Azure Active Directory现已更名为Microsoft Entra ID,它通过云身份和访问管理来保护您的组织。 该解决方案将员工、客户和合作伙伴连接到其应用、设备和数据。
使用本文的指导来帮助构建计划以部署Microsoft Entra ID。 了解计划构建基础知识,然后使用以下部分进行身份验证部署、应用和设备、混合方案、用户标识等。
小窍门
正在寻找架构图和参考架构吗? 有关详细的体系结构关系图、混合标识拓扑和设计指南,请参阅:
- Microsoft Entra体系结构概述 — 服务设计、可伸缩性和可用性
- 在混合架构中构建弹性 — 适用于 PHS、PTA 和联合的体系结构示意图
- 选择正确的身份验证方法 - 身份验证决策树
- Azure中的身份和访问管理体系结构 — 参考体系结构、基线实现和设计指南
- 数据驻留和主权云选项 - 数据存储位置和环境约束
利益干系人和角色
在开始规划部署时,请将重要利益干系人包括在内。 确定并记录利益干系人、受影响的角色所有权和责任领域,以便进行有效部署。 职称和角色因组织而异,但所有权领域相似。 有关影响任何部署计划的常见和有影响力的角色,请参阅下表。
| 角色 | 职责 |
|---|---|
| 发起人 | 有权审批或分配预算与资源的企业高级领导。 发起人是经理与执行团队之间的联系人。 |
| 最终用户 | 为其实现服务的人员。 用户可以参与试点计划。 |
| IT 支持经理 | 提供有关建议的更改可支持性的输入 |
| 标识架构师 | 定义更改如何与标识管理基础结构保持一致 |
| 应用程序企业所有者 | 拥有受影响的应用程序,可能包括访问管理。 提供有关用户体验的输入。 |
| 安全所有者 | 确认更改计划是否满足安全要求 |
| 合规性管理器 | 确保符合企业、行业或政府要求 |
RACI
负责、问责、咨询和通知(负责/问责/咨询/通知 (RACI))是一个用于各种角色完成项目或业务流程的任务或可交付成果的参与模型。 使用此模型来帮助确保组织中的角色了解部署责任。
-
负责 - 负责人员负责正确完成任务。
- 至少有一个“负责任的”角色,尽管你可以委托其他人来帮助完成工作。
- 问责 - 最终可以回答可交付结果或任务的正确性和完成情况的人。 问责角色可确保满足任务先决条件,并将工作委托给负责任的角色。 问责角色批准由负责角色提供的工作。 为每个任务或可交付结果会分配一个问责人。
- 咨询 - 咨询角色提供指导,通常是行业专家 (SME)。
- 知情 - 人们一般在完成任务或可交付结果后会保持最新进度。
身份验证部署
使用以下列表来规划身份验证部署。
Microsoft Entra多重身份验证(MFA) - 使用管理员批准的身份验证方法,多重身份验证有助于保护对数据和应用程序的访问,同时满足轻松登录的需求:
- 请观看视频如何在租户中配置和强制实施多重身份验证
- 请参阅规划多重身份验证部署
条件访问 - 根据以下条件实施自动化访问控制决策,以便用户访问云应用:
Microsoft Entra自助密码重置(SSPR) - 无需管理员干预帮助用户重置密码:
Passwordless 身份验证 - 使用 Microsoft Authenticator 应用或 FIDO2 安全密钥实现无密码身份验证:
- 请参阅
启用使用 Microsoft Authenticator 进行无密码登录 - 请参阅 规划在 Microsoft Entra ID 中的无密码身份验证部署
- 请参阅
应用程序和设备
使用以下列表来帮助部署应用程序和设备。
- 单一登录 (SSO) - 让用户使用一个登录来访问应用和资源,而无需重新输入凭据:
-
My Apps 门户 - 发现和访问应用程序。 通过自助服务(例如请求访问组,或代表他人管理对资源的访问)提高用户工作效率。
- 请参阅 My Apps 门户概述
- Devices - 使用Microsoft Entra ID评估设备集成方法,选择实施计划等。
混合场景
有关混合标识部署的体系结构关系图和复原模式,请参阅 在混合体系结构中构建复原能力。 有关完整的参考体系结构和可下载的Visio关系图,请参阅将本地Active Directory与Microsoft Entra ID集成。
以下列表描述了在混合方案中的功能和服务。
- Active Directory Federation Services (AD FS) - 使用直通身份验证或密码哈希同步将用户身份验证从联合身份验证迁移到云:
- Microsoft Entra应用程序代理 - 使员工能够从设备提高工作效率。 了解云中的软件即服务 (SaaS) 应用和本地企业应用。 Microsoft Entra应用程序代理允许在没有虚拟专用网络(VPN)或DMZ区域的情况下进行访问:
- 无缝单一登录(无缝 SSO)- 在连接到企业网络的企业设备上使用无缝 SSO 实现用户登录。 用户无需密码即可登录Microsoft Entra ID,通常无需输入用户名。 授权用户无需额外的本地组件即可访问基于云的应用:
用户
- 用户标识 - 了解用于在云应用(例如 Dropbox、Salesforce、ServiceNow 等)中创建、维护和删除用户标识的自动化功能。
- Microsoft Entra ID Governance - 创建标识治理并增强依赖于标识数据的业务流程。 在 HR 产品(例如 Workday 或 Successfactors)中使用规则管理员工和临时工作人员的标识生命周期。 这些规则将入职-转岗-离职 (JLM) 流程(例如新员工招聘、解雇、调职)映射到 IT 操作,例如创建、启用、禁用。 有关详细信息,请参阅以下部分。
- Microsoft Entra B2B 协作 - 通过安全访问应用程序改进外部用户协作:
标识治理和报告
Microsoft Entra ID Governance使组织能够提高工作效率,增强安全性,更轻松地满足合规性和法规要求。 使用Microsoft Entra ID Governance确保适当的人员有权访问正确的资源。 改进标识和访问过程自动化、委派到业务组,并提高可见性。 使用以下列表来了解标识治理和报告。
了解详细信息:
Privileged Identity Management (PIM) - 管理 Microsoft Entra ID、Azure 资源和其他 Microsoft 在线服务中的特权管理角色。 使用它进行实时访问、请求审批工作流和集成的访问评审,以帮助防止恶意活动:
- 请参阅 开始使用特权身份管理
- 请参阅规划特权身份管理部署
报表和监视 - Microsoft Entra报告和监视解决方案设计具有依赖关系和约束:法律、安全、操作、环境和进程。
访问评审 - 了解和管理对资源的访问:
关于试点的最佳做法
在对大型组或每个人进行更改之前,请使用试点对小型组进行测试。 确保组织中的每个用例都经过测试。
试点:阶段 1
在最初阶段,以 IT、可用性和其他可以测试和提供反馈的用户为目标试点。 使用这些反馈为支持人员提供有关潜在问题的见解,并制定要发送给所有用户的沟通措施和说明。
试点:阶段 2
使用动态成员身份或手动将用户添加到目标组,将试点范围扩大到更大的用户组。