设计身份管理

标识治理是跨多个应用程序和服务管理标识和访问权限,以满足安全和法规要求。 通过Microsoft Entra ID 中的标识治理,可以确保合适的人员在正确的时间对正确的资源具有适当的访问权限,从而平衡安全性和工作效率。

通过标识治理,可以管理本地和云中的服务和应用程序的以下任务:

  • 管理标识生命周期。 自动执行用户生命周期事件(例如添加、移动和离开操作),以满足安全性和工作效率需求。

  • 管理访问生命周期。 使用自助服务请求和监视生命周期事件快速管理访问权限更改。

  • 用于管理的安全特权访问。 管理对特权资源的访问权限,以降低权限过多、不必要的或滥用的风险。

标识生命周期

当教育组织跨多个Microsoft Entra租户时,你将拥有内部标识(如教师和学生)以及外部标识(例如来自其他学校的员工)。

  • 内部标识是在当前管理的租户中创建的标识
  • 外部标识是在当前租户外部创建的,并授予访问权限。 可以使用 B2B 协作Microsoft Entra添加它们。

标识生命周期管理有助于为标识治理奠定基础。 需要管理内部和外部标识的生命周期,以及它们与资源的关系。

组织中的每个人都有自己的工作所需的资源子集。 如果没有定义每个角色每个项目所需的列表,管理访问权限具有挑战性。 当内部或外部标识加入、移动或离开组织时,其标识和资源访问权限应随它们进行调整。 自动预配Microsoft Entra ID 中的用户有助于跨应用程序创建、维护和最终删除用户标识,从而改善协作,从而帮助解决这一难题。

用户预配

上传 CSV 文件或用于同步用户数据的自定义脚本等传统预配方法容易出错、不安全且难以管理。

自动预配是指在用户需要访问的云应用程序中创建用户标识和角色。 除了创建用户标识外,自动设置还包括随着状态或角色更改而维护并删除用户标识。

建议大型教育组织使用自动化Microsoft Entra用户预配服务。 此服务提供 与基于云的人力资源 (HR) 应用程序 (如 Workday 和 SuccessFactors)的集成,并使你能够利用以下优势:

  • 最大程度地提高预配过程的效率和准确性

  • 节省与托管和维护自定义开发的预配解决方案和脚本相关的成本

  • 通过在用户离开组织时立即从关键 SaaS 应用中删除用户的标识来保护组织

  • 轻松将大量用户预配到特定的 SaaS 应用程序或系统

  • 一致的策略,用于确定预配的人员以及谁可以登录到应用程序

入站用户预配

入站用户预配是用户数据从组织的人力资源管理 (HCM) 应用程序 () 流到Microsoft Entra ID 或本地 Active Directory的过程。 如果 HCM 应用程序支持 SCIM 协议,则集成是可能的。 还可以与提供预配 API 连接器的基于云的 HCM 系统集成。

入站用户预配。

若要了解详细信息,请参阅规划云 HR 应用程序以Microsoft Entra用户预配

出站用户预配

出站用户预配或应用预配是指在用户必须访问的云软件即服务 (SaaS) 应用程序中自动创建用户标识和角色。 应用预配适用于 Microsoft Entra SaaS 应用库中的预集成应用程序) 和支持 SCIM 2.0 的应用程序。

出站用户预配。

若要了解详细信息,请参阅 规划自动用户预配部署

访问生命周期

EDU 组织需要一个流程来管理初始创建和预配以外的访问权限。 理想情况下,还应能够有效地缩放,以便持续开发和强制实施访问策略和控制。

自助服务组管理

如果可能,请使用 自助服务组管理 来利用以下优势:

安全性。 管理员可以根据用户属性为Microsoft Entra ID 中创建的组设置规则。 这允许自动在安全组中添加或删除成员。 这些 动态组 可用于提供对应用程序或云资源的访问权限,以及将许可证分配给成员。 条件访问策略可确保合法用户访问应用,从而进一步增强安全性。 例如,当 HR 应用被选为云应用时,可以选择包含 HR 部门所有成员的组。

