通过

Microsoft Entra ID 治理部署指南简介

Microsoft Entra ID 治理 是一种标识治理解决方案,用于提高工作效率、增强安全性并满足合规性和法规要求。 确保适当的人员有权访问正确的资源。 启用标识和访问流程自动化、委派到业务组以及提高可见性。 缓解标识和访问风险、保护、监视和审核对资产的访问。 详细了解 Microsoft Entra ID 治理 用例文档

部署方法

为了确保采用全面的方法进行标识治理,可以让阶段与标识生命周期保持一致。 生命周期自动化 是用户载入、角色转换和卸载的自动化过程。 若要 将用户分配到资源 ,需要向用户分配适当的资源,从而集成权利和角色。 安全特权访问 有助于使用访问控制和监视机制保护和管理特权帐户。

根据该方法,本指南包含此简介和四种方案。 使用链接查看每个方案。

虽然大多数服务都处于正式发布 (GA) 状态,但某些功能或服务可能处于公共预览状态,或处于 GA 之前的其他状态。 GA 表示产品和服务可供所有客户公开使用,并由服务级别协议(SLA)保证提供支持。 有关许可信息,请参阅以下部分。

许可

Microsoft Entra ID 治理是Microsoft Entra ID 中的一项功能。 若要进行部署,请查看以下先决条件。 

  • 若要使用 Microsoft Entra ID 来管理应用访问,请在租户中具有以下许可证组合之一:
    • Microsoft Entra ID 管理及其前提条件 Microsoft Entra ID P1
    • 适用于 Microsoft Entra ID P2 及其必备组件的 Microsoft Entra ID 治理升级、Microsoft Entra ID P2 或企业移动性 + 安全性 (EMS) E5
    • 在租户中,确保每个受管理的非访客用户都有许可证。 包括请求访问应用、批准访问权限或查看应用访问权限的用户。
  • 若要管理来宾对应用程序的访问,请将 Microsoft Entra 租户链接到用于每月活跃用户(MAU)计费的订阅。

有关详细信息,请参阅Microsoft Entra ID 治理许可基础知识

配置 Microsoft Entra ID 和 Microsoft Entra ID 治理之前了解先决条件

参与模型

建议的用于完成任务和可交付成果的角色参与模型:负责、问责、咨询和知情 (RACI)。 使用模型来确保相关角色了解职责和目标。 

  • 负责 - 完成任务
    • 至少分配一个负责的角色,不过他们可以将职责委派给他人。
  • 问责 - 对"负责"方所交付工作的正确性和完成情况承担责任
    • 责任角色委托任务并确保满足任务先决条件
    • 为每个任务或可交付成果分配一个责任角色
  • 咨询 - 提供来自行业专家 (SME) 的个人专业知识指导
  • 知情 - 接收有关任务或可交付成果完成情况的定期更新

利益干系人

利益相关者既对项目成功感兴趣,又对其产生影响。 下表展示了 Microsoft Entra ID 治理部署中利益相关者的角色和职责示例。

角色 专业技能 职责
IT 管理员 系统管理 管理用户帐户,维护系统运行状况,排查技术问题
业务分析师 要求和分析 收集业务需求,分析工作流,确保解决方案满足组织需求
最终用户 系统使用情况 按预期使用系统,提供有关性能和可用性的反馈

通信计划

通信计划可帮助你主动与利益干系人互动并管理期望。

  • 定义与利益干系人的通信用途和频率
  • 确定通过信息共享机制创建和分发通信的人员
  • 提供有关部署计划和状态的相关信息
  • 说明用户体验即将发生的更改以及用户如何获得支持

时间表

在预算和时间限制内实现预期结果时,项目是成功的。 因此,按日期、季度或年份确定结果目标。 与利益干系人合作,就定义结果目标的里程碑达成一致。 阐明每个目标的成功。 由于Microsoft Entra ID Governance 和其他Microsoft服务处于持续开发阶段,因此将要求映射到功能开发阶段。 使用应变计划设置现实预期,以满足关键里程碑:

  • 概念验证 (PoC)
  • 试点日期
  • 启动日期
  • 影响送达的日期
  • 依赖关系

详细了解 Microsoft Entra ID Governance

项目计划中包含以下内容:

