Microsoft Entra 身分識別和存取權管理作業參考指南
Microsoft Entra 作業參考指南的這一章節會說明您在保護和管理身分識別及其指派的生命週期時,應考慮執行的檢查和動作。
注意
這些建議是發佈時的最新資訊,但日後可能依情況修訂。 由於 Microsoft 的產品和服務會隨著時間演進,組織應持續評估其身分識別做法。
重要作業流程
指派各項重要工作的擁有者
管理 Microsoft Entra ID 需要能持續執行重要的操作工作和流程,且可能不屬於專案推出的一部分。 您仍必須安排這些工作,以妥善維護環境。 重要工作及其建議的擁有者包括:
| Task | 負責人 |
|---|---|
| 定義如何建立 Azure 訂閱的流程 | 視組織而定 |
| 決定可以獲得 Enterprise Mobility + Security 授權的人選 | IAM 作業小組 |
| 決定可以獲得 Microsoft 365 授權的人選 | 生產力團隊 |
| 決定可以獲得其他授權 (如 Dynamics、GitHub Codespaces) 的人選 | 應用程式擁有者 |
| 指派授權 | IAM 作業小組 |
| 排解及補救授權指派錯誤 | IAM 作業小組 |
| 在 Microsoft Entra ID 中將身分識別佈建至應用程式 | IAM 作業小組 |
在您檢閱清單時,可能會發現您需要為沒有擁有者的工作指派擁有者,或為擁有者不符合所提供建議的工作調整擁有權。
建議閱讀的指派擁有者相關文件
內部部署身分識別同步處理
識別並解決同步處理問題
Microsoft 建議您對內部部署環境中可能會導致雲端同步處理錯誤的問題,建立良好的基準和了解。 由於 IdFix 和 Microsoft Entra Connect Health等自動化工具可能會產生大量的誤判,建議您藉由清除有錯誤的物件,找出已超過 100 天仍未解決的同步處理錯誤。 長期懸而未決的同步處理錯誤,有可能會造成支援事件。 排解同步處理期間的錯誤提供了不同類型的同步處理錯誤概觀、某些可能導致這些錯誤的案例,以及修正錯誤的可行方式。
Microsoft Entra Connect 同步設定
為了獲得完整的混合式體驗、各裝置的安全性態勢,以及與 Microsoft Entra ID 的整合,您必須同步處理員工用來登入其桌上型電腦的使用者帳戶。
如果您不要同步處理使用者所登入的樹系,則應將同步處理變更為來自適當的樹系。
同步處理範圍和物件篩選
移除不需進行同步處理的已知物件貯體,可以帶來下列作業優點:
- 減少同步處理錯誤的來源
- 較為省時的同步處理週期
- 減少需要從內部部署攜帶的「垃圾」,例如:與雲端不相關的內部部署服務帳戶全域通訊清單所帶來的污染
注意
如果您發現匯入的物件當中,有很多不會匯出至雲端,則應該依 OU 或特定屬性予以篩選。
可以排除的物件範例包括:
- 不會用於雲端應用程式的服務帳戶
- 不會在雲端情節中使用的群組,例如:用來授與資源存取權的群組
- 可以用 Microsoft Entra B2B 共同作業來表示的外部身分識別使用者或連絡人
- 員工不會用來存取雲端應用程式的電腦帳戶,例如:伺服器
注意
如果一個人的身分識別擁有多個佈建於不同用途 (像是傳統網域移轉、合併或擷取等) 的帳戶,您應該只同步處理使用者日常使用的帳戶,例如用來登入電腦的帳戶。
在理想的情況下,建議您在減少同步處理的物件數目與規則的複雜度之間達到平衡。 一般來說,結合 OU/容器篩選與對應至 cloudFiltered 屬性的簡單屬性,會是一種有效的篩選組合。
重要
如果您在生產環境中使用群組篩選,則應轉換為另一種篩選方法。
同步處理容錯移轉或災害復原
Microsoft Entra Connect 在佈建的過程中扮演著重要的角色。 如果同步處理伺服器因某種原因離線,則無法將內部部署的變更更新至雲端,並會導致使用者的存取問題。 因此,請務必定義容錯移轉策略,以便系統管理員能在同步伺服器離線之後迅速恢復同步處理作業。 這類策略可以區分為以下幾個類別:
- 在預備模式中部署 Microsoft Entra Connect 伺服器 - 允許系統管理員透過簡單的設定切換,將預備伺服器「升階」成為實際生產伺服器。