经济高效。 通过 自助服务组成员身份减少 IT 支持的成本、时间和工作负荷。 自助服务组管理功能使你能够将组管理委托给用户。 借助此功能,他们可以创建组并管理其拥有的组中的成员身份。

自助服务。 将组管理委托给用户。 自助服务组管理功能使用户能够在他们拥有的组中创建组和管理成员身份。 然后,可以使用这些组来分配对应用程序的访问权限。 例如,如果想要为教职员工部门分配访问权限以使用五个不同的 SaaS 应用程序,可以创建一个包含教职员工系中的用户的组,然后将该组分配给教职员工部门所需的这五个 SaaS 应用程序。

有关自助服务组管理的详细信息,请下载Microsoft Entra Self-Service组管理白皮书。

权利管理

管理用户对大型 EDU 中资源的访问具有挑战性,如果跨租户组合了内部和外部用户,则更具有挑战性。 权利管理 使用户(包括来宾)能够请求访问授予跨组、应用程序和 SharePoint 网站访问权限的访问包。 它还使你能够通过自动执行访问请求工作流、访问分配、评审和过期来大规模管理标识和访问生命周期。

下面是可以使用权利管理用户访问权限的资源类型:

  • Microsoft Entra安全组的成员身份

  • Microsoft 365 组和 Teams 的成员身份

  • 分配到Microsoft Entra企业应用程序,包括 SaaS 应用程序和支持联合/单一登录和/或预配的自定义集成应用程序

  • SharePoint Online 网站的成员身份

访问包

权利管理允许定义访问包,这些访问包表示一组资源,这些资源作为一个单元分配给用户、建立有效期、审批工作流等。使用访问包可以一次性设置资源和策略,在访问包的整个生命周期内自动管理访问权限。

访问包必须放在名为目录的容器中。 目录定义可以添加到访问包的资源。 目录用于委派,以便非管理员可以创建自己的访问包。 目录所有者能够将他们拥有的资源添加到目录。

作为一个教育组织,你应该考虑为每个学校创建一个目录,并为每个年级创建一个访问包,其中包含特定于该年级的资源的策略和访问权限。 当学生升到下一个年级或教师转到另一个年级时,他们可以请求访问新年级的访问包,而与以前的成绩相关的访问权限将过期。

访问包还必须至少有一个策略。 策略指定谁可以请求访问包以及审批和生命周期设置。 建议使用权利管理将创建访问包的能力委托给非管理员,并使用用户可以请求的规则定义策略、必须批准其访问权限以及访问到期时间。

在以下情况下,访问包最适合:

  • 用户需要对特定任务进行限时访问。 例如,可以使用基于组的许可和动态组来确保所有员工都有一个Exchange Online邮箱,然后在用户需要其他访问权限(例如从其他部门读取部门资源)的情况下使用访问包。

  • 访问需要由用户的经理或其他指定人员批准。

  • 部门希望在不涉及 IT 的情况下管理自己的资源访问策略。

  • 两个或更多学校正在协作处理一个项目,因此,一所学校的多个用户需要通过Microsoft Entra B2B 引入才能访问另一所学校的资源。

有关详细信息,请参阅在Microsoft Entra权利管理中创建新的访问包

许可要求

使用访问包需要Microsoft Entra ID P2 许可证,并且需要以下许可证:

  • 可以请求访问包的成员用户。

  • 请求访问包的成员和来宾用户。

  • 批准访问包请求的成员和来宾用户。

  • 直接分配到访问包的成员和来宾用户。

以下任务不需要Microsoft Entra ID P2 许可证:

  • 具有全局管理员角色的用户设置初始目录、访问包和策略,并将管理任务委托给其他用户。

  • 已委派管理任务的用户,例如目录创建者、目录所有者和访问包管理员。

  • 可以请求访问包但不请求访问包的来宾。

注意

对于你为成员用户购买的每个付费Microsoft Entra ID P2 许可证,可以使用 Microsoft Entra B2B 来邀请最多 5 个来宾用户。 这些来宾用户还可以使用Microsoft Entra ID P2 功能。 有关详细信息,请参阅Microsoft Entra B2B 协作许可指南

访问审查

用户加入后,需要一个流程,使用户能够随着需求的变化而变化。

比如以下几种情况:

  • 当新用户加入时,如何确保他们具有适当的访问权限来提高工作效率?

