Разработка управления удостоверениями

  • Статья

Управление удостоверениями — это управление правами на идентификацию и доступ в нескольких приложениях и службах в соответствии с требованиями безопасности и нормативными требованиями. Управление удостоверениями в Microsoft Entra ID позволяет сбалансировать безопасность и производительность, обеспечивая правильный доступ к нужным ресурсам в нужное время.

Управление удостоверениями позволяет управлять следующими задачами для служб и приложений как локально, так и в облаке:

  • Управление жизненным циклом удостоверения. Автоматизация событий жизненного цикла пользователя, таких как добавление, перемещение и выход, в соответствии с требованиями к безопасности и производительности.

  • Управление жизненным циклом доступа. Быстрое управление изменениями прав доступа с помощью запросов самообслуживания и мониторинга событий жизненного цикла.

  • Безопасный привилегированный доступ для администрирования. Управляйте доступом к привилегированным ресурсам, чтобы снизить риск чрезмерного, ненужного или неправильного использования прав.

Жизненный цикл удостоверения

Если организация образования охватывает несколько Microsoft Entra арендаторов, у вас будут внутренние удостоверения, такие как преподаватели и учащиеся, и внешние удостоверения, например сотрудники из других учебных заведений.

  • Внутренние удостоверения — это удостоверения, созданные в клиенте, который вы сейчас управляете.
  • Внешние удостоверения создаются за пределами текущего клиента и предоставляются доступ. Их можно добавить с помощью Microsoft Entra совместной работы B2B.

Управление жизненным циклом удостоверений помогает создать основу для управления удостоверениями. Вам потребуется управлять сроком существования внутренних и внешних удостоверений, а также их связями с ресурсами.

Каждый пользователь в организации имеет собственное подмножество ресурсов, необходимых для своей работы. Без определенного списка потребностей каждой роли для каждого проекта управление доступом будет сложной задачей. Когда внутренние или внешние удостоверения присоединяются, перемещаются в организацию или покидают ее, их удостоверения и доступ к ресурсам должны корректироваться вместе с ними. Автоматическая подготовка пользователей в Microsoft Entra ID может помочь решить эту проблему, упрощая создание, обслуживание и окончательное удаление удостоверений пользователей в приложениях для улучшения совместной работы.

Предоставление пользователя

Традиционные методы подготовки, такие как отправка CSV-файлов или пользовательских скриптов для синхронизации данных пользователей, подвержены ошибкам, небезопасны и трудно управлять.

Понятие "автоматическая подготовка" относится к созданию удостоверений и ролей пользователей в облачных приложениях, к которым пользователям требуется доступ. Помимо создания удостоверений пользователей, автоматическая подготовка включает их обслуживание и удаление при изменении статуса или роли пользователей.

Рекомендуется, чтобы крупные образовательные организации использовали автоматизированную службу подготовки пользователей Microsoft Entra. Эта служба обеспечивает интеграцию с облачными приложениями для управления персоналом(HR), такими как Workday и SuccessFactors, и позволяет воспользоваться следующими преимуществами:

  • Обеспечивает максимальную эффективность и точность процессов подготовки

  • Экономия затрат, связанных с размещением и обслуживанием пользовательских решений и сценариев подготовки.

  • Обеспечивает безопасность организации путем мгновенного удаления удостоверений пользователей из ключевых приложений SaaS при выходе из организации

  • Легко подготавливает большое количество пользователей к определенному приложению или системе SaaS.

  • Согласованные политики, определяющие, кто подготовлен и кто может войти в приложение

Подготовка входящих пользователей

Подготовка входящих пользователей — это процесс, когда пользовательские данные передаются из приложений управления человеческим капиталом (HCM) организации в Microsoft Entra ID или локальная служба Active Directory. Интеграция возможна, если приложение HCM поддерживает протокол SCIM. Интеграция также возможна с облачными системами HCM, которые предоставляют соединители API подготовки.

Подготовка входящих пользователей.

