什麼是 Microsoft Entra 識別碼治理?
Microsoft Entra ID 控管 是一種身分識別治理解決方案,可讓組織提升生產力、加強安全性,並更輕鬆地符合合規性和法規需求。 您可以使用 Microsoft Entra ID Governance 來自動確保適當的人員能夠正確存取正確的資源、身分識別和存取流程自動化、委派給商務群組,以及提高可見度。 透過 Microsoft Entra ID Governance 中包含的功能,以及相關 Microsoft Entra、Microsoft Security 和 Microsoft Azure 產品中的功能,您可以藉由保護、監視和稽核重要資產的存取,降低身分識別和存取風險。
具體而言,Microsoft Entra ID Governance 可協助組織解決這四個關鍵問題,以存取內部部署和雲端中的服務和應用程式:
- 哪些使用者應具備哪些資源的存取權?
- 這些使用者使用該存取權進行哪些工作?
- 是否有組織控制可管理存取權?
- 稽核者是否可驗證控制項是否有效運作?
透過 Microsoft Entra ID 控管,您可以為員工、商務夥伴和廠商實作下列案例:
- 控管身分識別生命週期
- 控管存取生命週期
- 保護用於系統管理的特殊權限存取
身分識別生命週期
身分識別治理可協助組織在生產力之間取得平衡 - 人員可以有多快地存取所需的資源,例如加入我的組織時? 安全性 - 他們的存取權應該如何隨著時間而改變,例如,由於該人的就業狀況變更? 身分識別生命週期管理是身分識別控管的基礎,而大規模有效控管需要將應用程式的身分識別生命週期管理基礎結構現代化。
對於許多組織而言,員工和其他工作者的身分識別生命週期會繫結至 HCM (人力資源管理) 或人力資源系統中該人員的代表權。 組織需要自動化為新員工建立身分識別的流程,此身分識別是以來自該系統的訊號為基礎,讓員工能夠在第 1 天提高生產力。 而且當員工離開組織時,組織必須確保移除這些身分識別和存取權。
在 Microsoft Entra ID Governance 中,您可以使用下列方式自動執行這些個人的身分識別生命週期:
- 從您組織的 HR 來源輸入布建,包括從 Workday 和 SuccessFactors 擷取,以在 Active Directory 和 Microsoft Entra ID 中自動維護使用者身分識別。
- 生命週期工作流程 可將在特定重要事件中執行的工作流程工作自動化,例如,在新員工排定於組織開始工作時、變更組織期間的狀態,以及離開組織時。 例如,工作流程可以設定為,在第一天將具有暫時存取通行證的電子郵件傳送給新使用者的管理員,或將歡迎電子郵件傳送給使用者。
- 權利管理 中的自動指派原則,可根據使用者屬性的變更,新增和移除使用者的群組成員資格、應用程式角色和 SharePoint 網站角色。
- 使用者布建 可建立、更新及移除其他應用程式中的用戶帳戶,並透過SCIM、LDAP和SQL將連接器連線到 數百個雲端和內部部署應用程式 。
組織也需要其他身分識別,讓合作夥伴、供應商和其他來賓能夠共同作業或存取資源。
在 Microsoft Entra ID Governance 中,您可以讓商務群組判斷哪些來賓應該具有存取權,以及使用多久時間:
- 權利管理 ,您可以在其中指定允許使用者要求存取組織資源的其他組織。 當其中一個 使用者的要求獲得核准時,權利管理會自動將其新增為組織目錄的 B2B 來賓,並指派適當的存取權。 當其存取權限到期或撤銷時,權利管理會自動從您組織的目錄中移除 B2B 來賓使用者。
- 存取權檢閱 ,可自動檢閱已存在於您組織目錄中的現有來賓,並在不再需要存取權時,從組織的目錄中移除這些使用者。
如需詳細資訊,請參閱 什麼是身分識別生命週期管理。
存取生命週期
組織需要一個流程來管理在建立該使用者身分識別時,使用者最初為使用者佈建的存取權。 此外,企業組織必須能夠有效率地調整規模,才能持續開發和強制執行存取原則和控制項。
使用 Microsoft Entra ID Governance,IT 部門可以建立跨各種資源應具有哪些存取權限,以及需要哪些強制檢查,例如職責區隔或作業變更的存取權移除。 Microsoft Entra ID 具有數百個雲端和內部部署應用程式的連接器,而且您可以整合貴組織的其他應用程式,這些應用程式依賴 AD 群組、其他內部部署目錄或資料庫、具有 SOAP 或 REST API,或實作 SCIM、SAML 或 OpenID 連線 等標準。 當用戶嘗試登入其中一個應用程式時,Microsoft Entra ID 會 強制執行條件式存取 原則。 例如,條件式存取原則可以包含顯示 使用 規定,並確保 使用者在能夠存取應用程式之前已同意這些條款 。 如需詳細資訊,請參閱控管環境中應用程式的存取權,包括如何定義管理應用程式存取權的組織原則、整合應用程式和部署原則。
您可以根據屬性變更來自動化跨應用程式和群組的存取變更。 Microsoft Entra 生命週期工作流程 和 Microsoft Entra 權利管理 會自動將使用者新增和移除至群組或存取套件,以便更新應用程式和資源的存取權。 當使用者在組織內的條件變更為不同的群組時,也可以移動使用者,甚至可以從所有群組或存取套件完全移除。
先前使用內部部署身分識別治理產品的組織可以將組織角色模型移轉至 Microsoft Entra ID 控管。