- 使用虛擬化 - 如果將 Microsoft Entra Connect 部署在虛擬機器 (VM) 中,系統管理員就可以利用其虛擬化堆疊來即時移轉或快速重新部署 VM,以恢復同步處理。
如果您的組織缺少同步處理災害復原及容錯移轉的策略,您應立即在預備模式中部署 Microsoft Entra Connect。 同樣地,如果實際生產環境和預備環境的設定之間有不相符的情況,您應該重新訂定 Microsoft Entra Connect 預備模式的基準,以符合生產環境中的設定,包括軟體版本及各項設定。
掌握最新消息
Microsoft 會定期更新 Microsoft Entra Connect。 請持續使用最新版本,以利用各個新版本提供的效能提升、錯誤修正及新功能。
如果您的 Microsoft Entra Connect 版本已逾六個月未更新,請立即升級至最新版本。
來源錨點
使用 ms-DS-consistencyguid 作為來源錨點,可讓您更輕鬆地在樹系和網域之間移轉物件,這在 AD 網域的彙總/清除、合併、擷取及分割等作業中十分常見。
如果您目前使用 ObjectGuid 作為來源錨點,建議您改用 ms-DS-ConsistencyGuid。
自訂規則
Microsoft Entra Connect 自訂規則可讓您控制內部部署物件和雲端物件之間的屬性流程。 但是,過度或錯誤使用自訂規則可能會引發以下風險:
- 增加疑難排解的複雜度
- 跨物件執行複雜作業時的效能降低
- 實際生產伺服器和預備伺服器之間的設定會有較高的分歧率
- 若以大於 100 的優先順序 (屬於內建規則適用的範圍) 建立自訂規則,升級 Microsoft Entra Connect 時會產生額外的負荷
如果您使用過於複雜的規則,請調查造成此複雜度的原因,並找機會予以簡化。 同樣地,當您以大於 100 的優先順序值建立自訂規則時,應該修正這些規則,以避免遇到風險或與預設值產生衝突。
錯誤使用自訂規則的例子包括:
- 補償目錄中的髒數據 - 在此情況下,我們建議您與 AD 團隊的負責人合作,將目錄中的數據清理作為修復任務,並調整流程以避免重新引入不良資料。
- 個別使用者的一次性補救 - 因應特殊情況而設定極端規則很常見,通常為了處理特定使用者的問題。
- 過於複雜的 "CloudFiltering" - 雖然減少物件數目是一個很好的做法,但可能會演變成使用許多同步處理規則來建立一個過於複雜的同步處理範圍而存在風險。 如果在 OU 篩選以外,還有複雜的邏輯用於包含/排除物件;建議您在同步處理之外處理此邏輯,並以簡單的 「cloudFiltered」 屬性標記物件,以融入簡單的同步處理規則。
Microsoft Entra Connect 設定文件產生器
Microsoft Entra Connect 設定文件生成器 是一個工具,您可以使用它來產生 Microsoft Entra Connect 安裝的文件。 此工具可讓您進一步瞭解同步設定,並協助您建立正確運作的信心。 此工具也會告訴您,當您套用新的建構或設定 Microsoft Entra Connect 時,發生了哪些變更,以及新增或更新了哪些自訂同步規則。
這項工具目前的功能包括:
- 記載 Microsoft Entra Connect 同步處理完整設定文件。
- 記載兩部 Microsoft Entra Connect 同步處理伺服器設定中的任何變更,或從指定設定基準進行的變更。
- 產生 PowerShell 部署指令碼,以將同步處理規則的差異或自訂內容從一部伺服器移轉至另一部伺服器。
應用程式和資源的指派
適用於 Microsoft 雲端服務的群組型授權
Microsoft Entra ID 會透過適用於 Microsoft 雲端服務的群組型授權 (部分機器翻譯) 來簡化授權的管理。 如此一來,IAM 就可將相關群組的群組基礎結構以及委派管理,提供給組織中適當的團隊。 在 Microsoft Entra ID 中設定群組成員資格的方法有很多種,包括:
從內部部署進行同步處理 - 群組可以來自內部部署目錄,這很適合已建立群組管理流程的組織,且流程可擴充至 Microsoft 365 中的指派授權。
