администратор istrator (за исключением проверок доступа ролей Azure или Microsoft Entra, для которых требуется привилегированная роль Администратор istrator) |
| Управление привилегированными пользователями | Администратор привилегированных ролей |
| Условия использования | Администратор безопасности или администратор условного доступа |
Примечание.
Роль с минимальными привилегиями для управлениями правами изменена с роли "Администратор пользователей" на роль "Администратор управления удостоверениями".