Dela via

Introduktion till distributionsguiden för Styrning av Microsoft Entra-ID

Microsoft Entra ID Governance är en lösning för identitetsstyrning för att förbättra produktiviteten, stärka säkerheten och uppfylla efterlevnads- och regelkrav. Se till att rätt personer har rätt åtkomst till rätt resurser. Aktivera automatisering av identitets- och åtkomstprocesser, delegering till företagsgrupper och ökad synlighet. Minska identitets- och åtkomstrisken, skydda, övervaka och granska åtkomsten till dina tillgångar. Läs mer om Microsoft Entra ID Governance användningsfall och dokumentation.

Distributionsmetod

För att säkerställa en heltäckande metod för identitetsstyrning finns det faser som är anpassade till identitetens livscykel. Livscykelautomatisering är de automatiserade processerna för användarregistrering, rollövergångar och offboarding. För att tilldela användare till resurser innebär allokering av rätt resurser till användare, integrering av rättigheter och roller. Säker privilegierad åtkomst hjälper dig att skydda och hantera privilegierade konton med åtkomstkontroller och övervakningsmekanismer.

I linje med metoden har guiden den här introduktionen och fyra scenarier. Använd länkarna för att se varje scenario.

Även om de flesta tjänster är i allmän tillgänglighet (GA), kan vissa funktioner eller tjänster vara i offentlig förhandsversion eller andra tillstånd före ga. GA anger att en produkt eller tjänst är offentligt tillgänglig för alla kunder och backas upp av serviceavtalsgarantier (SLA). Se följande avsnitt för licensieringsinformation.

Licensiering

Microsoft Entra ID Governance är en funktion i Microsoft Entra-ID. För att möjliggöra distributionen, gå igenom följande förutsättningar. 

  • Om du vill använda Microsoft Entra-ID för att styra appåtkomsten har du någon av följande licenskombinationer i din klientorganisation: "
    • Microsoft Entra ID-styrning och dess krav, Microsoft Entra ID P1
    • Microsoft Entra ID-styrning Steg Upp för Microsoft Entra ID P2 och dess förutsättning, Microsoft Entra ID P2 eller Enterprise Mobilitet + Säkerhet (EMS) E5
    • I hyresgästen kontrollerar du att det finns en licens för varje styrd användare (icke-gäst). Inkludera de användare som begär åtkomst till appar, godkänna åtkomst eller granska appåtkomst.
  • För att styra gäståtkomsten till programmet bör du länka Microsoft Entra-klientorganisationen till en prenumeration för fakturering baserad på månadsvis aktiva användare (MAU).

Mer information finns i grunderna för Microsoft Entra ID-styrningslicensiering.

Lär dig mer om förutsättningar innan du konfigurerar Microsoft Entra ID och Microsoft Entra ID Governance.

Deltagarmodell

Den rekommenderade deltagarmodellen för roller för att slutföra uppgifter och slutprodukt: ansvarig, ansvarig, konsulterad och informerad (RACI). Använd modellen för att se till att de berörda rollerna förstår ansvar och mål. 

  • Ansvarig – Slutför uppgiften
    • Tilldela minst en ansvarig roll, även om de kan delegera
  • Ansvarig – Tar på sig ansvaret för korrekthet och slutförande av det arbete som ansvarig levererar
    • Den ansvariga rollen delegerar uppgifter och säkerställer att uppgiftskraven uppfylls
    • Tilldela en ansvarig roll för varje uppgift eller slutprodukt
  • Konsultation – Ger vägledning utifrån egen expertis, en expert inom området (SME)
  • Informerad – Tar emot regelbundna uppdateringar om uppgift eller leverabelns färdigställande

Intressenter

Intressenterna har intresse för och påverkar projektframgångar. I följande tabell finns exempel på roller och ansvarsområden för implementering av Microsoft Entra ID-styrning.

Befattning Expertis Ansvar
IT-administratör Systemadministration Hantera användarkonton, underhålla systemhälsa, felsöka tekniska problem
Affärsanalytiker Krav och analys Samla in affärskrav, analysera arbetsflöden, se till att lösningarna uppfyller organisationens behov
Slutanvändare Systemanvändning Använd systemet som avsett, ge feedback om prestanda och användbarhet

Kommunikationsplan

En kommunikationsplan hjälper dig att proaktivt interagera med dina intressenter och hantera förväntningar.