Дополнительные сведения см. в статье Планирование облачного приложения отдела кадров для Microsoft Entra подготовки пользователей.

Подготовка исходящих пользователей

Подготовка исходящих пользователей или подготовка приложений относится к автоматическому созданию удостоверений и ролей пользователей в облачных приложениях SaaS (программное обеспечение как услуга), к которым пользователи должны получить доступ. Подготовка приложений доступна для предварительно интегрированных приложений в коллекции приложений SaaS Microsoft Entra) и приложений, поддерживающих SCIM 2.0.

Подготовка исходящих пользователей.

Дополнительные сведения см. в статье Планирование развертывания автоматической подготовки пользователей.

Жизненный цикл доступа

Вашей организации EDU потребуется процесс управления доступом после первоначального создания и подготовки. В идеале вы также должны иметь возможность эффективно масштабироваться, чтобы разрабатывать и применять политику доступа и элементы управления на постоянной основе.

Самостоятельное управление группами

По возможности используйте самостоятельное управление группами , чтобы воспользоваться следующими преимуществами:

Безопасность. Администраторы могут задавать правила для групп, созданных в Microsoft Entra ID на основе атрибутов пользователей. Это позволяет автоматически добавлять участников в группу безопасности или удалять их из нее. Эти динамические группы можно использовать для предоставления доступа к приложениям или облачным ресурсам и назначения лицензий участникам. Политики условного доступа могут дополнительно повысить безопасность, гарантируя, что к приложению обращаются законные пользователи. Например, можно выбрать группу, содержащую всех членов отдела кадров, если в качестве облачного приложения выбрано приложение отдела кадров.

Экономичное. Сокращает затраты, время и рабочую нагрузку на ИТ-поддержку за счет самостоятельного членства в группах. Функция самостоятельного управления группами позволяет делегировать управление группами пользователям. С помощью этой функции они могут создавать группы и управлять членством в группах, которыми они владеют.

Самообслуживание. Делегирует управление группами пользователям. Возможности самостоятельного управления группами позволяют пользователям создавать группы и управлять членством в группах, которыми они владеют. Затем эти группы можно использовать для назначения доступа к приложениям. Например, если вы хотите назначить для преподавателей доступ для использования пяти различных приложений SaaS, можно создать группу, содержащую пользователей в отделе преподавателей, а затем назначить эту группу пяти приложениям SaaS, необходимым отделу преподавателей.

Подробные сведения о самостоятельном управлении группами см. в техническом документе по управлению группами Microsoft Entra Self-Service.

Управление правами

Управление доступом пользователей к ресурсам в больших EDU является сложной задачей, тем более если у вас есть сочетание внутренних и внешних пользователей в разных клиентах. Управление правами позволяет пользователям, включая гостей, запрашивать доступ к пакету доступа, предоставляя доступ между группами, приложениями и сайтами SharePoint. Она также позволяет управлять жизненным циклом удостоверений и доступа в большом масштабе путем автоматизации рабочих процессов запросов на доступ, назначений доступа, проверок и истечения срока действия.

Ниже приведены типы ресурсов, к которым можно управлять доступом пользователей с помощью управления правами:

  • Членство в группах безопасности Microsoft Entra

  • Членство в Группы Microsoft 365 и Teams

  • Назначение Microsoft Entra корпоративным приложениям, включая приложения SaaS и настраиваемые интегрированные приложения, поддерживающие федерацию, единый вход и (или) подготовку.

  • Членство на сайтах SharePoint Online

Пакеты доступа

Управление правами позволяет определить пакеты доступа, представляющие набор ресурсов, назначенных пользователям в качестве единицы, установить срок действия, рабочие процессы утверждения и т. д. Пакеты доступа позволяют выполнять однократную настройку ресурсов и политик, которые автоматически администрируют доступ на протяжении всего срока действия пакета доступа.