此外,IT 可以將存取管理決策委派給商務決策者。 例如,想要存取歐洲公司行銷應用程式中機密客戶數據的員工可能需要主管、部門負責人或資源擁有者的核准,以及安全性風險人員。 權利管理 可讓您定義使用者如何要求跨群組和小組成員資格、應用程式角色和 SharePoint Online 角色套件的存取權,以及強制執行存取要求的職責檢查。
組織也可以控制哪些來賓使用者可以存取,包括內部 部署應用程式。 然後,您可以使用週期 性 Microsoft Entra 存取權檢閱 來定期檢閱這些訪問許可權,以進行存取權重新認證。
特殊權限的存取生命週期
控管特殊權限存取是新式身分識別治理的重要部分,特別是考慮到可能會對組織造成與系統管理員權限相關聯的誤用。 承擔系統管理權限的員工、廠商和承包商必須擁有其帳戶和特殊權限存取權限。
Microsoft Entra Privileged Identity Management (PIM) 提供專為保護資源訪問許可權而量身打造的其他控件,橫跨 Microsoft Entra、Azure、其他 Microsoft Online Services 和其他應用程式。 Microsoft Entra PIM 所提供的 Just-In-Time 存取和角色變更警示功能,除了多重要素驗證和條件式存取之外,還提供一組完整的治理控制措施,以協助保護您的組織資源(目錄角色、Microsoft 365 角色、Azure 資源角色和群組成員資格)。 如同其他形式的存取權,組織可以使用存取權檢閱,為具有特殊權限系統管理員角色的所有使用者設定週期性存取重新認證。
授權需求
使用此功能需要 Microsoft Entra ID 控管授權。 若要尋找您需求的正確授權,請參閱 Microsoft Entra ID 控管 授權基本概念。
開始使用
在設定 Microsoft Entra ID 以進行身分識別控管之前,請先查看必要條件。 然後,請流覽 Microsoft Entra 系統管理中心的治理儀錶板 ,以開始使用權利管理、存取權檢閱、生命週期工作流程和 Privileged Identity Management。
還有一個教學課程可用來 管理權利管理中的資源存取權、 透過核准程式將外部用戶上線至 Microsoft Entra ID、 控管應用程式 存取權和 應用程式的現有使用者。
雖然每個組織可能有自己的獨特需求,但下列設定指南也會提供 Microsoft 建議您遵循的基準原則,以確保更安全且更具生產力的員工。
您可能也想要與其中一個 Microsoft 服務和整合合作夥伴 互動,以規劃您的部署,或與您環境中的應用程式和其他系統整合。
如果您有任何關於身分識別治理功能的意見反應,請在 Microsoft Entra 系統管理中心中選取 [取得意見反應?], 以提交您的意見反應。 小組會定期檢閱您的意見反應。
使用自動化簡化身分識別治理工作
開始使用這些身分識別治理功能之後,您可以輕鬆地自動化常見的身分識別治理案例。 下表說明如何針對每個案例開始使用自動化:
| 要自動化的案例 | 自動化指南 |
|---|---|
| 為員工自動建立、更新和刪除AD和 Microsoft Entra 用戶帳戶 | 規劃雲端 HR 至 Microsoft Entra 使用者布建 |
| 根據成員使用者屬性的變更,更新群組的成員資格 | 建立動態群組 |
| 指派授權 | 以群組為基礎的授權 |
| 根據使用者屬性的變更,新增和移除使用者的群組成員資格、應用程式角色和 SharePoint 網站角色 | 在權利管理中設定存取套件的自動指派原則 |
| 在特定日期新增和移除使用者的群組成員資格、應用程式角色和 SharePoint 網站角色 | 在權利管理中設定存取套件的生命周期設定 |
| 當使用者要求或接收存取權或存取權時執行自定義工作流程,或移除存取權 | 在權利管理中觸發Logic Apps |
| 定期檢閱 Microsoft 群組和 Teams 中的來賓成員資格,並移除拒絕的來賓成員資格 | 建立存取權檢閱 |
| 拿掉檢閱者拒絕的來賓帳戶 | 檢閱並移除不再具有資源存取權的外部使用者 |
| 拿掉沒有存取套件指派的來賓帳戶 | 管理外部使用者的生命週期 |
| 將使用者布建至具有自己目錄或資料庫的內部部署和雲端應用程式 | 使用使用者指派或範圍篩選設定自動使用者布建 |
| 其他排程工作 | 透過 Microsoft.Graph.Identity.Governance PowerShell 模組,使用 Azure 自動化 和 Microsoft Graph 自動化身分識別治理工作 |
附錄 - 在身分識別治理功能中管理的最低特殊許可權角色
最佳做法是使用最低許可權角色在身分識別治理中執行系統管理工作。 建議您使用 Microsoft Entra PIM 視需要啟用角色來執行這些工作。 以下是設定身分識別治理功能的最低特殊 許可權目錄角色 :
| 功能 | 最低特殊權限角色 |
|---|---|
| 權利管理 | 身分識別控管系統管理員 |
| 存取權檢閱 | 使用者 管理員 istrator(除了 Azure 或 Microsoft Entra 角色的存取權檢閱,需要特殊許可權角色 管理員 istrator) |
| Privileged Identity Management | 特殊權限角色管理員 |
| 使用條款 | 安全性 管理員 istrator 或條件式存取 管理員 istrator |
注意
權利管理的最低特殊許可權角色已從使用者 管理員 istrator 角色變更為 Identity Governance 管理員 istrator 角色。