  • Definiera syftet med och frekvensen för kommunikation till intressenter
  • Avgöra vem som skapar och distribuerar kommunikation med mekanismer för att dela information
  • Ange relevant information om distributionsplaner och status
  • Förklara kommande ändringar i användarupplevelsen och hur användarna får support

Schema

Ett projekt är en framgång när du uppnår de förväntade resultaten inom budget- och tidsbegränsningar. Identifiera därför resultatmål efter datum, kvartal eller år. Arbeta med intressenter för en överenskommelse om milstolpar som definierar resultatmål. Tydliggöra framgång för varje mål. Eftersom Microsoft Entra ID-styrning och andra Microsoft-tjänster är i kontinuerlig utveckling mappar du kraven till utvecklingsstadier för funktioner. Ställ in realistiska förväntningar med beredskapsplaner för att uppfylla viktiga milstolpar:

  • Konceptbevis (PoC)
  • Pilotdatum
  • Startdatum
  • Datum som påverkar leveransen
  • Beroenden

Läs mer om Microsoft Entra ID Governance.

I projektschemat:

  • Arbetsuppdelningsstruktur med datum, beroenden och kritisk väg, baserat på efterföljande distributionsvågor.
    • Maximalt antal användare för varje distributionsvåg, baserat på förväntad supportbelastning
    • Tidsram för varje distributionsvåg, till exempel en våg varje måndag
    • Användargrupper i varje våg och överskrid inte det maximala antalet
    • Appar som användarna behöver
  • Gruppmedlemmar som tilldelats uppgifter

Testning och återställning

Oväntade eller otestade scenarier kan påverka användarna negativt. Skapa processer för att:

  • Testscenarier
  • Gör det möjligt för användare att rapportera problem
  • Rulla tillbaka distributionen
  • Utvärdera vad som gick fel:
    • Identifiera åtgärder
    • Kommunicera med intressenter
  • Testa nya konfigurationer

Utvärdering och identifiering

Utvärdering och kartläggning bidrar till en förståelse för det aktuella tillståndet för identitetsstyrning innan man implementerar Microsoft Entra ID-styrning. Skapa en inventering av aktuella lösningar för identitetsstyrning. Identifiera luckor och ineffektivitet.

  • Identifiera aktuellt tillstånd – Integrering av dokumentidentitetsstyrning, principer, arbetsflöden, dataflöden och appar. Fastställa gränsfall eller anpassade arbetsflöden.
  • Förstå lösningen – Studera och förstå Microsoft Entra ID-styrningsarkitektur
  • Upprätthåll intressenternas samarbete – Identifiera och samordna dig till intressenter i olika team. Se till att du är överens om mål och tidslinjer.

För mer information om utvärdering och upptäckande, se bästa praxis för säker distribution av Microsoft Entra ID-styrning

Datainsamling

Samla in aktuella konfigurationsdata för identitetsstyrning för att upprätta en korrekt baslinje.  

  • arbetsflöden för användaretablering – Etableringsregler, anslutningsappar, affärsprocesser eller användningsfall
  • Nykomling, Flyttare, Avslutare – Introduktionsprocess för nykomlingar, processer för flyttare och avslutningsprocess för avslutare
  • Berättiganden och roller – Aktuella resurser, rättigheter, roller, deras struktur och tilldelningar
  • Åtkomstgranskningar – Planera åtkomstgranskningsscenarier för användare, grupper och nivåer för appar, åtkomstpaket eller grupper
  • Privileged Identity Management (PIM) – Replikera aktiveringsregler, arbetsflöden för godkännande och rollberättigande
  • Viktiga appar och integreringar – Appar och system som är integrerade med den aktuella lösningen
    • Dokumentera migreringsprioriteringar baserat på organisationens behov och risker

Livscykelautomatisering: Identitetskälla för registrering

Identifiera HR-systemet eller källan för uppgifter (referenskälla) för användaradministration. De flesta organisationer använder en HR-lösning i molnet:

  • Arbetsdag
  • SAP SuccessFactors
  • Oracle HCM
  • Porlande
  • Andra med API-styrd tilldelning

Bekräfta målet för användarförsörjning och ett behov av tillbakaskrivning till molnapplikation för HR.

  • Etablera användare till Active Directory – Etablera användaruppsättningar från en HR-molnapp till en Active Directory-domän
  • Tilldela användare endast i molnet till Microsoft Entra-ID – Om Active Directory inte används, tilldelar du användare från molnapplikationens HR-system till Microsoft Entra-ID
  • Skriv tillbaka till molnets HR-app – Skriva e-postadresser och användarnamnattribut från Microsoft Entra till molnets HR-app

Du kan använda lokala anslutningar för Active Directory Domain Services (AD DS) och Microsoft Entra ID. Topologier beror på mappning och krav.

Läs mer om Microsoft Entra Connect-provisioneringsagenten.

Du kan planera för molnbaserad HR-applikation till Microsoft Entra användarprovisionering.