Пакеты доступа должны быть помещены в контейнер, называемый каталогом. Каталог определяет, какие ресурсы можно добавить в пакет для доступа. Каталоги используются для делегирования, чтобы пользователи, не являющиеся администраторами, могли создавать собственные пакеты доступа. Владельцы каталога могут добавлять в каталог принадлежащие им ресурсы.

Как образовательной организации следует рассмотреть возможность создания каталога для каждого учебного заведения и пакета доступа для каждого класса, содержащего политики и права доступа к ресурсам, характерным для этого класса. Когда учащиеся переходят в следующий класс или преподаватели переходят в другой класс, они могут запросить доступ к пакету доступа для новой оценки, пока срок действия доступа, связанный с их прежним классом, истечет.

Пакеты доступа также должны иметь хотя бы одну политику. Политики указывают, кто может запрашивать пакет доступа, а также параметры утверждения и жизненного цикла. Мы рекомендуем использовать управление правами, чтобы делегировать неадминистраторам возможность создавать пакеты доступа и определять политики с правилами, для которых могут запрашиваться пользователи, которые должны утвердить свой доступ и по истечении срока действия доступа.

Пакеты доступа наиболее подходят в следующих ситуациях:

  • Пользователям требуется ограниченный по времени доступ для конкретной задачи. Например, можно использовать групповое лицензирование и динамическую группу, чтобы убедиться, что у всех сотрудников есть Exchange Online почтовый ящик, а затем использовать пакеты доступа для ситуаций, в которых пользователям требуется дополнительный доступ, например для чтения ресурсов отдела из другого отдела.

  • Доступ должен быть утвержден руководителем пользователя или другими назначенными лицами.

  • Отделы хотят управлять собственными политиками доступа для своих ресурсов без участия ИТ-специалистов.

  • Два или более школ сотрудничают над проектом, и в результате несколько пользователей из одного учебного заведения должны быть привлечены через Microsoft Entra B2B для доступа к ресурсам другого учебного заведения.

Дополнительные сведения см. в статье Создание нового пакета доступа в Microsoft Entra управлении правами.

Требования лицензирования

Для использования пакетов доступа требуется лицензия Microsoft Entra ID P2 и требуется для:

  • Пользователи-участники, которые могут запрашивать пакет доступа.

  • Пользователи-члены и гостевые пользователи, запрашивающие пакет доступа.

  • Пользователи-члены и гостевые пользователи, утверждающие запросы на доступ к пакету.

  • Участники и гостевые пользователи, которым назначено прямое назначение пакета доступа.

лицензии Microsoft Entra ID P2 не требуются для выполнения следующих задач:

  • Пользователи с ролью глобального администратора, которые настраивают начальные каталоги, пакеты доступа и политики, а также делегировать административные задачи другим пользователям.

  • Пользователям, которым были делегированы административные задачи, такие как создание каталога, владелец каталога и диспетчер пакетов доступа.

  • Гости, которые могут запрашивать пакеты доступа, но не запрашивают пакет для доступа.

Примечание.

Для каждой платной лицензии Microsoft Entra ID P2, приобретенной для пользователей-участников, можно использовать Microsoft Entra B2B, чтобы пригласить до 5 гостевых пользователей. Эти гостевые пользователи также могут использовать функции Microsoft Entra ID P2. Дополнительные сведения см. в Microsoft Entra руководстве по лицензированию совместной работы B2B.

Проверки доступа

После подключения пользователей вам потребуется процесс, позволяющий пользователям изменять доступ по мере изменения их потребностей с течением времени.

Примите во внимание следующее.

  • Как при присоединении новых пользователей обеспечить им правильный доступ для продуктивной работы?

  • Как люди перемещают команды или покидают школу, как убедиться, что их старый доступ будет удален, особенно если он включает гостей?

  • Чрезмерные права доступа могут привести к результатам аудита и компрометации, так как они указывают на отсутствие контроля над доступом.

  • Необходимо заблаговременно взаимодействовать с владельцами ресурсов, чтобы они регулярно проверяли, у кого есть доступ к их ресурсам.

