Microsoft Entra 部署計劃

Azure Active Directory 現已成為 Microsoft Entra ID，能夠透過雲端身分識別和存取權管理來保護您的組織。 該解決方案會將員工、客戶以及合作夥伴，與他們的應用程式、裝置和資料連接起來。

本文章的指導可協助您組建計劃，以部署 Microsoft Entra ID。 了解組建計劃的基本知識，然後使用下列各章節了解驗證部署、應用程式和裝置、混合式案例、使用者身分識別等等。

專案關係人和角色

開始部署計劃時，請加入您的關鍵專案關係人。 識別並記錄專案關係人、受影響的角色及權責和責任領域，以實現有效的部署。 各組織的職稱和角色各不相同，但權責領域是相似的。 請參閱下表，了解影響任何部署計劃的常見和重要角色。

角色	責任
贊助者	有權力核准或指派預算和資源的企業高階領導者。 發起人是經理與高階主管團隊之間的連接橋梁。
終端使用者	服務實施的對象。 使用者可以參與試驗計劃。
IT 支援管理員	為可否支援提議的變更提供意見
身分識別架構師	定義變更與身分識別管理基礎結構相符的程度
應用程式企業負責人	負責受影響的應用程式，可能包括存取權管理。 提供有關使用者體驗的意見。
安全性負責人	確認變更計劃符合安全性需求
合規性管理員	確保符合公司、產業或政府需求

RACI

Responsible, Accountable, Consulted, and Informed (負責者/當責者/事先諮詢者/事後告知者，RACI) 是為了完成專案或商務程序的工作或交付項目時的各角色參與模型。 使用此模型協助確保組織中的角色了解部署責任。

• 負責者 - 負責正確完成工作的人員。
  • 雖然您可以委派其他人來協助交付工作，但仍會有至少一個負責者角色。
• 當責者 - 最終對交付項目或工作正確度和完成度負責的人。 當責者角色要確保工作的先決條件得到滿足，並將工作委派給負責者角色。 當責者角色會核准負責者提供的工作。 請為每個工作或交付項目指派一個當責者。
• 事先諮詢者 - 事先諮詢者角色負責提供指導，通常是主題專家 (SME)。
• 事後告知者 - 通常在完成工作或交付項目時，掌握最新進度的人。

驗證部署

請使用下列清單來規劃驗證部署。

• Microsoft Entra 多重要素驗證 (MFA) - 多重要素驗證使用系統管理員核准的驗證方法，有助於保護對資料和應用程式的存取，同時滿足輕鬆登入的需求：

  • 觀看影片如何在您的租用戶中設定和強制執行多重要素驗證
  • 請參閱規劃多重要素驗證部署

• 條件式存取 - 實作自動化存取控制決策，依據條件讓使用者存取雲端應用程式：

  • 請參閱條件式存取是什麼？
  • 請參閱規劃條件式存取部署

• Microsoft Entra 自助式密碼重設 (SSPR) - 協助使用者重設密碼，而不需系統管理員介入：

  • 請參閱 Microsoft Entra ID 的無密碼驗證選項

  • 請參閱規劃 Microsoft Entra 自助式密碼重設部署

• 無密碼驗證 - 使用 Microsoft Authenticator 應用程式或 FIDO2 安全性金鑰實作無密碼驗證：

  • 請參閱使用 Microsoft Authenticator 進行無密碼登入
  • 請參閱規劃 Microsoft Entra ID 中的無密碼驗證部署

應用程式和裝置

請使用下列清單協助部署應用程式和裝置。

• 單一登入 (SSO) - 讓使用者只需登入一次即可存取應用程式和資源，不需要重新輸入認證：
  • 請參閱Microsoft Entra ID 中的 SSO 是什麼？
  • 請參閱規劃 SSO 部署
• 我的應用程式入口網站 - 探索和存取應用程式。 透過自助服務提升使用者生產力，例如要求群組存取權，或代表其他人管理資源的存取權。
  • 請參閱我的應用程式入口網站概觀
• 裝置 - 使用 Microsoft Entra ID 評估裝置整合方法、選擇實作計劃等等。
  • 請參閱規劃您的 Microsoft Entra 裝置部署

