通过

Microsoft Entra ID 合规管理部署指南用于分配员工访问权限

部署方案是有关如何合并和测试Microsoft安全产品和服务的指导。 了解功能如何协同工作以提高工作效率、增强安全性,并更轻松地满足合规性和法规要求。

本指南中显示了以下产品和服务:

使用此方案帮助确定您是否需要 Microsoft Entra ID Governance 来为组织创建和授予访问权限。 了解如何使用自动化工作流、访问分配、访问评审和过期来简化员工体验。

时间线

时间线显示大致的交付阶段持续时间,并基于方案复杂性。 时间是估计值,具体取决于环境。

  1. 权利管理 - 1 小时
  2. 自动分配策略 - 1 小时
  3. 自定义扩展 - 2 小时
  4. 权限审核 - 2 小时

访问请求:工作流和审批

权利管理 是一项标识治理功能,用于管理员工对资源的访问。 自动执行访问请求工作流、访问分配、访问评审和过期。 允许用户自行请求资源访问权限。 为此,请定义自助服务策略和工作流:

  • 启用多阶段审批工作流、职责执行分离和定期访问重新认证
  • 使用 Azure Logic Apps 的自定义工作流程来管理访问生命周期
  • 配置限时访问

部署权利管理

  1. 转到 在权限管理中创建访问包
  2. 按照说明创建访问包。
  3. 创建自动分配策略。

职责分离

在权利管理中,可以为用户组和访问包配置策略。 相反,在职责分离的情况下,如果将用户分配到其他访问包,或者用户是不兼容组的成员,则可以禁用请求。 生成具有不兼容访问权限的用户的报告。 在授予用户对应用程序的访问权限时创建警报。

可以了解如何为访问包配置职责分离检查

创建自动分配策略

在此访问策略领域, 出生权分配 是指根据用户属性自动授予资源访问权限。 创建任务的方式是类似的。 用户属性要么与策略的成员资格规则匹配,要么不匹配。 使用规则根据用户属性(类似于 动态组)确定访问包分配。 根据规则条件添加或删除分配。

在以下屏幕截图中,看到“ 编辑策略”对话框,其中包含 “创建自动分配策略 ”选项卡。

“编辑策略”对话框中的“创建自动分配策略”选项卡的屏幕截图。

有关详细信息,可以在 Microsoft Entra ID 中了解组和访问权限

请参阅以下视频,了解有关策略分配的详细信息。

使用 Azure 逻辑应用的自定义工作流

使用可视化设计器和预生成作,使用 Azure 逻辑应用创建和运行自动化工作流。

若要扩展治理工作流,请将逻辑应用与权利管理集成:

  • 已创建或批准访问包请求
  • 已授予或移除访问包作业
  • 访问包作业自动过期前的 14 天
  • 访问包作业自动过期前一天

注释

已准备好 Azure 订阅资源进行规划。

自定义用例示例

  • 发送自定义电子邮件通知
  • 发送 Microsoft Teams 通知
  • 从应用程序获取用户信息
  • 将用户信息写回外部系统
  • 调用外部 Web API,以在外部系统上触发操作。
  • Microsoft Planner 中创建任务集
  • 生成临时访问通行证(TAP)

部署访问包自定义扩展

注释

若要考虑自定义扩展,请确保了解 Azure 逻辑应用功能。 有关详细信息,请参阅上一部分。

  1. 转到 在权利管理中使用自定义扩展触发 Azure 逻辑应用
  2. 使用说明创建自定义扩展并将其添加到目录。
  3. 编辑自定义扩展。
  4. 将自定义扩展添加到访问包。

请参阅以下视频,了解 Microsoft Entra ID Governance 中的自定义扩展和访问包。

访问重新认证:访问审查

对于访问重新认证,可以使用定期 访问评审来评审访问权限。 管理组成员身份、资源访问、角色分配,并满足合规性要求。

管理员确定评审范围,然后在访问评审、Microsoft Entra 企业应用、 Privileged Identity Management (PIM)或权利管理中创建评审。

