本文为架构师、Microsoft 合作伙伴和 IT 专业人员提供了解决其组织或其正在合作的组织中的标识预配需求的信息。 内容重点介绍如何自动执行用户预配,以在组织中跨所有系统访问应用程序。
组织中的员工依靠许多应用程序来执行工作。 这些应用程序通常要求 IT 管理员或应用程序所有者在员工可以开始访问之前预配帐户。 组织还需要管理这些帐户的生命周期,保持更新最新信息,并在用户不再需要时删除帐户。
Microsoft Entra 预配服务可自动化标识生命周期,并跨用户需要访问的受信任源系统(如 HR 系统)和应用程序保持标识同步。 它支持将用户引入 Microsoft Entra ID 并预配到所需的各种应用程序中。 预配功能是能够实现丰富治理和生命周期工作流的构建基块。 对于混合方案,Microsoft Entra 代理模型连接到本地或基础结构即服务 (IaaS) 系统,包括 Microsoft Entra 预配代理、Microsoft Identity Manager (MIM) 和 Microsoft Entra Connect 等组件。
数以千计的组织正在运行 Microsoft Entra 云托管服务,其混合组件在本地交付,用于预配方案。 Microsoft 投资云托管和本地功能,包括 MIM 和 Microsoft Entra Connect Sync,以帮助组织在其连接的系统和应用程序中预配用户。 本文重点介绍组织如何使用 Microsoft Entra ID 来解决其预配需求,并明确每个方案最适合哪种技术。
使用下表查找特定于你的方案的内容。 例如,如果希望从 HR 资源系统到 Active Directory 域服务 (AD DS) 或 Microsoft Entra ID 的员工和合同工标识管理,请访问连接标识与记录系统的链接。
| 对象 | 源 | 功能 | 读取 |
|---|---|---|---|
| 员工和合同工 | HR 系统 | Microsoft Windows Server Active Directory 和 Microsoft Entra ID | 连接标识与记录系统 |
| 现有 Microsoft Windows Server Active Directory 用户和组 | AD DS | Microsoft Entra ID | 在 Microsoft Entra ID 和 Active Directory 之间同步标识 |
| 用户、组 | Microsoft Entra ID | 服务型软件 (SaaS) 和本地应用 | 自动预配到非 Microsoft 应用程序 |
| 自动删除 | Microsoft Entra ID 治理 | SaaS 和本地应用 | 权利管理 |
| 现有用户和组 | Microsoft Windows Server Active Directory、SaaS 和本地应用 | 标识治理(便于评审标识) | Microsoft Entra 访问评审 |
| 非员工用户(已审批) | 其他云目录 | SaaS 和本地应用 | 已连接的组织 |
| 用户、组 | Microsoft Entra ID | Managed Microsoft Windows Server Active Directory 域 | Microsoft Entra 域服务 |
示例拓扑
组织在运行业务所依赖的应用程序和基础结构方面差异很大。 一些组织的所有基础结构都在云中,完全依赖 SaaS 应用程序,而其他组织则在数年间对本地基础结构进行了深度投资。 以下三种拓扑描述了 Microsoft 如何满足仅限云的客户、具有基本预配要求的混合客户以及具有高级预配要求的混合客户的需求。
仅限云
在此示例中,组织具有云 HR 系统(如 Workday 或 SuccessFactors),使用 Microsoft 365 实现协作,以及 ServiceNow 和 Zoom 等 SaaS 应用。
Microsoft Entra 预配服务从云 HR 系统导入用户,并根据组织定义的业务规则在 Microsoft Entra ID 中创建帐户。
用户完整设置适当的身份验证方法,例如验证器应用 Fast Identity Online 2 (FIDO2) /Windows Hello 企业版 (WHfB),通过临时访问密码键入密钥,然后登录到 Teams。 此临时访问密码是通过 Microsoft Entra 生命周期工作流为用户自动生成的。
Microsoft Entra 预配服务在用户所需的各种应用程序中创建帐户,例如 ServiceNow 和 Zoom。 用户可以请求所需的必要设备,并开始与其团队聊天。
混合 - 基本
在此示例中,组织混合使用云和本地基础结构。 除上述系统外,组织还依赖于与 Microsoft Windows Server Active Directory 集成和未与 Microsoft Windows Server Active Directory 集成的 SaaS 应用程序和本地应用程序。
Microsoft Entra 预配服务从 Workday 导入用户,并在 AD DS 中创建帐户,使用户能够访问与 Microsoft Windows Server Active Directory 集成的应用程序。
Microsoft Entra Connect 云同步可将用户预配到 Microsoft Entra ID 中,这让用户能够访问 Microsoft 365 中的 SharePoint 及其 OneDrive 文件。
Microsoft Entra 预配服务检测到在 Microsoft Entra ID 中创建了一个新帐户。 然后,它会在用户需要访问的 SaaS 和本地应用程序中创建帐户。
混合 - 高级
在此示例中,组织有用户分布在多个本地 HR 系统和云 HR 中。 这些用户有较大的组和设备同步要求。
MIM 从每个 HR 主干导入用户信息。 MIM 确定不同目录中的这些员工需要哪些用户。 MIM 在 AD DS 中预配这些标识。
然后,Microsoft Entra Connect Sync 将这些用户和组同步到 Microsoft Entra ID,并为用户提供对其资源的访问权限。