欢迎使用 Microsoft Entra 套件试用版用户指南。 通过探索 Microsoft Entra 的可靠且全面的功能,充分利用免费试用版。
提示
将此试用版用户指南保存到浏览器收藏夹。 通过点击试用版用户指南中的链接离开此位置时,将能够更轻松地返回到本指南以继续操作。
什么是 Microsoft Entra 套件?
Microsoft Entra 套件是提供统一零信任用户访问的解决方案,支持员工安全地访问云和本地应用程序。 该套件允许你在企业外围内外的公共和专用网络之间提供最低特权访问。 通过将网络访问、ID 保护、治理和身份验证解决方案相结合,Microsoft Entra 套件扩展了跨身份和网络控制的条件访问,筛选出恶意内容,并确保提供最小特权访问,以实现简单、一致的用户体验(无论员工在办公室内还是远程办公)。
试用版许可先决条件
- Microsoft Entra ID P1
- 包含 Microsoft Entra ID P1 或 Microsoft Entra ID P2 的任何包(例如 ME3 或 ME5)
开始试用或购买Microsoft Entra 套件时,第一步是确定最适合组织的许可选项。 为 Microsoft Entra ID P2/E5 客户提供特殊定价。 有关定价的详细信息,请参阅 Microsoft Entra 计划和定价。
Microsoft Entra 套件试用版中包含哪些内容?
Microsoft Entra 套件包括以下五种产品:
Microsoft Entra 专用访问:消除旧版 VPN 的风险和操作复杂性,同时提高用户工作效率。 快速安全地将远程用户从任何设备和任何全局网络连接到专用应用,包括本地部署、云端部署以及混合部署的应用。
Microsoft Entra Internet 访问:保护对所有 Internet、SaaS 和 Microsoft 365 应用和资源的全局访问,同时利用以标识为中心的安全 Web 网关 (SWG) 保护组织免受 Internet 威胁、恶意网络流量以及不安全或不合规的内容的攻击。
Microsoft Entra ID 治理:管理 IT 环境中的用户标识、访问权限和权利,以确保采取适当的访问控制、降低风险并始终符合法规要求。
Microsoft Entra ID 保护:基于各种来源的集成风险分数分析用户和登录模式,实时阻止标识接管。 防范基于标识的攻击,例如网络钓鱼、受感染的设备和泄露的凭据。
Microsoft Entra 验证 ID:使用安全验证方法验证用户,以确保身份验证场景的安全性(如用户加入),并实现对敏感资源和帐户恢复过程的安全访问。
Microsoft Entra 套件产品指南
为帮助你充分利用 Microsoft Entra 套件试用版,建议查看以下操作指南,以帮助提高组织环境的安全性。
本部分将详细介绍以下操作指南:
- 步骤 1:部署 ID 保护:部署安全控制,以增强对有风险用户的识别和保护。
- 步骤 2:制定访问评审:开展访问评审,以确保企业内的系统访问合理恰当。
- 步骤 3:保护对 Internet 的访问:使用安全 Web 网关保护 Internet 流量。
- 步骤 4:启用专用访问网关:利用快速访问,弃用昂贵的 VPN 系统。
- 步骤 5:使用工作流门户加入客户:使用生命周期工作流自动加入员工。
以下部分包括流程步骤,用于逐步介绍每款产品。 其中每个步骤都完整记录在单独的操作指南中,可通过单击每个步骤末尾的链接进行访问。
步骤 1:部署 Microsoft Entra ID 保护
Microsoft Entra ID 保护会检测基于标识的风险并报告这些风险,让管理员进行调查和修正,确保组织安全且受到保护。 风险数据可以进一步馈送给条件访问等工具,供其制定访问决策,也可以馈送到安全信息和事件管理 (SIEM) 工具,以进行深入分析和调查。
- 审阅现有报表
- 规划条件访问风险策略
- 配置策略
- 监视和持续操作需求
要查看完整的操作指南,请参阅规划 Microsoft Entra ID 保护部署。
步骤 2:制定访问评审
Microsoft Entra 访问评审是一项Microsoft Entra ID 治理功能,通过管理其资源访问生命周期来帮助组织保护企业更安全。 其他功能包括权利管理、Privileged Identity Management (PIM)、生命周期工作流、预配和使用条款。
- 规划访问包、组和应用程序的访问评审
- 计划 Microsoft Entra ID 和 Azure 资源角色评审
- 部署访问评审
- 使用访问评审 API
- 监视访问评审
要查看完整的操作指南,请参阅规划 Microsoft Entra 访问评审部署。
步骤 3:保护对 Internet 访问的安全
Microsoft Entra Internet 访问是否能够保护企业用户和托管设备免受恶意 Internet 流量和恶意软件感染的影响,是所有公司都关心的问题。 将安全 Web 网关功能与 Microsoft Entra 条件访问集成,即可基于 Web 类别和完全限定域名 (FQDN) 阻止流量。
