通过

使用 Microsoft Entra ID 治理来治理员工和来宾生命周期

  • 项目

Identity Governance 可帮助组织在以下需求之间实现平衡:工作效率 - 用户可以多快地访问所需的资源(例如在刚入职时)? 安全性 - 用户的访问权限会不断发生怎样的变化(例如,由于该用户的雇佣状态发生变化)?

标识生命周期管理

标识生命周期管理是 Identity Governance 的基石,大规模的有效监管需要将应用程序的标识生命周期管理基础结构现代化。 标识生命周期管理旨在自动化和管理组织附属个人的整个数字身份生命周期进程。

Microsoft Entra 在与其他源和目标的预配中的关系图。

什么是数字标识?

数字标识是关于由一个或多个计算资源使用的实体的信息,例如操作系统或应用程序。 这些实体可以代表人员、组织、应用程序或设备。 标识通常是通过与其相关联的特性(如名称、标识符和用于访问管理的角色等属性)进行描述的。 这些特性可帮助系统做出决策,例如决定谁有权访问哪些内容或者谁可以使用此资源。

管理数字标识的生命周期

管理数字标识是一项复杂的任务,尤其是当它将相关的实际对象(例如某位组织的员工以及该员工与组织的关系)与数字表示形式相关联时。 在小型组织中,保留需要标识的个人的数字表示形式可以采用手动操作。 例如,当某人被雇用或合同工到达时,IT 专家可以在目录中为其创建帐户,并为其分配所需的访问权限。 但是,在中型和大型组织中,自动化可让组织更有效地进行缩放并保持标识的准确性。

在组织中建立标识生命周期管理的典型过程遵循以下步骤:

  1. 确定是否已经存在组织将其视为权威的记录系统 - 数据源。 例如,组织可能具有 Workday 或 SuccessFactors 等 HR 系统 ,并且该系统在提供当前的员工列表及其某些属性(如员工姓名或部门)方面具有权威性。 此外,诸如 Exchange Online 之类的电子邮件系统可能在提供其他属性(如员工电子邮件地址)方面具有权威性。

  2. 将那些记录系统与 Microsoft Entra ID 连接,并解决 Microsoft Entra ID 中的现有用户与记录系统之间的任何不一致问题。 例如,Microsoft Entra ID 可能填充了已过时的数据,例如不再隶属于组织的前员工的用户帐户。

  3. Microsoft Entra ID 拥有正确的用户后,将 Microsoft Entra ID 连接到应用程序使用的一个或多个目录和数据库,并解决这些目录与 Microsoft Entra ID 中记录数据系统的副本之间的任何不一致问题。 例如,先前断开连接的应用程序目录可能具有过时的数据,例如前员工的帐户。

  4. 确定在没有记录系统的情况下,可以使用哪些过程来提供权威信息。 例如,如果只有访问者的数字标识,但组织没有可提供给访问者的数据库,则可能需要找到另一种方法来确定何时不再需要访问者的数字标识。

  5. 确保从记录系统或其他进程进行的更改通过 Microsoft Entra ID 复制到每个需要更新的目录或数据库。

用于表示员工和具有组织关系的其他人员的标识生命周期管理

为员工或具有组织关系的其他人员(如合同工或学生)计划标识生命周期管理时,许多组织会对“加入、移动和离开”过程进行建模,如下所示:

  • 加入 - 当个人需要访问权限时,这些应用程序需要标识,如果此人还没有标识,则可能需要创建一个新的数字标识
  • 移动 - 当个人在边界之间移动时,需要向其数字标识添加额外的访问授权或从中删除访问授权
  • 离开 - 当个人不需要访问权限时,可能需要删除访问权限,随后,除了审计或取证目的之外,应用程序可能不再需要标识

例如,如果一个新员工加入了你的组织,并且该员工从未加入过你的组织,则该员工需要一个新的数字标识,以 Microsoft Entra ID 中的用户帐户表示。 创建此帐户属于“加入”过程,如果有记录系统(例如可以表示新员工何时入职的 Workday),则会自动执行此操作。 之后,如果组织中的某员工有职位变动,比如从销售部转到市场营销部,这就是“移动”过程。 在此移动过程中,需要删除他们在销售组织中的访问权限,他们已不再需要这些权限,然后授予他们当前所需的市场营销组织的权限。

来宾的标识生命周期管理

合作伙伴、供应商和其他来宾的其他标识还需要类似的流程,以便他们能够协作或有权访问资源。 Microsoft Entra 权利管理利用 Microsoft Entra 外部 ID 企业对企业 (B2B) 提供与需要访问组织资源的组织外部人员进行协作所需的生命周期控制。 使用 Microsoft Entra B2B 解决方案时,外部用户会向其主目录或标识提供者进行身份验证,但在组织目录中会有一个表示形式。 可以通过组织目录中的该表示形式为用户分配资源访问权限。 权利管理使组织外部的人员能够请求访问权限,并根据需要为他们创建数字标识。 当用户失去访问权限时,会自动删除这些数字标识。

许可要求

使用此功能需要 Microsoft Entra ID 治理或 Microsoft Entra 套件许可证。 如需查找符合要求的许可证,请参阅《Microsoft Entra ID 治理许可基础知识》。

后续步骤