混合式案例

下列清單描述混合式案例中的功能和服務。

• Active Directory 同盟服務 (AD FS) - 透過傳遞驗證或密碼雜湊同步，將使用者驗證從同盟移轉至雲端：
  • 請參閱Microsoft Entra ID 的同盟是什麼？
  • 請參閱從同盟移轉至雲端驗證
• Microsoft Entra 應用程式 Proxy - 讓員工能在裝置上保持生產力。 了解雲端中的軟體即服務 (SaaS) 應用程式和內部部署的公司應用程式。 Microsoft Entra 應用程式 Proxy 不需透過虛擬私人網路 (VPN) 或遮蔽式子網路 (DMZ)，即可存取：
  • 請參閱透過 Microsoft Entra 應用程式 Proxy 遠端存取內部部署的應用程式
  • 請參閱規劃 Microsoft Entra 應用程式 Proxy 部署
• 無縫單一登錄 (無縫 SSO) - 在連線至公司網路的公司裝置上使用無縫 SSO 進行使用者登入。 使用者不需要密碼來登入 Microsoft Entra ID，而且通常不需要輸入使用者名稱。 授權的使用者不需要額外的內部部署元件，即可存取雲端式應用程式：
  • 請參閱 Microsoft Entra 單一登入 (SSO)：快速入門
  • 請參閱 Microsoft Entra 無縫 SSO：深入技術性討論

使用者

• 使用者身分識別 - 了解在雲端應用程式 (例如 Dropbox、Salesforce、ServiceNow 等等) 建立、維護和移除使用者身分識別的自動化。
  • 請參閱規劃 Microsoft Entra ID 中的自動使用者佈建部署
• Microsoft Entra ID 控管 - 建立身分識別治理，並增強依賴身分識別資料的商務程序。 透過 Workday 或 Successfactors 等人力資源產品，使用規則管理員工和臨時員工身分識別的生命週期。 這些規則會將 Joiner-Mover-Leaver (JLM) 流程 (例如將新進員工、終止、移轉) 對應至 IT 動作 (例如建立、啟用、停用)。 請參閱下一章節以深入了解。
  • 請參閱規劃雲端人力資源應用程式到 Microsoft Entra 的使用者佈建
• Microsoft Entra B2B 共同作業 - 透過安全存取應用程式改善外部使用者共同作業：
  • 請參閱 B2B 共同作業概觀
  • 請參閱規劃 Microsoft Entra B2B 共同作業部署

身分識別治理和報告

Microsoft Entra ID 控管讓組織提升生產力、加強安全性，並更輕鬆地符合合規性和法規需求。 透過 Microsoft Entra ID 控管，確保正確人員有正確資源的正確存取權。 改善身分識別與存取流程自動化、商務群組的委派及更高的可見度。 使用下列清單來了解身分識別治理和報告。

深入了解：

• 在連網世界中安全存取：了解 Microsoft Entra

• 治理環境中應用程式的存取權

• Privileged Identity Management (PIM) - 管理 Microsoft Entra ID、Azure 資源及其他 Microsoft 線上服務的特殊權限系統管理角色。 可用於 Just-In-Time (JIT) 存取 (JIT)、要求核准工作流程及整合式存取審查，協助防止惡意活動：

  • 請參閱開始使用 Privileged Identity Management
  • 請參閱規劃 Privileged Identity Management 部署

• 報告和監視 - Microsoft Entra 報告和監視解決方案設計具有相依性和條件約束：法律、安全性、作業、環境和流程。

  • 請參閱 Microsoft Entra 報告和監視部署相依性

• 存取審查 - 了解和管理資源存取權：

  • 請參閱存取權審查是什麼？
  • 請參閱規劃 Microsoft Entra 存取審查部署

試驗的最佳做法

在對較大的群組或每個人進行變更之前，請先使用試驗，在小型群組測試。 請確定組織中每個使用案例都經過測試。

試驗：階段 1

在第一階段，將目標設定為 IT、可用性，以及其他可測試並提供回饋意見的使用者。 使用此回饋意見來深入解析支援人員可能遇到的問題，以及撰寫要傳送給所有使用者的通訊內容和指示。

試驗：階段 2

透過動態成員資格，或手動將使用者新增至目標群組，將試驗範圍擴大為較大的使用者群組。

深入了解 Microsoft Entra ID 中群組的動態成員資格規則