備忘 22-09 全企業身分識別管理系統

M 22-09 主管主管備忘錄和機構 要求機構為其身份平臺制定合併計畫。 目標是在發行日期（2022 年 3 月 28 日）的 60 天內盡可能少使用代理管理識別系統。 合併身分識別平臺有幾個優點：

• 集中管理身分識別生命週期、原則強制執行和可稽核的控制項
• 強制的統一功能和同位性
• 減少跨多個系統定型資源的需求
• 讓使用者登入一次，然後在 IT 環境中存取應用程式和服務
• 盡可能與多個代理機構應用程式整合
• 使用共用驗證服務和信任關係來促進跨機構整合

為什麼是 Microsoft Entra ID？

使用 Microsoft Entra ID 實作備忘錄 22-09 的建議。 Microsoft Entra ID 具有支援零信任計畫的身分識別控制項。 使用 Microsoft Office 365 或 Azure，Microsoft Entra ID 是識別提供者 （IdP）。 連線您的應用程式和資源，以 Microsoft Entra ID 作為整個企業的身分識別系統。

單一登入需求

備忘錄需要使用者登入一次，然後存取應用程式。 使用 Microsoft 單一登入 （SSO） 使用者登入一次，然後存取雲端服務和應用程式。 請參閱 Microsoft Entra 無縫單一登入 。

跨機構整合

使用 Microsoft Entra B2B 共同作業來滿足跨機構促進整合和共同作業的需求。 使用者可以位於相同雲端中的 Microsoft 租使用者中。 租使用者可以位於另一個 Microsoft 雲端，或位於非 Azure AD 租使用者中（SAML/WS-Fed 識別提供者）。

透過 Microsoft Entra 跨租使用者存取設定，機構會管理他們與其他 Microsoft Entra 組織和其他 Microsoft Azure 雲端共同作業的方式：

• 限制 Microsoft 租使用者使用者可以存取的內容
• 設定用於外部使用者存取，包括多重要素驗證強制執行和裝置訊號

深入了解：

• B2B 共同作業概觀
• 政府與國家雲端中的 Microsoft Entra B2B
• 與來賓使用者的 SAML/WS-Fed 識別提供者同盟

連線應用程式

若要合併並使用 Microsoft Entra 識別碼作為全企業身分識別系統，請檢閱範圍中的資產。

檔應用程式和服務

建立應用程式和服務使用者存取權的清查。 身分識別管理系統可保護其知道的內容。

資產分類：

• 其中資料的敏感度
• 主要系統中資料及/或資訊之機密性、完整性或可用性的法律法規
  • 適用于系統資訊保護要求的法規

針對您的應用程式清查，判斷使用雲端就緒通訊協定或舊版驗證通訊協定的應用程式：

• 雲端就緒應用程式支援新式通訊協定以進行驗證：
  • SAML
  • WS-Federation/Trust
  • OpenID 連線 （OIDC）
  • OAuth 2.0。
• 舊版驗證應用程式依賴舊版或專屬的驗證方法：
  • Kerberos/NTLM （Windows 驗證）
  • 標頭式驗證
  • LDAP
  • 基本驗證

深入瞭解 Microsoft Entra 與驗證通訊協定 的整合。

應用程式和服務探索工具

Microsoft 提供下列工具來支援應用程式和服務探索。

工具	使用方式
Active Directory 同盟服務的流量分析 （AD FS）	分析同盟伺服器驗證流量。 請參閱使用 Microsoft Entra 連線 Health 監視 AD FS
Microsoft Defender for Cloud Apps	掃描防火牆記錄以偵測雲端應用程式、基礎結構即服務 （IaaS） 服務和平臺即服務 （PaaS） 服務。 將 適用於雲端的 Defender Apps 與適用于端點的 Defender 整合，以探索從 Windows 用戶端裝置分析的資料。 請參閱適用於雲端的 Microsoft Defender 應用程式概觀
應用程式探索工作表	記錄您應用程式的目前狀態。 請參閱應用程式探索工作表

您的應用程式可能位於 Microsoft 以外的系統中，且 Microsoft 工具可能無法探索這些應用程式。 請確定完整的清查。 提供者需要機制來探索使用其服務的應用程式。

設定連線應用程式的優先順序

在您探索環境中的應用程式之後，請排定移轉的優先順序。 考量：

• 業務關鍵性
• 使用者設定檔
• 使用方式
• 壽命

深入瞭解： 將應用程式驗證遷移至 Microsoft Entra ID 。

連線您的雲端就緒應用程式優先順序。 判斷使用舊版驗證通訊協定的應用程式。

針對使用舊版驗證通訊協定的應用程式：

• 針對具有新式驗證的應用程式，請重新設定它們以使用 Microsoft Entra ID
• 對於沒有新式驗證的應用程式，有兩個選項：
  • 藉由整合 Microsoft 驗證程式庫 （MSAL） 來更新應用程式程式碼以使用新式通訊協定
  • 使用 Microsoft Entra 應用程式 Proxy 或安全的混合式合作夥伴存取進行安全存取
• 不再需要或不支援的應用程式解除委任存取權

深入了解

• Microsoft Entra 與驗證通訊協定整合
• 什麼是Microsoft 身分識別平臺？
• 保護混合式存取：使用 Microsoft Entra 識別碼保護繼承應用程式

連線裝置

集中式身分識別管理系統的一部分是讓使用者能夠登入實體和虛擬裝置。 您可以在集中式 Microsoft Entra 系統中連線 Windows 和 Linux 裝置，以排除多個個別的身分識別系統。

在清查和範圍期間，識別要與 Microsoft Entra ID 整合的裝置和基礎結構。 整合會集中您的驗證和管理，方法是使用條件式存取原則搭配透過 Microsoft Entra ID 強制執行的多重要素驗證。

探索裝置的工具

您可以使用Azure 自動化帳戶，透過連線至 Azure 監視器的清查收集來識別裝置。 適用於端點的 Microsoft Defender具有裝置清查功能。 探索已設定適用于端點的 Defender 且未設定的裝置。 裝置清查來自內部部署系統，例如 System Center Configuration Manager 或其他管理裝置和用戶端的系統。

深入了解：

• 從 VM 管理清查收集
• 適用於端點的 Microsoft Defender概觀
• 硬體清查簡介

整合裝置與 Microsoft Entra 識別碼

與 Microsoft Entra 識別碼整合的裝置是混合式聯結裝置或已加入 Microsoft Entra 的裝置。 透過用戶端和使用者裝置，以及以基礎結構方式運作的實體和虛擬機器，將裝置上線分開。 如需使用者裝置部署策略的詳細資訊，請參閱下列指引。

• 規劃您的 Microsoft Entra 裝置部署
• 已加入混合式 Microsoft Entra 的裝置
• 已加入 Microsoft Entra 的裝置
• 使用 Microsoft Entra 識別碼登入 Azure 中的 Windows 虛擬機器，包括無密碼
• 使用 Microsoft Entra ID 和 OpenSSH 登入 Azure 中的 Linux 虛擬機器
• 適用于 Azure 虛擬桌面的 Microsoft Entra Join
• 裝置身分識別與桌面虛擬化

下一步

下列文章是本檔集的一部分：

• 符合具有 Microsoft Entra 識別碼的備忘錄 22-09 身分識別需求
• 符合備忘錄 22-09 的多重要素驗證需求
• 符合備忘錄 22-09 的授權需求
• 備忘錄22-09中說明的其他零信任領域
• 使用零信任保護身分識別