  • 在后续一波波部署基础上的工作分解结构,其中包含日期、依赖关系、关键路径:
    • 每个部署波的最大用户数,具体取决于预期的支持负载
    • 每个部署波次的期限,例如每周一一个波次
    • 每个波次中的用户组数,不得超过最大数量
    • 用户需要的应用
  • 分配给任务的团队成员

测试和回滚

意外或未经测试的方案可能会对用户产生负面影响。 创建流程以:

  • 测试方案
  • 使用户能够报告问题
  • 回滚部署
  • 评估出现问题的地方:
    • 确定补救措施
    • 与利益干系人沟通
  • 测试新配置

评估和发现

在部署 Microsoft Entra ID Governance 之前,评估和发现可以了解标识治理的当前状态。 创建当前标识治理解决方案的清单。 确定差距和效率低下。

  • 确定当前状态 - 文档标识治理集成、策略、工作流、数据流和应用。 确定边缘事例或自定义工作流。
  • 了解解决方案 - 研究并了解 Microsoft Entra ID 治理体系结构
  • 保持利益干系人一致性 - 跨团队确定利益干系人并与其保持一致。 确保就目标和时间线达成一致。

有关评估和发现的详细信息,请参阅 安全部署 Microsoft Entra ID 治理的最佳做法

数据收集

收集当前的标识治理配置数据以建立准确的基线。  

  • 用户预配工作流 - 预配规则、连接器、业务流程或用例
  • Joiner、Mover、Leaver - 为加入者提供入职培训,为移动者提供流程指导,为离职者提供离职手续办理。
  • 权利和角色 - 当前资源、权利、角色、其结构和分配
  • 访问评审 - 为应用、访问包或组规划用户、组和级别的访问评审方案
  • Privileged Identity Management (PIM) - 复制激活规则、审批工作流和角色资格
  • 关键应用和集成 - 与当前解决方案集成的应用和系统
    • 根据组织需求和风险记录迁移优先级

生命周期自动化:身份记录来源

确定用于用户预配的 HR 系统或记录源(可信来源)。 大多数组织都使用云 HR 解决方案:

  • 工作日
  • SAP SuccessFactors
  • Oracle HCM
  • 荡漾
  • 其他具有 API 驱动的配置

确认用户供应目标以及是否需要将数据写回 HR 云应用程序:

  • 将用户预配到 Active Directory - 将 用户集从云 HR 应用预配到 Active Directory 域
  • 将仅云用户预配到 Microsoft Entra ID - 如果未使用 Active Directory,请从云人力资源应用将用户预配到 Microsoft Entra ID
  • 写回云 HR 应用 - 将电子邮件地址和用户名属性从 Microsoft Entra 写入云 HR 应用

可以使用本地 Active Directory 域服务(AD DS)连接器和Microsoft Entra ID 连接器。 拓扑取决于映射和要求。

详细了解 Microsoft Entra Connect 预配代理

可以规划将云 HR 应用程序与 Microsoft Entra 用户预配。

定义预配

Active Directory 拓扑(如果适用):

  • 评估目录结构 - 了解 Active Directory 环境中的组织单位、林和域
  • 规划同步 - 同步特定组织单位或目录。 考虑可伸缩性、冗余性和复制延迟。
  • 评估混合方案并确保Microsoft Entra Connect已优化 - 对于有独立信任的林,评估 Microsoft Entra Cloud Sync 的使用情况

预预配任务

如果组织有多个 入站源,请标识用户数据源:

  • HR 系统
  • 标识存储
  • 内部标识存储库

确保源具有准确的信息。 在迁移之前,可以执行审核或评估以确定是否需要数据清理。

选择一个属性,该属性标识并链接目标系统中具有相应帐户的用户记录。 默认匹配属性EmployeeID,通常用于跨组织。 但是,你决定使用什么属性。

若要进行预配,请定义 源对象的范围。 为了增强性能,可以在波形中预配用户并排除不必要的数据。

规划 属性计算。 处理长字符串、特殊字符或选择唯一用户名。 使用表达式执行计算。

有关详细信息,请参阅 在 Microsoft Entra 应用预配中编写属性映射的表达式

配置预配

可以使用有关云 HR 系统集成的指导,例如 Workday、SuccessFactors、Oracle 人力资源管理(HCM)和 Rippling。 另一种选择是使用 API 驱动的预配。 使用下表获取指导。