  • 当人们移动团队或离开学校时,如何确保删除他们的旧访问权限,尤其是当它涉及来宾时?

  • 过多的访问权限可能会导致审核结果和泄露,因为它们表明对访问权限缺乏控制。

  • 你必须主动与资源所有者联系,以确保他们定期审查谁有权访问其资源。

建议使用Microsoft Entra访问评审来有效管理组成员身份、对应用程序的访问和角色分配。 应定期评审用户的访问权限,以确保只有正确的人员能够继续访问。

许可要求

使用访问评审需要Microsoft Entra ID P2 许可证,并且需要满足以下条件:

  • 被分配为审阅者的成员和来宾用户。

  • 执行自我评审的成员和来宾用户。

  • 执行访问评审的组所有者。

  • 执行访问评审的应用程序所有者。

设置访问评审、配置设置或应用评审决策的具有全局管理员或用户管理员角色的用户不需要Microsoft Entra ID P2 许可证。

对于分配给自己组织用户的每个付费Microsoft Entra ID P2 许可证,可以使用Microsoft Entra企业到企业 (B2B) 在外部用户限额下邀请最多 5 个来宾用户。 这些来宾用户还可以使用Microsoft Entra ID P2 功能。 有关详细信息,请参阅Microsoft Entra B2B 协作许可指南

特权访问

标识治理中的另一个关键生命周期是用户的特权访问生命周期。 尽量减少有权访问敏感资源的用户数有助于维护整体安全的环境,但仍有一些用户需要管理员权限。 管理管理员访问权限,以降低访问权限过多、不必要的或滥用的风险,无论这些访问权限来自你的学校还是来自其他学校。

Privileged Identity Management

Microsoft Entra Privileged Identity Management (PIM) 提供基于时间的角色激活和基于审批的角色激活,以降低对Microsoft Entra ID、Azure 和其他 Microsoft Online Services(如 Microsoft 365 或)中的资源过度、不必要的或滥用访问权限的风险Microsoft Intune。 它用于通过降低特权的公开时间,并通过报告和警报提高特权使用情况的可见性来保护特权帐户。

下面是Privileged Identity Management的一些主要功能:

  • 提供对Microsoft Entra ID 和 Azure 资源的实时特权访问

  • 使用开始和结束日期分配对资源的有时间限制访问权限

  • 需要审批才能激活特权角色

  • 强制实施多重身份验证以激活任何角色

  • 使用理由了解用户激活的原因

  • 激活特权角色时获取通知

  • 进行访问评审,确保用户仍需要角色

  • 下载内部或外部审核的审核历史记录

建议使用 PIM 管理和控制组织中的以下事项:

  • 为特定角色启用审批

  • 指定审批者用户或组以批准请求

  • 查看所有特权角色的请求和审批历史记录

  • 批准或拒绝 (单个和批量) 的角色提升请求

  • 提供批准或拒绝的理由

  • 请求激活需要审批的角色

许可要求

使用 PIM 需要Microsoft Entra ID P2 许可证,并且需要满足以下条件:

  • 被分配为有资格Microsoft Entra ID 或使用 PIM 管理的 Azure 角色的用户。

  • 被分配为特权访问组的合格成员或所有者的用户。

  • 能够在 PIM 中批准或拒绝激活请求的用户。

  • 分配给访问评审的用户。

  • 执行访问评审的用户。