Прочитать на английском

Описание Управление идентификацией Microsoft Entra

XP: 100
  • 4 мин

Управление идентификацией Microsoft Entra позволяет сбалансировать потребности организации в обеспечении безопасности и производительности сотрудников с правильными процессами и видимостью. По мере изменения ролей сотрудников в организации можно использовать Управление идентификацией Microsoft Entra для автоматического обеспечения правильного доступа пользователей к нужным ресурсам, а также автоматизации процессов идентификации и доступа, делегирования бизнес-группам и повышения видимости.

Управление идентификаторами позволяет организациям выполнять следующие задачи:

  • управление жизненным циклом удостоверений;
  • управление жизненным циклом доступа;
  • обеспечение безопасного привилегированного доступа для администрирования.

Эти действия могут выполняться для сотрудников, бизнес-партнеров и поставщиков, а также между службами и приложениями как локально, так и в облаке.

Это поможет организациям ответить на следующие четыре ключевых вопроса:

  • Какие пользователи и к каким ресурсам должны иметь доступ?
  • Как эти пользователи применяют этот доступ?
  • Есть ли эффективные средства управления доступом на корпоративном уровне?
  • Могут ли аудиторы убедиться, что эти средства работают правильно?

Жизненный цикл удостоверений

Управление жизненным циклом удостоверений пользователей — это основа управления идентификацией.

При планировании управления жизненным циклом удостоверений для сотрудников, например, многие организации используют модель "приход, перемещение, уход". Когда пользователь впервые приходит в организацию, создается новое цифровое удостоверение, если оно еще не доступно. Когда пользователь перемещается между подразделениями одной компании, может потребоваться добавить или удалить дополнительные разрешения для его цифрового удостоверения. Когда сотрудник уходит, доступ нужно удалить, и удостоверение может больше не понадобиться, разве что в целях аудита.

На следующей схеме показана упрощенная версия жизненного цикла удостоверений.

Схема, показывающая жизненный цикл идентификации для сотрудников. Жизненный цикл представлен как круг, который начинается без доступа, а затем присоединяется к организации, а затем переходите к новой роли, а затем покидает организацию. Цикл повторяется.

Для многих организаций этот жизненный цикл удостоверения для сотрудников привязан к представлению этого пользователя в системе управления персоналом (HR), например Workday или SuccessFactors. Система управления персоналом имеет полномочия для предоставления текущего списка сотрудников и некоторых их характеристик, таких как имя или отдел. Организациям необходимо автоматизировать процесс создания удостоверения для нового сотрудника, основанного на сигнале от системы управления персоналом, чтобы сотрудник был продуктивным в день 1.

В Управление идентификацией Microsoft Entra можно автоматизировать жизненный цикл удостоверений пользователей с помощью:

  • Входящий трафик подготовки из источников кадров вашей организации для автоматического обслуживания удостоверений пользователей в идентификаторе Microsoft Entra и Active Directory.
  • Рабочие процессы жизненного цикла для автоматизации задач рабочих процессов, выполняемых на определенных ключевых событиях, например, прежде чем новый сотрудник планирует начать работу в организации, так как они изменяют состояние во время их работы в организации, и по мере того, как они покидают организацию.
  • Политики автоматического назначения в управлении правами для добавления и удаления членства в группах пользователя, ролей приложений и ролей сайта SharePoint на основе изменений атрибутов пользователя. Сведения об управлении правами рассматриваются в следующем уроке.
  • Подготовка пользователей для создания, обновления и удаления учетных записей пользователей в других приложениях с соединителями для сотен облачных и локальных приложений.

Как правило, управление жизненным циклом удостоверения заключается в обновлении доступа, необходимого пользователям, будь то интеграция с системой управления персоналом или с помощью приложений подготовки пользователей.

Жизненный цикл доступа

Жизненный цикл доступа — это процесс управления доступом на протяжении всего периода работы пользователя в организации. Пользователям требуются разные уровни доступа с момента прихода в организацию до момента ухода из нее. На различных этапах им необходимы права доступа к различным ресурсам в зависимости от роли и обязанностей.

Организациям требуется использовать определенный процесс для управления доступом после первоначальной подготовки при создании удостоверения пользователя. Более того, им важно иметь возможность эффективного масштабирования для разработки и применения политик доступа и элементов управления в непрерывном цикле.

С помощью Управление идентификацией Microsoft Entra ИТ-отделы могут установить, какие права доступа должны иметь пользователи в различных ресурсах и какие проверки принудительного применения необходимы.

Организации могут автоматизировать процесс жизненного цикла доступа с помощью таких технологий, как динамические группы. Динамические группы позволяют администраторам создавать правила на основе атрибутов для определения членства в группах. Когда изменяются любые атрибуты пользователя, система оценивает все правила динамических групп в каталоге, чтобы определить, приведет ли это изменение к добавлению или удалению пользователей в группах. Если пользователь или устройство удовлетворяет правилу для группы, они добавляются как члены этой группы. Если они больше не соответствуют правилу, они удаляются.

Управление правами позволяет организациям определять, как пользователи запрашивают доступ к пакетам членства в группах и командах, ролям приложений и ролям SharePoint Online, а также применять разделение обязанностей по запросам на доступ.

Организации могут регулярно просматривать права доступа с помощью повторяющихся проверок доступа Microsoft Entra для повторной сертификации доступа.

Жизненный цикл привилегированного доступа

Мониторинг привилегированного доступа является ключевой частью управления удостоверениями. Когда сотрудникам, поставщикам и подрядчикам назначаются права администратора, процесс управления позволяет обеспечить защиту от несанкционированного использования.

Microsoft Entra управление привилегированными пользователями (PIM) предоставляет дополнительные элементы управления, адаптированные для защиты прав доступа. PIM помогает свести к минимуму количество пользователей, имеющих доступ к ресурсам в идентификаторе Microsoft Entra, Azure и других веб-службы Майкрософт. PIM предоставляет исчерпывающий набор элементов управления для защиты ресурсов компании.

Схема, показывающая жизненный цикл прав доступа к удостоверениям. Жизненный цикл представлен как круг, который начинается без администратора после первой роли администратора, а затем второй роли администратора, а затем покидает ИТ.

Следующий урок: Описание проверок доступа

Предыдущий Следующая