人力资源来源 集成指南
工作日 Microsoft Entra ID 和 Workday 集成
SAP SuccessFactors Microsoft Entra ID 和 SAP SuccessFactors 集成
Oracle HCM Microsoft Entra ID 与 Oracle HCM 集成
荡漾 将标识从 Rippling 同步到 Microsoft Entra ID
其他 API 驱动的源 API 驱动的入站预配概念

API 驱动的预配

规划 API 驱动的入站预配时,请考虑用例和方法。 若要了解详细信息,请参阅以下视频:

API 终结点

/bulkUpload API 终结点扩展了可在 Microsoft Entra ID 中管理用户的方法数。 确定 /bulkUpload API 终结点是否适合集成方案。

详细了解 API 驱动的入站学习路径

加入者、迁移者、离职者工作流

若要将用户预配到 Microsoft Entra ID,请记录载入要求,例如凭据预配、首次登录、用户移动、终止等。 确保流程符合组织策略和法规。

Microsoft Entra ID 生命周期工作流、权利管理和访问评审满足多个要求:

  • 每个用户的正确访问权限
  • 用户的访问权限操作
  • 访问控制
  • 审核员可验证的控制
  • 用户环境准备状态
  • 根据需要及时删除访问权限

某些工作流触发时间值,例如 employeeHireDateemployeeLeaveDateTime

可以 同步生命周期工作流的属性

以下列表显示了预定义的生命周期工作流任务。 你可以赋能他人。

  • 确定方案
  • 确定对象和时间
  • 查看和添加任务
  • 创建工作流
  • 进行试运行和测试

了解如何 规划生命周期工作流部署

配置和安装应用程序

确定其他目标系统需要用户预配,例如 IT 服务管理(ITSM)、专用/本地应用、软件即服务(SaaS)应用。 使用下表中的指南。

目标系统 方法 指南
信息技术服务管理 (ITSM) - 自动化应用用户预配
- 生命周期工作流自定义扩展:API、专用/本地系统
- 自动化应用用户预配
- 工作流扩展性
专用/本地应用 - 可扩展连接管理代理 (ECMA) 主机
- 生命周期工作流自定义扩展
- Microsoft Entra 本地应用预配体系结构
- 工作流扩展性
与 Microsoft Entra ID 集成的软件即服务(SaaS)应用 自动化应用用户预配 自动化应用用户预配

常见任务

查看用于自动执行用户载入的常见任务,例如通知电子邮件和添加到团队的用户。 对于许多任务,可以使用生命周期工作流任务。 任务集使用生命周期工作流处理资源分配和授权。

第一个用户登录

定义凭据预配和分发的过程。 使用生命周期工作流在触发时间生成临时访问通行证(TAP),与安全策略保持一致。

例如,在员工雇佣日期生成 TAP 并将其发送给用户经理。 经理共享 TAP,新员工可以设置无密码身份验证方法,例如 FIDO2 和无密码手机登录。 可以使用 Microsoft Authenticator 在不使用密码的情况下启用登录。

TAP 用户在 Windows 10 和 11 上导航设置以加入设备,并配置 Windows Hello 企业版。 使用 TAP 设置 Windows Hello 企业版 会因设备加入状态而异。

此外,还可以创建自定义任务扩展来传递初始凭据。 常见的内置入门任务:

  • 从所选组添加用户
  • 添加所选团队中的用户 *启用用户帐户
  • 删除用户访问包分配
  • 发送管理器通知电子邮件
  • 运行自定义任务扩展

搬迁情景

使用生命周期工作流自动执行 Mover 作业配置文件更改。 例如,Mover 方案运行计划工作流,通过电子邮件通知经理,并将用户添加到组。

通过更改用户属性或组成员身份来触发任务。

离职者场景:用户离职

卸载和结束访问是可以自动执行的重要安全任务。 使用生命周期工作流删除 employeeLeaveDateTime 的访问权限。 触发任务,例如:

  • 从所选组中删除用户
  • 从团队中删除用户
  • 禁用用户帐户
  • 从组中删除用户
  • 删除用户许可证
  • 删除用户帐户
  • 终止访问包分配

详细了解 生命周期工作流任务和定义

正在进行的操作

以下列表提供了有关常见作任务(包括维护、故障排除和报告)的文档的链接:

最佳做法和建议

最佳做法是一种经过测试的方法或技术,可帮助随时间推移提供更高质量的结果。