Definiera tilldelning

Active Directory-topologi, om tillämpligt:

  • Utvärdera katalogstrukturen – Förstå organisationens enheter, skogar och domäner i Din Active Directory-miljö
  • Planera för synkronisering – Synkronisera specifika organisationsenheter eller katalogen. Överväg skalbarhet, redundans och replikeringsfördröjning.
  • Granska hybridscenarier och se till att Microsoft Entra Connect är optimerat – Utvärdera användningen av Microsoft Entra Cloud Sync för skogar med separata förtroenden

Förberedelseuppgifter

Om en organisation har flera inkommande källoridentifierar du användardatakällor:

  • HR-system
  • Identitetslager
  • Interna identitetsdatabaser

Se till att källorna har korrekt information. Innan migreringen kan du utföra en granskning eller utvärdering för att avgöra om data rensas.

Välj ett attribut som identifierar och länkar användarposter med motsvarande konton i målsystemet. Standardattributet matchande är EmployeeID, som ofta används i organisationer. Du bestämmer dock vilket attribut som ska användas.

Vid provisionering definierar du omfånget för källobjekt . För att förbättra prestandan kan du etablera användare i vågor och exkludera onödiga data.

Planera för attributberäkning. Hantera långa strängar, specialtecken eller välj ett unikt användarnamn. Gör beräkningar med uttryck.

För mer information, se om att skriva uttryck för attributmappningar i Microsoft Entra appkonfiguration

Konfigurera tillhandahållande

Du kan använda vägledning om hr-systemintegrering i molnet, till exempel Workday, SuccessFactors, Oracle Human Capital Management (HCM) och Rippling. Ett annat alternativ är att använda API-driven försörjning. Använd följande tabell för vägledning.

HR-källa Integrationsvägledning
Arbetsdag Microsoft Entra-ID och Workday-integrering
SAP SuccessFactors Microsoft Entra-ID och SAP SuccessFactors-integrering
Oracle HCM Microsoft Entra ID-integrering med Oracle HCM
Porlande Synkronisera identiteter från Rippling till Microsoft Entra ID
Andra API-drivna källor API-drivna koncept för inkommande försörjning

API-driven tillhandahållande

När du planerar för API-driven inkommande användaraktivering bör du överväga dina användningsscenarier och din metod. Mer information finns i följande video:

API-slutpunkt

Den /bulkUpload API-slutpunkten utökar antalet sätt som du kan hantera användare i Microsoft Entra-ID. Kontrollera om /bulkUpload- API-slutpunkt är rätt för ditt integrationsscenario.

Läs mer om den API-styrda inkommande lärandevägen.

Joiner, Mover, Leaver-arbetsflöden

För användartilldelning i Microsoft Entra ID, dokumentera behov för onboardning såsom tilldelning av autentiseringsuppgifter, första inloggningen, användarförflyttningar, avslutningar med mera. Se till att processerna följer organisationens principer och föreskrifter.

Microsoft Entra ID-livscykelarbetsflöden, berättigandehantering och åtkomstgranskningar uppfyller flera krav:

  • Rätt åtkomst för varje användare
  • Användaråtgärder med åtkomst
  • Åtkomsthanteringskontroller
  • Kontrollerbara kontroller av granskare
  • Miljöberedskap för användare
  • Snabb borttagning av åtkomst efter behov

Vissa arbetsflöden utlöses på ett tidsvärde som employeeHireDate och employeeLeaveDateTime.

Du kan synkronisera attribut för livscykelarbetsflöden.

I följande lista visas fördefinierade arbetsflödesuppgifter för livscykeln. Du kan aktivera andra.

  • Fastställa scenariot
  • Fastställa för vem och när
  • Granska och lägga till uppgifter
  • Skapa arbetsflödet
  • Utföra ett pilot-, körnings- och testtest

Lär dig hur du planerar en livscykelarbetsflödesdistribution.

Tillhandahåll och kom igång med appar

Bestämning av andra målsystem kräver användaretablering, till exempel IT Service Management (ITSM), privata/lokala appar, SaaS-appar (software-as-a-service). Använd vägledningen i följande tabell.

Målsystem Tillvägagångssätt Vägledning
IT-tjänstehantering – Automatiserad appanvändaretablering
– Anpassade tillägg för livscykelarbetsflöden: API:er, privata/lokala system
- Automatisk tilldelning av appanvändare
- Utökningsbarhet för arbetsflöden
Privata/lokala appar – ECMA-värd (Extensible Connectivity Management Agent)
– Anpassade tillägg för livscykelarbetsflöden
- Microsoft Entra-arkitektur för lokal appförsörjning
- Utökningsbarhet för arbetsflöde
SaaS-appar (Software-as-a-Service) är integrerade med Microsoft Entra ID Automatisk appanvändaretablering Automatisk tilldelning av appanvändare

Vanliga uppgifter

Granska de vanliga uppgifterna för att automatisera för användarregistrering, till exempel e-postaviseringar och användare som har lagts till i team. För många uppgifter kan du använda uppgifter för livscykelarbetsflöden. En uppgiftsuppsättning hanterar resurstilldelning och auktorisering med livscykelarbetsflöden.