- 部署和测试 Microsoft Entra Internet 访问
- 创建应用于通过服务路由的所有 Internet 流量的基线策略
- 基于类别阻止组访问网站
- 基于 FQDN 阻止组访问网站
- 允许用户访问阻止的网站
要查看完整的操作指南,请参阅 Microsoft Entra Internet 访问的部署指南。
步骤 4:启用专用访问网关
Microsoft Entra 专用访问融合了网络和标识访问控制,因此可以保护从任何位置、设备或标识对任何应用或资源的访问。 它为员工、业务合作伙伴和数字工作负载启用和编排访问策略管理。
- 部署和测试 Microsoft Entra 专用访问
- 应用 Microsoft Entra 条件访问
- 控制多个用户对多个应用的访问
要查看完整的操作指南,请参阅 Microsoft Entra 专用访问的部署指南。
步骤 5:使用工作流门户载入客户
Microsoft Entra 管理门户使你能够通过 HR 预配流程使用生命周期工作流自动执行预聘任务。 预配在目标系统中基于特定条件创建标识。 当条件不再满足时,取消预配会从目标系统中删除标识。 这些过程是标识生命周期管理的一部分。
- 使用预聘模板创建工作流
- 运行工作流
- 检查任务和工作流状态
- 启用工作流计划
要查看完整的操作指南,请参阅使用 Microsoft Entra 自动执行员工入职任务。
使用 Microsoft Entra Suite 套件试用版的客户场景
以下部署场景提供有关如何组合和测试所有五个 Microsoft Entra 套件产品的详细指导。 本部分中的每个场景都包含通过单击每个场景末尾的链接即可访问的单独分步说明。
要充分利用试用版,请先完成以下用户场景。
在 Microsoft Entra Suite 试用期内充分利用“结合使用效果更好”安全策略。 实现自动化用户载入和生命周期管理,使用多重身份验证 (MFA) 实现从传统 VPN 到本地资源的细化至应用级的现代化,并基于业务规则保护 Internet 访问。
下表显示了每种场景中涵盖五个 Microsoft Entra 套件产品中的哪一个。
| 客户方案 | Microsoft Entra 专用访问 | Microsoft Entra Internet 访问 | Microsoft Entra ID 治理 | Microsoft Entra ID 保护 | Microsoft Entra 验证 ID |
|---|---|---|---|---|---|
| 1 - 自动执行用户载入和生命周期,并有权访问所有应用 | 包括 | 包括 | 包括 | 包括 | |
| 2 - 使用每个应用 MFA 将连接到本地资源的传统 VPN 现代化 | 包括 | 包括 | 包括 | ||
| 3 – 基于业务规则的安全 Internet 访问 | 包括 | 包括 | 包括 |
应用场景 1:利用对所有应用的访问权限,实现用户加入和用户生命周期的自动化
员工和来宾加入、标识和访问生命周期治理方案介绍了以下目标:
- 为远程员工提供对必要应用和资源的安全无缝访问。
- 通过向外部用户提供对相关应用和资源的访问权限,与外部用户协作。
该分步式指导侧重于 Microsoft Entra 验证 ID、Microsoft Entra ID 治理、Microsoft Entra ID 保护和 Microsoft Entra 条件访问 (CA)。 有关更新信息,请参阅 Microsoft Entra 部署方案 - 员工和来宾生命周期。
应用场景 2:使用每个应用 MFA 实现本地应用远程访问的现代化
使用每个应用 MFA 的本地应用远程访问的现代化方案介绍了以下目标:
- 将现有 VPN 升级到可扩展的基于云的解决方案,该解决方案有助于逐步转向使用 Microsoft 安全访问服务边缘 (SASE)。
- 解决业务应用程序访问依赖于公司网络连接的问题。
该分步式指导侧重于 Microsoft Entra 专用访问、Microsoft Entra ID 保护以及 Microsoft Entra ID 治理。 有关详细信息,请参阅 Microsoft Entra 部署方案 - 现代化远程访问。
应用场景 3:基于业务需求的安全 Internet 访问
基于业务需求的安全 Internet 访问方案介绍了以下目标:
通过 Microsoft Entra Internet 访问控制增强现有的严格默认 Internet 访问策略。
允许用户请求访问我的访问权限中禁止访问的网站。 审批过程会将用户添加到授予访问权限的组。 例如,营销部门访问社交网络网站以及安全部门在调查事件时访问高风险 Internet 目标。
该分步式指导侧重于 Microsoft Entra Internet 访问、Microsoft Entra ID 治理、Microsoft Entra 条件访问和全局安全访问: 有关详细信息,请参阅 Microsoft Entra 部署方案 - 保护 Internet 访问。