Microsoft Entra 身分識別和存取管理作業參考指南
Microsoft Entra 作業參考指南 的 這一節說明您應該考慮保護和管理身分識別及其指派生命週期的檢查和動作。
注意
這些建議目前為發佈日期,但可能會隨著時間變更。 組織應持續評估其身分識別做法,因為 Microsoft 產品和服務會隨著時間而演進。
重要作業程式
將擁有者指派給主要工作
管理 Microsoft Entra ID 需要持續執行可能不屬於推出專案的金鑰操作工作和程式。 您仍然必須設定這些工作來維護環境。 主要工作及其建議擁有者包括:
| Task | 負責人 |
|---|---|
| 定義如何建立 Azure 訂用帳戶的程式 | 視組織而定 |
| 決定誰取得 Enterprise Mobility + Security 授權 | IAM 作業小組 |
| 決定誰取得 Microsoft 365 授權 | 生產力小組 |
| 決定誰取得其他授權,例如 Dynamics、Visual Studio Codespaces | 應用程式擁有者 |
| 指派授權 | IAM 作業小組 |
| 針對授權指派錯誤進行疑難排解和補救 | IAM 作業小組 |
| 在 Microsoft Entra 識別碼中將身分識別布建至應用程式 | IAM 作業小組 |
當您檢閱清單時,您可能會發現您需要為缺少擁有者的工作指派擁有者,或針對與上述建議不一致之擁有者的工作調整擁有者擁有權。
指派擁有者建議閱讀
內部部署身分識別同步處理
識別並解決同步處理問題
Microsoft 建議您有良好的基準,並瞭解內部部署環境中可能導致雲端同步處理問題的問題。 由於 IdFix 和 Microsoft Entra 連線 Health 等 自動化工具可能會產生大量誤判,因此建議您藉由清除錯誤中的物件,找出已取消刪除超過 100 天的同步處理錯誤。 長期未解決的同步處理錯誤可能會產生支援事件。 針對同步 處理期間的錯誤進行疑難排解,提供不同類型的同步處理錯誤概觀,其中一些可能導致這些錯誤和可能修正錯誤的可能案例。
Microsoft Entra 連線 Sync 設定
若要啟用所有混合式體驗、裝置型安全性狀態,以及與 Microsoft Entra ID 整合,您必須同步處理員工用來登入其桌面的使用者帳戶。
如果您未同步處理樹系使用者登入,則應該將同步處理變更為來自適當的樹系。
同步處理範圍和物件篩選
移除不需要同步處理之物件的已知貯體具有下列作業優點:
- 同步錯誤的來源較少
- 更快速的同步處理週期
- 例如,內部部署服務帳戶的全域通訊清單污染與雲端無關的「垃圾」較少
注意
如果您發現匯入許多未匯出至雲端的物件,您應該依 OU 或特定屬性進行篩選。
要排除的物件範例包括:
- 未用於雲端應用程式的服務帳戶
- 不打算用於雲端案例的群組,例如用來授與資源存取權的群組
- 要以 Microsoft Entra 表示的外部身分識別的使用者或連絡人B2B 共同作業
- 員工不打算從伺服器存取雲端應用程式的電腦帳戶
注意
如果單一人類身分識別有多個帳戶布建自舊版網域移轉、合併或取得等專案,您就應該每天同步處理使用者所使用的帳戶,例如,他們用來登入其電腦的內容。
在理想情況下,您會想要在減少要同步處理的物件數目與規則中的複雜性之間取得平衡。 一般而言,OU/容器 篩選 與 cloudFiltered 屬性的簡單屬性對應是有效的篩選組合。
重要
如果您在生產環境中使用群組篩選,您應該轉換至另一種篩選方法。
同步容錯移轉或災害復原
Microsoft Entra 連線在布建程式中扮演重要角色。 如果同步伺服器因為任何原因而離線,內部部署的變更無法在雲端中更新,並可能導致使用者的存取問題。 因此,請務必定義容錯移轉策略,讓系統管理員在同步伺服器離線後快速繼續同步處理。 這類策略可能分為下列類別:
- 在預備模式 中部署 Microsoft Entra 連線 Server(s) - 可讓系統管理員透過簡單的設定參數將預備伺服器「升級」到生產環境。
- 使用虛擬化 - 如果 Microsoft Entra 連線部署在虛擬機器 (VM),系統管理員可以利用其虛擬化堆疊即時移轉或快速重新部署 VM,進而繼續同步處理。
如果您的組織缺少同步的災害復原和容錯移轉策略,您應該毫不猶豫地在預備模式中部署 Microsoft Entra 連線。 同樣地,如果您的生產環境與預備組態不符,您應該重新基準 Microsoft Entra 連線預備模式以符合生產設定,包括軟體版本和設定。
掌握最新消息
Microsoft 會定期更新 Microsoft Entra 連線。 保持最新狀態,以利用每個新版本所提供的效能改進、Bug 修正和新功能。
如果您的 Microsoft Entra 連線 版本落後六個多月,您應該升級至最新版本。
來源錨點
使用 ms-DS-consistencyguid 作為 來源錨點 可讓您更輕鬆地跨樹系和網域移轉物件,這在 AD 網域合併/清除、合併、收購和剝離中很常見。
如果您目前使用 ObjectGuid 作為來源錨點,建議您切換至使用 ms-DS-ConsistencyGuid 。
自訂規則
Microsoft Entra 連線自訂規則可讓您控制內部部署物件與雲端物件之間的屬性流程。 不過,過度使用或濫用自訂規則可能會帶來下列風險:
- 疑難排解複雜度
- 跨物件執行複雜作業時效能降低
- 生產伺服器與預備伺服器之間設定差異的機率較高
- 升級 Microsoft Entra 時的額外負荷連線如果自訂規則在優先順序大於 100 內建立(由內建規則使用)
如果您使用過於複雜的規則,您應該調查複雜度的原因,並尋找簡化的機會。 同樣地,如果您已建立優先順序值超過 100 的自訂規則,您應該修正規則,使其不會有風險或與預設集合衝突。
誤用自訂規則的範例包括:
- 補償目錄中 的髒資料 - 在此情況下,建議您與 AD 小組的擁有者合作,並將目錄中的資料清除為補救工作,並調整程式以避免重新引入不良資料。
- 個別使用者的 一次性補救 - 通常會尋找特殊案例極端值的規則,通常是因為特定使用者的問題。
- 過度複雜的「CloudFiltering」 - 雖然減少物件數目是很好的作法,但使用許多同步規則建立和過度複雜同步範圍的風險。 如果包含/排除 OU 篩選以外的物件有複雜的邏輯,建議您處理同步以外的此邏輯,並使用簡單的「cloudFiltered」屬性來標記物件,該屬性可以透過簡單的同步規則流動。
Microsoft Entra 連線組態檔
Microsoft Entra 連線組態檔工具 是一種工具,可用來產生 Microsoft Entra 連線安裝的檔,以便進一步瞭解同步設定、建立正確狀態的信心,以及瞭解當您套用新組建或設定 Microsoft Entra 連線或新增或更新自訂同步規則時所變更的內容。 工具的目前功能包括:
- Microsoft Entra 連線 Sync 的完整設定檔。
- 兩部 Microsoft Entra 連線同步處理伺服器設定中任何變更的檔,或來自指定設定基準的變更。
- 產生 PowerShell 部署腳本,以將同步規則差異或自訂專案從一部伺服器移轉至另一部伺服器。
指派給應用程式和資源
Microsoft 雲端服務的群組型授權
Microsoft Entra ID 可透過 Microsoft 雲端服務的群組型授權 簡化授權的管理。 如此一來,IAM 會將這些群組的群組基礎結構和委派的管理委派給組織中的適當小組。 有多種方式可在 Microsoft Entra ID 中設定群組的成員資格,包括:
從內部部署 同步處理 - 群組可能來自內部部署目錄,這很適合已建立群組管理程式的組織,可擴充以在 Microsoft 365 中指派授權。
屬性型/動態 - 群組可以根據使用者屬性的運算式在雲端中建立,例如 Department 等於 「sales」。 Microsoft Entra ID 會維護群組的成員,使其與定義的運算式保持一致。 使用這種群組進行授權指派可啟用以屬性為基礎的授權指派,這很適合目錄中具有高品質資料的組織。
委派的擁有權 - 群組可以在雲端中建立,而且可以指定擁有者。 如此一來,您可以讓企業擁有者,例如共同作業小組或 BI 小組,來定義誰應該具有存取權。
如果您目前使用手動程式將授權和元件指派給使用者,建議您實作以群組為基礎的授權。 如果您目前的程式未監視授權錯誤或指派與可用專案,您應該定義處理授權錯誤的程式改善,並監視授權指派。
授權管理的另一個層面是服務方案(授權元件)的定義,應該根據組織中的作業功能來啟用。 授與不需要的服務方案存取權,可能會導致使用者在 Office 入口網站中看到工具,這些工具尚未經過訓練或不應該使用。 例如,將商務用 OneDrive布建給可能不允許共用內容的個人時,它可以推動額外的技術支援中心磁片區、不必要的布建,並將合規性和治理置於風險中。
使用下列指導方針來定義服務方案給使用者:
- 管理員原則者應定義服務方案的「配套」,以便根據使用者的角色提供給使用者,例如白領工人與地板工人。
- 依叢集建立群組,並使用服務方案指派授權。
- 您可以選擇性地定義屬性來保存使用者的套件。
重要
Microsoft Entra ID 中的群組型授權導入了使用者處於授權錯誤狀態的概念。 如果您注意到任何授權錯誤,則應該立即 識別並解決 任何授權指派問題。
生命週期管理
如果您目前使用的工具,例如 Microsoft Identity Manager 或依賴內部部署基礎結構的協力廠商系統,建議您卸載現有工具的指派、實作群組型授權,並根據群組定義群組 生命週期管理 。 同樣地,如果您的現有程式不會考慮離開組織的新員工或員工,您應該根據動態群組部署以群組為基礎的授權,並定義群組成員資格生命週期。 最後,如果群組型授權是針對缺乏生命週期管理的內部部署群組部署,請考慮使用雲端群組來啟用委派擁有權或屬性型動態成員資格等功能。
具有「所有使用者」群組的應用程式指派
資源擁有者可能認為 ,當所有使用者 群組實際包含企業員工和 來賓 時,他們只能 包含 企業員工 。 因此,您應該特別小心使用 所有使用者 群組進行應用程式指派,並授與 SharePoint 內容或應用程式等資源的存取權。
重要
如果 [所有使用者 ] 群組已啟用並用於條件式存取原則、應用程式或資源指派,如果您不想包含來賓使用者,請務必 保護群組 。 此外,您應該建立並指派給僅包含 Enterprise Employees 的群組,以修正授權指派。 另一方面,如果您發現 [所有使用者 ] 群組已啟用,但未用來授與資源的存取權,請確定貴組織的作業指引是刻意使用該群組(包括 企業員工 和 來賓 )。
將使用者自動布建至應用程式
自動化使用者布建 至應用程式是跨多個系統建立一致的布建、取消布建和生命週期的最佳方式。
如果您目前是以臨機操作方式布建應用程式,或使用 CSV 檔案、JIT 或無法解決生命週期管理的內部部署解決方案,建議您 為支援的應用程式實 作 Microsoft Entra ID 的應用程式布建,並為尚未受 Microsoft Entra ID 支援的應用程式定義一致的模式。
Microsoft Entra 連線差異同步處理週期基準
請務必瞭解貴組織中的變更數量,並確定不花太多時間才能有可預測的同步處理時間。
預設 的差異同步 頻率為 30 分鐘。 如果差異同步處理持續超過 30 分鐘,或預備與生產環境的差異同步效能有顯著差異,您應該調查並檢閱 影響 Microsoft Entra 效能的因素連線 。
建議閱讀的 Microsoft Entra 連線疑難排解
摘要
安全身分識別基礎結構有五個層面。 此清單可協助您快速尋找並採取必要動作,以保護及管理身分識別及其在組織中的權利生命週期。
- 將擁有者指派給主要工作。
- 尋找並解決同步處理問題。
- 定義災害復原的容錯移轉策略。
- 簡化應用程式的授權和指派管理。
- 將使用者布建自動化至應用程式。