管理员的评审创建示意图。

此时会显示“ 新建访问评审 ”对话框,其中包含 “审阅类型 ”选项卡。查找查看类型、范围和其他配置详细信息的选项。

审阅者

管理员在创建访问评审期间分配主要审阅者和回退审阅者。 电子邮件通知审阅者待处理的评审。 你可以将用户分配到自我评审或分配资源所有者来评审其资源。 对于自我评审,如果用户拒绝或未响应,则可以删除特权。

管理员的审阅者分配步骤示意图。

“我的访问权限”仪表板显示审阅者的待处理的审批和建议。

待审核关系图。

多阶段评审

多阶段评审 可减轻个别审阅者的负担,并帮助跨审阅者达成共识。 替补审阅员帮助决定未经审阅的决定。 查看阶段配置包括指示阶段数。

访问漏斗图。

使用 “新建访问评审 ”对话框和“ 审阅 ”选项卡配置评审阶段、审阅者、持续时间等。

新访问评审对话框的示意图。

自动决策条件

在访问评审配置期间,您可以指明各种决策标准,包括审阅者决策辅助工具。 其他选项包括:

  • 响应触发器
  • 帐户不活动
  • 理由要求
  • 警报和通知

新建访问审核”对话框和“设置”选项卡,其中“决策辅助选项”已突出显示。

“新建访问评审”对话框和“设置”选项卡的屏幕截图。

不活跃的用户评论

如果用户在指定时间内未登录租户,则被视为非活动状态。 此行为根据应用分配审核或用户在应用中的最后活动进行调整。 首先,定义贵组织中“非活动状态”的含义。

了解如何 检测和调查非活动用户帐户

“新建访问评审”对话框和“审阅类型”选项卡,其中突出显示了非活动选项。

“新建访问评审”对话框和“审阅类型”选项卡的屏幕截图。

审查建议

审阅者可以使用机器学习派生 的建议 来帮助做出访问决策。 建议会基于报告结构邻近度检测用户到组关联。 远离组成员的用户 的关联度较低

注释

用户到组关联适用于目录中的用户。 超过 600 名用户的组则不受支持。 确保用户具有管理器属性。

适用于组的 PIM 的访问评审

可以使用组的 Privileged Identity Management (PIM) 授予用户即时 (JIT) 成员身份和组所有权。 评审包括活动组成员和符合条件的成员。

了解如何为适用于组的 PIM 创建访问评审

注释

访问权限审查可以评估长达两年的不活跃状态。

“新建访问评审”对话框和“查看类型”对话框,其中包含范围等选项。

“新建访问评审”对话框的屏幕截图,“审阅类型”选项卡。

创建访问评审历史记录报告

使用访问评审,授权用户可以创建可下载的评审历史记录报告,以便更深入地了解审阅者决策、时间范围等。 使用筛选器以包括审阅类型和结果。

“审阅历史记录”区域中的“标识治理”对话框,其中突出显示了“审阅历史记录”选项。

部署访问评审

  1. 规划 Microsoft Entra 访问审核部署
  2. 创建适用于组的 PIM 访问评审
  3. 完成对 PIM 中 Azure 资源和Microsoft Entra ID 角色的访问评审
  4. 在权限管理中创建访问包的访问审核

使用 Azure 数据资源管理器创建自定义报表

可以生成自定义报表。 将数据从 Microsoft Entra ID 导出到 Azure 数据资源管理器,并使用 Kusto 查询语言(KQL)创建定制视图。 可以分析权利数据、自定义见解和优化标识治理报告。 在以下视频中,可以了解如何使用 Azure 数据资源管理器创建自定义报表:

请求访问包

管理员使用 “我的访问”门户 配置访问权限,并允许用户查看或请求对资源的访问权限(请求者)。 在“我的访问”门户中,审批者可以修改请求者提交的答案。

了解如何 申请访问包

后续步骤

  • Last updated on