動態成員資格群組 - 基於屬性的群組可以在雲端中建立,根據使用者屬性的運算式,例如部門等於「銷售部」。 Microsoft Entra ID 會維護群組的成員,使其與所定義的運算式保持一致。 使用組動態成員資格群組進行授權指派會啟用以屬性為基礎的授權指派,非常適合目錄中有高資料品質的組織使用。
委派的擁有權 - 可以在雲端中建立群組並指定其擁有者。 如此一來,您就可以允許業務的擁有者 (例如共同作業小組或 BI 小組) 定義有權存取的人員。
如果您目前是使用手動流程來指派授權和元件給使用者,建議您實作群組型授權。 如果您目前的流程沒有監視授權錯誤或已指派與可用授權的數量,您應該制定流程的改善措施。 請確定您的程式解決了授權錯誤,並監視授權指派。
授權管理的另一個層面是定義服務方案 (授權元件);服務方案應根據組織中的職務開放。 對非必要的服務方案授與存取權,會導致使用者在 Microsoft 365 入口網站中看見他們未受過使用方式訓練的工具,或不應使用的工具。 這種情況會導致技術支援中心出現額外的工作量、不必要的佈建,並對法遵性與治理面造成風險,例如,將商務用 OneDrive 佈建給不允許共用內容的個人帳戶。
請使用下例指導方針來定義使用者的服務方案:
- 系統管理員應根據使用者的角色定義「服務方案組合」來提供給使用者;例如,辦公室員工或基層員工的區別。
- 建立以叢集區分的群組,並透過服務方案來指派授權。
- 可以選擇定義屬性,為使用者保留套件。
重要
Microsoft Entra ID 中的群組型授權導入了使用者處於授權錯誤狀態的概念。 如果您發現任何授權錯誤,應該立即找出並解決所有授權指派的問題。
生命週期管理
如果您目前使用的工具如 Microsoft Identity Manager 或依賴內部部署基礎設施的第三方系統,我們建議您將指派任務從現有工具中卸載指派。 相反地,您應該實作群組型授權,並根據 動態成員資格群組定義群組的生命週期管理。
同樣地,如果現有的流程並未考慮新進或離職的員工,您應該根據動態群組來部署群組型的授權,並定義群組成員資格生命週期。 最後,如果是對沒有生命週期管理的內部部署群組部署群組型授權,請考慮使用雲端群組,以運用委派擁有權或以屬性為基礎的動態成員資格等功能。
指派含有「所有使用者」群組的應用程式
資源擁有者可能會認為 所有使用者 群組中只會包含 企業員工 ;但事實上,該群組中同時包含了 企業員工 和 訪客。 因此,在使用所有使用者群組來指派應用程式,和授與資源 (例如 SharePoint 的內容或應用程式) 的存取權時,應該要特別小心。
重要
如果所有使用者群組已啟用,並用於條件式存取原則、應用程式或資源指派,若不想讓來賓使用者納入其中,請務必保護該群組 (部分機器翻譯)。 此外,您應該透過建立並指派給只包含企業員工的群組,以修正授權指派的問題。 相反地,如果您發現所有使用者群組已啟用,但並未用來授與資源的存取權,請確定您組織的作業指南確實是要使用該群組 (包含企業員工和來賓)。
自動將使用者佈建到應用程式
若要在多個系統中建立一致的佈建、解除佈建及身分識別生命週期,應用程式的自動化使用者佈建是最佳方式。
如果您目前是以臨時方式佈建應用程式,或使用 CSV 文件、JIT,或內部部署解決方案而未處理生命週期管理,我們建議您使用 Microsoft Entra ID 實施應用程式佈建 。 此解決方案提供支援的應用程式,並為尚未由 Microsoft Entra ID 支援的應用程式定義一致的模式。
Microsoft Entra Connect 差異同步處理循環基準
請務必了解您組織中變更的量,並確定可預測的同步處理不致於耗費太久的時間。
預設的差異同步處理頻率為 30 分鐘。 如果差異同步處理所花費的時間經常超過 30 分鐘,或是預備環境與生產環境之間的差異同步處理效能之間有顯著的差異,您應該調查並檢閱 影響 Microsoft Entra Connect 效能的因素。
建議閱讀的 Microsoft Entra Connect 疑難排解文件
摘要
安全性身分識別基礎結構有五個層面。 這份清單將可協助您快速找到並採取必要的動作,以保護和管理組織中的身分識別及其權利的生命週期。
- 指派各項重要工作的擁有者。
- 找到並解決同步處理的問題。
- 定義容錯移轉策略以進行災害復原。
- 簡化授權管理和應用程式指派。
- 自動將使用者佈建到應用程式。
下一步
開始使用驗證管理檢查和動作。