Мы рекомендуем использовать Microsoft Entra проверки доступа для эффективного управления членством в группах, доступом к приложениям и назначениями ролей. Доступ пользователей должен регулярно проверяться, чтобы убедиться, что только нужные люди имеют постоянный доступ.

Требования лицензирования

Для использования проверок доступа требуется лицензия Microsoft Entra ID P2 и для:

  • Участники и гостевые пользователи, назначенные в качестве рецензентов.

  • Участники и гостевые пользователи, выполняющие самостоятельную проверку.

  • Владельцы групп, выполняющие проверку доступа.

  • Владельцы приложений, выполняющие проверку доступа.

Microsoft Entra ID лицензии P2 не требуются для пользователей с ролями глобального администратора или администратора пользователей, которые настраивают проверки доступа, настраивают параметры или применяют решения из проверок.

Для каждой платной лицензии Microsoft Entra ID P2, которую вы назначаете одному из пользователей вашей организации, вы можете использовать Microsoft Entra бизнес-бизнес (B2B), чтобы пригласить до пяти гостевых пользователей в соответствии с квотой на внешних пользователей. Эти гостевые пользователи также могут использовать функции Microsoft Entra ID P2. Дополнительные сведения см. в Microsoft Entra руководстве по лицензированию совместной работы B2B.

Привилегированный доступ

Другим ключевым жизненным циклом управления удостоверениями является привилегированный доступ пользователей. Минимизация числа пользователей с доступом к конфиденциальным ресурсам помогает поддерживать общую безопасную среду, но все еще есть пользователи, которым нужны права администратора. Управляйте доступом администраторов, чтобы снизить риск чрезмерного, ненужного или неправильного использования прав доступа, независимо от того, из вашего учебного заведения или другого учебного заведения.

Служба Privileged Identity Management

Microsoft Entra управление привилегированными пользователями (PIM) обеспечивает активацию роли на основе времени и утверждения, чтобы снизить риски чрезмерного, ненужного или неправильного доступа к ресурсам в Microsoft Entra ID, Azure и другие веб-службы Майкрософт, такие как Microsoft 365 или Microsoft Intune. Он используется для защиты привилегированных учетных записей путем снижения времени раскрытия привилегий и повышения видимости их использования с помощью отчетов и оповещений.

Ниже приведены некоторые ключевые функции управление привилегированными пользователями.

  • Предоставление JIT-привилегированного доступа к ресурсам Microsoft Entra ID и Azure

  • Назначение ограниченного по времени доступа к ресурсам с помощью дат начала и окончания

  • Требовать утверждения для активации привилегированных ролей

  • Принудительное применение многофакторной проверки подлинности для активации любой роли

  • Используйте обоснование, чтобы понять, почему пользователи активируют

  • Получение уведомлений при активации привилегированных ролей

  • Проведение проверок доступа, чтобы убедиться, что пользователям по-прежнему нужны роли

  • Скачивание журнала аудита для внутреннего или внешнего аудита

Мы рекомендуем использовать PIM для управления ими в организации:

  • Включение утверждения для определенных ролей

  • Указание утверждающих пользователей или групп для утверждения запросов

  • Просмотр журнала запросов и утверждений для всех привилегированных ролей

  • Утверждение или отклонение запросов на повышение ролей (одиночный и массовый)

  • Предоставление обоснования для утверждения или отклонения

  • Запрос активации роли, требующей утверждения

Требования лицензирования

Для использования PIM требуется лицензия Microsoft Entra ID P2 и требуется для:

  • Пользователи, которым назначены права на Microsoft Entra ID или роли Azure, управляемые с помощью PIM.

  • Пользователи, которым назначены соответствующие члены или владельцы групп привилегированного доступа.

  • Пользователи могут утверждать или отклонять запросы на активацию в PIM.

  • Пользователи, назначенные проверке доступа.

  • Пользователи, выполняющие проверки доступа.