什麼是身分識別生命週期管理?

  • 發行項

身分識別治理可協助組織在生產力之間取得平衡 - 人員可以有多快地存取所需的資源,例如加入我的組織時? 安全性 - 他們的存取權應該如何隨著時間而改變,例如,由於該人的就業狀況變更?

身分識別生命週期管理 是身分識別治理的基礎,而且大規模有效治理需要將應用程式的身分識別生命週期管理基礎結構現代化。 身分識別生命週期管理旨在針對與組織有相關聯的個人,自動化和管理整個數位身分識別生命週期流程。

Diagram of the Microsoft Entra relationship in provisioning with other sources and targets.

什麼是數位身分識別?

數位身分識別是一或多個運算資源所使用的實體資訊,例如操作系統或應用程式。 這些實體可能代表人員、組織、應用程式或裝置。 身分識別通常由與其相關聯的屬性描述,例如名稱、識別碼和屬性,例如用於存取管理的角色。 這些屬性可協助系統判斷可存取哪些項目,以及哪些人可以使用該資源。

管理數位身分識別的生命週期

管理數位身分識別是一項複雜的工作,特別是因為它與真實世界物件相互關聯,例如人員,以及其與組織作為該組織員工的關係,以及數位表示法。 在小型組織中,保留需要身分識別的個人數位標記法可以是手動程序。 例如,當有人被雇用或承包商到達時,IT 專家可以在目錄中為其建立帳戶,並指派他們需要的存取權。 不過,在中型和大型組織中,自動化可讓組織更有效率地調整規模,並讓身分識別保持正確性。

在組織中建立身分識別生命週期管理的一般程序會遵循這些步驟:

  1. 判斷是否已經有記錄系統:組織視為權威的資料來源。 例如,組織可能有一個 HR 系統,例如 Workday 或 SuccessFactors,且該系統具有提供目前員工清單的權威,以及其部分屬性,例如員工的名稱或部門。 此外,Exchange Online 之類的電子郵件系統可能具有其他屬性員工的電子郵件地址授權。

  2. 使用 Microsoft Entra ID 連接這些記錄系統,並解決 Microsoft Entra ID 中現有使用者與記錄系統之間的任何不一致問題。 例如,Microsoft Entra ID 可能已填入已過時的資料,例如已不再與組織有關聯的前員工使用者帳戶。

  3. Microsoft Entra ID 有正確的使用者,請連接 Microsoft Entra ID 與應用程式所使用的一或多個目錄和資料庫,並解決這些目錄與 Microsoft Entra ID 中記錄資料系統復本之間的任何不一致。 例如,先前已中斷連線之應用程式的目錄可能會有過時的資料,例如先前員工的帳戶。

  4. 判斷哪些流程可用於在沒有記錄系統的情況下提供權威資訊。 例如,如果訪客有數位身分識別,但組織沒有訪客的資料庫,則可能需要尋找替代方式來判斷不再需要訪客的數位身分識別。

  5. 確定記錄系統或其他進程的變更會透過 Microsoft Entra ID 複寫到需要更新的每個目錄或資料庫。

身分識別生命週期管理,代表具有組織關係的員工和其他個人

規劃員工或其他具有組織關係的個人身分識別生命週期管理時,例如承包商或學生,許多組織會建立「加入、移動和離開」的模型,如下所示:

  • 加入 - 當個人進入需要存取權的範圍時,這些應用程式需要身分識別,所以如果尚未有新的數位身分識別,則可能需要加以建立。
  • 調動 - 當個人在界限之間調動時,則需要額外的存取授權,才能對其數位身分識別新增或移除
  • 離開 - 當個人離開需要存取權的範圍時,可能需要移除存取權,而用於稽核或鑑識目的以外的應用程式可能不再需要身分識別。

因此比方說,如果有新員工加入您的組織,且該員工之前從未與組織建立關聯,則該員工會需要新的數位身分識別 (在 Microsoft Entra ID 中以使用者帳戶表示)。 建立此帳戶會落入「加入者」流程,如果有一個記錄系統,例如 Workday,可能會自動顯示新員工何時開始工作。 之後,如果組織有員工從銷售部門調動到行銷部門,其就會落在「調動者」程序。 此舉需要移除他們在銷售組織中擁有的存取權限,而不再需要這些權限,並在行銷組織中授與他們所新要求的權限。

來賓的身分識別生命週期管理

其他身分識別、合作夥伴、供應商和其他來賓也需要類似的流程,讓他們能夠共同作業或存取資源。 Microsoft Entra 權利管理利用 Microsoft Entra 外部 ID 企業對企業 (B2B) 提供與組織外部需要存取組織資源的人員共同作業所需的生命週期控制。 透過 Microsoft Entra B2B,外部使用者會向主目錄或身分識別提供者進行驗證,但在貴組織的目錄中有代表項目。 貴組織目錄中的表示法可讓使用者獲指派資源的存取權。 權利管理可讓組織外部的個人要求存取權,並視需要為其建立數位身分識別。 當使用者失去存取權時,系統會自動移除這些數位身分識別。

Microsoft Entra ID 如何自動化身分識別生命週期管理?

在 Microsoft Entra ID Governance 中,您可以使用下列項目將身分識別生命週期流程自動化:

  • 從您組織的 HR 來源輸入布建、從 Workday 和 SuccessFactors 擷取背景工作資訊,以在 Active Directory 和 Microsoft Entra ID 中自動維護使用者身分識別。
  • Active Directory 中已經存在的使用者可以使用目錄間布建,在 Microsoft Entra ID 中自動建立和維護。
  • 生命週期工作流程 會將在特定重要事件執行的工作流程工作自動化,例如在新員工排定於組織開始工作時、變更組織期間的狀態,以及離開組織時。 例如,工作流程可以設定為,在第一天將具有暫時存取通行證的電子郵件傳送給新使用者的管理員,或將歡迎電子郵件傳送給使用者。
  • 權利管理 中的自動指派原則會根據使用者屬性的變更,新增和移除使用者的群組成員資格、應用程式角色和 SharePoint 網站角色。 您也可以視需要將使用者指派給群組、Teams、Microsoft Entra 角色、Azure 資源角色,以及使用權利管理和 Privileged Identity Management 的 SharePoint Online 網站。
  • 一旦使用者處於具有正確群組成員資格和應用程式角色指派的 Microsoft Entra 識別碼中, 使用者布 建就可以在其他應用程式中建立、更新和移除用戶帳戶,並透過 SCIM、LDAP 和 SQL 將連接器連線到數百個雲端和內部部署應用程式。
  • 針對來賓生命週期,您可以在權利管理指定允許其使用者要求存取組織資源的其他組織。 當其中一個使用者的要求獲得核准時,權利管理會自動將其新增為 組織目錄的 B2B 來賓,並指派適當的存取權。 當其存取權限到期或撤銷時,權利管理會自動從您組織的目錄中移除 B2B 來賓使用者。
  • 存取權檢閱 會自動自動檢閱已存在於您組織目錄中的現有來賓,並在不再需要存取權時,從組織的目錄中移除這些使用者。

授權需求

使用此功能需要 Microsoft Entra ID 控管授權。 若要尋找您需求的正確授權,請參閱 Microsoft Entra ID 控管 授權基本概念

下一步