Första användarens inloggning

Definiera en process för etablering och distribution av autentiseringsuppgifter. Använd livscykelarbetsflöden för att generera ett tillfälligt åtkomstpass (TAP) vid en specifik tidpunkt, i enlighet med säkerhetspolicyerna.

På ett anställningsdatum för anställda genererar du till exempel en TAP och skickar den till användarhanteraren. Chefen delar TAP, och den nyanställda kan konfigurera lösenordslösa autentiseringsmetoder, till exempel FIDO2 och lösenordslös telefoninloggning. Du kan använda Microsoft Authenticator för att aktivera inloggning utan lösenord.

TAP-användare navigerar i installationsprogrammet för Windows 10 och 11 för enhetsanslutning och för att konfigurera Windows Hello för företag. Användningen av TAP för att konfigurera Windows Hello för företag varierar beroende på enhetens anslutningstillstånd.

Du kan också skapa ett anpassat uppgiftstillägg för att leverera de första autentiseringsuppgifterna. Vanliga inbyggda introduktionsuppgifter:

  • Lägga till användare från valda grupper
  • Lägga till användare från valda team *Aktivera användarkonton
  • Ta bort tilldelningar av användaråtkomstpaket
  • Skicka e-post för chefaviseringar
  • Köra anpassade aktivitetstillägg

Flyttscenarier

Automatisera ändringar i Mover-jobbprofilen med livscykelarbetsflöden. Ett Mover-scenario kör till exempel ett schemalagt arbetsflöde för att meddela chefer via e-post och lägger till en användare i grupper.

Utlös uppgifter genom att göra ändringar i användarattribut eller gruppmedlemskap.

Leaver-scenario: avregistrering av användare

Avregistrering och slutåtkomst är viktiga säkerhetsuppgifter som du kan automatisera. Använd livscykelarbetsflöden för att ta bort åtkomst med employeeLeaveDateTime. Utlösaraktiviteter, till exempel:

  • Ta bort användare från valda grupper
  • Ta bort användare från team
  • Inaktivera användarkonton
  • Ta bort användare från grupper
  • Ta bort användarlicenser
  • Ta bort användarkonton
  • Tilldelningar av slutåtkomstpaket

Läs mer om livscykelarbetsflöden: uppgifter och definitioner.

Pågående åtgärder

Följande lista innehåller länkar till dokumentation om vanliga operativa uppgifter, inklusive underhåll, felsökning och rapportering:

Bästa praxis och rekommendationer

Bästa praxis är en testad metod eller teknik som hjälper till att leverera resultat av högre kvalitet över tid.

  • Följ säkerhetsprotokoll och riktlinjer när du tilldelar resursåtkomst

  • Aktivera gruppetablering till AD för att styra åtkomsten till lokala AD-gruppprogram och resurser

  • Använda principer för automatisk tilldelning för att effektivisera tilldelningar och deras borttagning

    • Se till att efterlevnaden överensstämmer med Microsoft Entra-regler för berättigandehantering och styrning tjänstbegränsningar

  • Om du vill hantera behörigheter begär du tilldelning av användaråtkomstpaket. För godkännandeprocesser väljer du Framtvinga policygodkännande för administratörens direkttilldelningar.

  • För att återspegla ändringar i användarrollen utvärderar och uppdaterar du åtkomstpaket

  • Automatisera vanliga uppgifter för livscykelarbetsflöden: skicka e-postmeddelanden, lägga till användare i team.

    • Inbyggda uppgifter förbättrar användarregistreringens effektivitet och noggrannhet, resurstilldelning och auktoriseringsprocesser

  • Använda lösenordslösa autentiseringsuppgifter när användare registreras

  • Överväg två alternativ för Microsoft Entra ID-styrning:

    • Big Bang: Läs in alla användare samtidigt. Organisationsstorlek och antal objekt påverkar bearbetningstiderna. Den här processen kan ta flera dagar.
    • Stegvis: Distribuera användarna i vågor. Komplexitet och kritiskhet påverkar bearbetningens varaktighet. Även om den anses vara säkrare kan den här processen ta längre tid.

    Nästa steg

    Distributionsguide för Styrning av Microsoft Entra-ID: