Microsoft Entra ID 如何提供內部部署工作負載的雲端控管管理

  • 發行項

Microsoft Entra ID 是數百萬個組織使用的完整身分識別即服務(IDaaS)解決方案,橫跨身分識別、存取管理和安全性的所有層面。 Microsoft Entra ID 保存超過 10 億個使用者身分識別,並協助使用者登入並安全地存取這兩者:

  • 外部資源,例如 Microsoft 365、 Microsoft Entra 系統管理中心,以及數千個其他軟體即服務 (SaaS) 應用程式。
  • 內部資源,例如組織公司網路和內部網路上的應用程式,以及組織所開發的任何雲端應用程式。

如果組織是「純雲端」,則組織可以使用 Microsoft Entra 標識碼,或作為具有內部部署工作負載的「混合式」部署。 Microsoft Entra ID 的混合式部署可以是組織將其 IT 資產移轉至雲端的策略的一部分,或繼續整合現有的內部部署基礎結構與新的雲端服務。

在過去,「混合式」組織已將 Microsoft Entra ID 視為其現有內部部署基礎結構的延伸。 在這些部署中,內部部署身分識別控管管理、Windows Server Active Directory 或其他內部目錄系統是控制點,使用者和群組會從這些系統同步至雲端目錄,例如 Microsoft Entra ID。 當這些身分識別位於雲端時,就可以提供給 Microsoft 365、Azure 和其他應用程式使用。

Identity lifecycle

當組織將更多的 IT 基礎結構及其應用程式移至雲端時,許多組織都希望透過身分識別管理即服務來提升安全性並簡化管理功能。 Microsoft Entra ID 中的雲端式 IDaaS 功能可藉由提供解決方案和功能,讓組織快速採用和將更多身分識別管理從傳統內部部署系統移至 Microsoft Entra ID,同時繼續支援現有和新的應用程式,以加速轉換至雲端控管管理。

本文概述 Microsoft 混合式 IDaaS 的策略,並說明組織如何針對其現有應用程式使用 Microsoft Entra ID。

雲端控管身分識別管理的 Microsoft Entra ID 方法

當組織轉換至雲端後,將需要確保自己能夠掌控整個環境:更安全且更容易掌握活動,並運用自動化和主動式深入解析的支援。 「雲端治理管理」說明組織如何從雲端管理和治理其使用者、應用程式、群組和裝置。

在這個現代化的世界中,由於 SaaS 應用程式的激增,以及共同作業和外部身分識別的重要性不斷提高,因此組織必須能夠大規模地進行管理。 雲端的新風險環境表示組織必須更具回應能力,危害雲端使用者的惡意執行者可能會影響雲端和內部部署應用程式。

尤其混合式組織必須能夠委派和自動化工作,這在過去都是以手動方式進行。 為了將工作自動化,組織需要 API 和程式來協調不同身分識別相關資源 (使用者、群組、應用程式、裝置) 的生命週期,藉此將這些資源的日常管理工作委派給核心 IT 人員以外的其他人。 Microsoft Entra ID 可透過用戶帳戶管理和使用者原生驗證來解決這些需求,而不需要內部部署身分識別基礎結構。 若組織中有不是源自內部部署目錄的新使用者 (例如商業夥伴),而,但這些存取管理對於達成業務成果至關重要,則不建立內部部署基礎結構就能提供優勢。

此外,治理是管理不可或缺的一部份,而現今的治理屬於身分識別系統的一環,而不只是附加元件。 身分識別治理可讓組織管理員工、商業夥伴和廠商,以及服務和應用程式之間的身分識別和存取生命週期。

整合身分識別治理可讓組織更輕鬆地轉換至雲端治理管理、讓 IT 能夠調整規模、解決來賓的新挑戰,並提供比客戶內部部署基礎結構更深入的見解和自動化。 新時代的治理表示組織在存取組織內的資源時,擁有透明、清晰和適當的控制能力。 使用 Microsoft Entra 識別符,安全性作業和稽核小組可看見誰具有---,以及誰應該具有 - 存取組織內哪些資源(在哪些裝置上)、這些使用者正在執行該存取,以及組織是否有適當的控制,以根據公司或法規原則移除或限制存取權。

新的管理模型可讓擁有 SaaS 和企業營運 (LOB) 應用程式的組織受益,因為能夠更容易管理及保護這些應用程式的存取權。 藉由整合應用程式與 Microsoft Entra ID,組織將能夠一致地使用和管理跨雲端和內部部署原始身分識別的存取權。 應用程式生命週期管理變得更加自動化,而 Microsoft Entra ID 提供在內部部署身分識別管理中不容易達成之應用程式使用方式的豐富見解。 透過 Microsoft Entra ID、Microsoft 365 群組和 Teams 自助功能,組織可以輕鬆地建立群組以進行存取管理和共同作業,並在雲端新增或移除使用者,以啟用共同作業和存取管理需求。

針對雲端控管管理選取正確的 Microsoft Entra 功能,取決於要使用的應用程式,以及這些應用程式如何與 Microsoft Entra ID 整合。 下列各節概述 AD 整合應用程式的方法,以及使用同盟通訊協定的應用程式 (例如 SAML、OAuth 或 OpenID Connect)。

適用於 AD 整合式應用程式的雲端治理管理

Microsoft Entra ID 可透過安全的遠端訪問和對這些應用程式的條件式存取,改善組織 內部部署的 Active Directory 整合應用程式的管理。 此外,Microsoft Entra ID 也會提供使用者現有 AD 帳戶的帳戶生命週期管理和認證管理,包括:

  • 內部部署應用程式的安全遠端存取與條件式存取

對許多組織而言,管理從雲端存取內部部署 AD 整合 Web 和遠端桌面應用程式的第一個步驟,就是在這些應用程式前方部署應用程式 Proxy,以提供安全的遠端存取。

單一登入 Microsoft Entra ID 之後,使用者可透過外部 URL 或內部應用程式入口網站來存取雲端與內部部署應用程式。 例如,應用程式 Proxy 可以為遠端桌面、SharePoint,以及 Tableau、Qlik 和企業營運 (LOB) 應用程式提供遠端存取和單一登入。 除此之外,條件式存取原則可以包含先顯示使用規定確保使用者必須先同意這些規定,才能夠存取應用程式。

Application proxy architecture

  • Active Directory 帳戶的自動生命週期管理

身分識別治理可協助組織取得以下兩者之間的平衡:「生產力」 - 人員存取所需資源的速度,例如使用者何時加入組織? 以及「安全性」 - 使用者的存取權應如何隨著時間變更?例如當該人員的雇用狀態變更時嗎? 身分識別生命週期管理是身分識別控管的基礎,而大規模有效控管必須使應用程式的身分識別生命週期管理基礎結構現代化。

對許多組織來說,員工的身分識別生命週期會繫結到該使用者在人力資本管理 (HCM) 系統中的代表項目。 對於使用 Workday 作為 HCM 系統的組織,Microsoft Entra ID 可以確保 AD 中的使用者帳戶會自動布建和取消布建 Workday 中的背景工作角色。 如此可透過自動化的原始帳戶來提升使用者生產力,並藉由確保使用者變更角色或離開組織時,自動更新應用程式存取權以管理風險。 Workday 驅動的使用者佈建部署計劃是逐步指南,可引導組織透過五個步驟的流程,利用 Workday 的最佳作法來實作 Active Directory 使用者佈建解決方案。

Microsoft Entra ID P1 或 P2 也包含 Microsoft Identity Manager,可從其他內部部署 HCM 系統匯入記錄,包括 SAP、Oracle eBusiness 和 Oracle 人員 Soft。

企業對企業的共同作業日益需要將存取權授與組織外部人員。 Microsoft Entra B2B 共同作業可讓組織安全地與來賓使用者和外部合作夥伴共用其應用程式和服務,同時維持對自身公司數據的控制權。

Microsoft Entra ID 可以 視需要自動在 AD 中為來賓使用者 建立帳戶,讓商務來賓不需要另一個密碼即可存取內部部署 AD 整合應用程式。 組織可以為來賓用戶設定多重要素驗證原則,以便在應用程式 Proxy 驗證期間進行 MFA 檢查。 此外,在雲端 B2B 使用者上完成的任何存取權檢閱都適用於內部部署使用者。 例如,如果雲端使用者是透過生命週期管理原則刪除,則內部部署使用者也會一併刪除。

Active Directory 帳戶的認證管理

Microsoft Entra ID 中的自助式密碼重設可讓忘記密碼的使用者重新驗證並重設其密碼,並將密碼重設,並將密碼變更為 內部部署的 Active Directory。 密碼重設流程也可以使用內部部署的 Active Directory 密碼原則:當使用者重設其密碼時,系統會進行檢查以確保此動作符合內部部署 Active Directory 原則,然後才將此動作認可至該目錄。 自助式密碼重設部署計劃概述透過 Web 和 Windows 整合式體驗,為使用者提供自助式密碼重設的最佳作法。

Microsoft Entra SSPR architecture

最後,對於允許使用者在AD中變更其密碼的組織,AD 可以設定為使用與組織在 Microsoft Entra ID 中使用的相同密碼原則,透過目前處於公開預覽狀態的 Microsoft Entra 密碼保護功能

當組織準備好將裝載應用程式的操作系統移至 Azure,將 AD 整合式應用程式移至雲端時, Microsoft Entra Domain Services 會提供 AD 相容的網域服務(例如加入網域、組策略、LDAP 和 Kerberos/NTLM 驗證)。 Microsoft Entra Domain Services 會與組織現有的 Microsoft Entra 租使用者整合,讓用戶能夠使用其公司認證登入。 此外,您可以使用現有的群組和使用者帳戶安全地存取資源,以確保更順暢地將內部部署資源「隨即轉移」(lift-and-shift) 至 Azure 基礎結構服務。

Microsoft Entra Domain Services

適用於內部部署同盟應用程式的雲端治理管理

對於已經使用內部部署身分識別提供者的組織,將應用程式移至 Microsoft Entra ID 可讓您更安全地存取,以及更輕鬆地管理同盟管理體驗。 Microsoft Entra ID 可讓您使用 Microsoft Entra 條件式存取來設定細微的個別應用程式訪問控制,包括 Microsoft Entra 多重要素驗證。 Microsoft Entra ID 支援更多功能,包括應用程式特定的令牌簽署憑證和可設定的憑證到期日。 這些功能、工具和指引可讓組織淘汰其內部部署的識別提供者。 例如,Microsoft 自己的 IT 已將 17,987 個應用程式從 Microsoft 的內部 Active Directory 同盟服務 (AD FS) 移至 Microsoft Entra ID。

Microsoft Entra evolution

若要開始將同盟應用程式移轉至 Microsoft Entra ID 做為識別提供者,請參閱 https://aka.ms/migrateapps 其中包含下列連結:

  • 將您的應用程式移轉至 Microsoft Entra ID 白皮書,其中呈現移轉的優點,並說明如何在四個明確概述的階段中規劃移轉:探索、分類、移轉和持續管理。 您將會透過逐步引導了解如何思考流程,並將專案細分成容易實踐的片段。 此文件全篇都有在過程中可協助您的重要資源連結。

  • 解決方案指南將應用程式驗證從 Active Directory 同盟服務 移轉至 Microsoft Entra ID 會更詳細地探索規劃和執行應用程式移轉專案的相同四個階段。 在本指南中,您將瞭解如何將這些階段套用至將應用程式從 Active Directory 同盟服務 (AD FS) 移至 Microsoft Entra ID 的特定目標。

  • Active Directory 同盟服務 移轉整備程度腳本可以在現有的 內部部署的 Active Directory 同盟服務 (AD FS) 伺服器上執行,以判斷應用程式移轉至 Microsoft Entra ID 的整備程度。

跨雲端和內部部署應用程式的持續存取管理

組織需要一個可調整的存取權管理流程。 使用者會繼續累積存取權,並最終超過最初佈建的權限。 此外,企業組織必須能夠有效率地進行調整才能持續開發,並強制執行存取原則和控制項。

一般而言,IT 會將存取核准決策委派給商務決策者。 此外,IT 可能是使用者本身。 例如,存取歐洲境內公司行銷應用程式中的機密客戶資料的使用者需要知道公司的原則。 來賓使用者可能也不知道邀請組織中的資料處理需求。

組織可以透過動態群組等的技術,將存取生命週期程式自動化,搭配將使用者佈建到 SaaS 應用程式,或使用適用於跨網域身分識別管理 (SCIM) 標準整合的應用程式。 組織也可以控制哪些來賓使用者能夠存取內部部署應用程式。 然後可以使用週期 性 Microsoft Entra 存取權檢閱定期檢閱這些訪問許可權。

未來方向

在混合式環境中,Microsoft 的策略是為了讓部署支援雲端作為身分識別的控制平面,而內部部署目錄和其他身分識別系統 (例如 Active Directory 和其他內部部署應用程式),則是佈建使用者存取的目標。 此策略將繼續確保這些應用程式中的權限、身分識別和存取權,以及這些應用程式和工作負載的存取權都依賴於平台。 最終,組織將能夠完全從雲端推動終端使用者的生產力。

Microsoft Entra architecture

下一步

如需如何開始此旅程的詳細資訊,請參閱 Microsoft Entra 部署計劃。 這些方案提供部署 Microsoft Entra 功能的端對端指引。 每個方案都會說明成功推出常見 Microsoft Entra 功能所需的商業價值、規劃考慮、設計和操作程式。 當我們新增新功能以 Microsoft Entra ID 從雲端管理時,Microsoft 會持續使用客戶部署和其他意見反應所學到的最佳做法來更新部署計劃。