共用方式為

設計身分識別治理

  • 發行項

身分識別控管是跨多個應用程式和服務管理身分識別和訪問許可權,以符合安全性和法規需求。 Microsoft Entra ID 中的身分識別控管可讓您藉由確保適當的人員能夠在正確的時間正確存取正確的資源,來平衡安全性和生產力。

身分識別控管可讓您針對內部部署和雲端中的服務和應用程式管理下列工作:

  • 治理身分識別生命週期。 自動化使用者生命週期事件,例如新增、移動和離開動作,以符合安全性和生產力需求。

  • 治理存取生命週期。 使用自助式要求和監視生命週期事件,快速管理存取權的變更。

  • 保護特殊許可權存取以進行系統管理。 管理特殊許可權資源的存取權,以降低過度、不必要或濫用許可權的風險。

身分識別生命週期

當您的教育組織跨越多個 Microsoft Entra 租使用者時,您會有內部身分識別,例如授課者和學生,以及外部身分識別,例如來自其他學校的員工。

  • 內部身分識別是在您目前管理的租使用者中建立的身分識別
  • 外部身分識別是在目前租使用者外部建立,並授與存取權。 您可以使用 Microsoft Entra B2B 共同作業來新增它們。

身分識別生命週期管理有助於設定身分識別控管的基礎。 您必須管理內部和外部身分識別的生命週期,以及它們與資源的關係。

組織內的每個人都有自己的工作所需資源子集。 若沒有每個專案每個角色所需專案的定義清單,管理存取權是一項挑戰。 當內部或外部身分識別加入、在組織內移動或離開組織時,其身分識別和資源存取權應該隨之調整。 在 Microsoft Entra ID 中自動布建使用者有助於解決此挑戰,方法是促進跨應用程式建立、維護和最終刪除使用者身分識別,以獲得更好的共同作業。

使用者佈建

傳統的布建方法,例如上傳 CSV 檔案或自定義腳本來同步用戶數據,很容易出錯、不安全,而且難以管理。

自動佈建是指在使用者需要存取的雲端應用程式中建立使用者身分識別和角色。 除了建立使用者身分識別以外,自動佈建功能還包括隨著狀態或角色變更維護和移除使用者身分識別。

建議大型教育組織使用自動化 Microsoft Entra 使用者布建服務。 此服務提供 與雲端式人力資源的整合, (HR) Workday 和 SuccessFactors 等應用程式,並可讓您利用下列優點:

  • 將布建程式的效率和精確度最大化

  • 節省與裝載和維護自定義開發佈建解決方案和腳本相關聯的成本

  • 當使用者離開組織時,立即從主要 SaaS 應用程式移除使用者的身分識別,以保護您的組織

  • 輕鬆地將大量使用者布建到特定的 SaaS 應用程式或系統

  • 一致的原則,決定誰已布建,以及誰可以登入應用程式

輸入使用者布建

輸入使用者布建是用戶數據從組織的 Human Capital Management (HCM) 應用程式 () 流向 Microsoft Entra ID 或 內部部署的 Active Directory 的程式。 當 HCM 應用程式支援 SCIM 通訊協定時,可以進行整合。 您也可以與提供布建 API 連接器的雲端式 HCM 系統整合。

輸入使用者布建。

若要深入瞭解,請參閱規劃雲端 HR 應用程式以 Microsoft Entra 使用者布建

輸出使用者布建

輸出使用者布建或應用程式布建是指在雲端軟體即服務 (SaaS) 用戶必須存取的應用程式中自動建立使用者身分識別和角色。 應用程式布建適用於 Microsoft Entra SaaS 應用程式資源庫中預先整合的應用程式,) 以及支援 SCIM 2.0 的應用程式。

輸出使用者布建。

若要深入瞭解,請參閱 規劃自動使用者布建部署

存取權生命週期

您的 EDU 組織需要一個程式來管理初始建立和布建以外的存取權。 在理想情況下,您也應該能夠有效率地進行調整,以便持續開發和強制執行存取原則和控制。

自助式群組管理

可能的話,請使用 自助式群組管理 來利用下列優點:

安全性。 系統管理員可以根據使用者屬性,為 Microsoft Entra ID 中建立的群組設定規則。 這可讓成員自動新增至安全組或從安全組中移除。 這些 動態群組 可用來提供應用程式或雲端資源的存取權,以及將授權指派給成員。 條件式存取原則可確保合法使用者存取應用程式,進一步增強安全性。 例如,當 HR 應用程式選取為雲端應用程式時,您可以選取包含人力資源部門所有成員的群組。

符合成本效益。 使用 自助群組成員資格,減少IT支援的成本、時間和工作負載。 自助式群組管理功能可讓您將群組管理委派給使用者。 透過這項功能,他們可以建立群組,並管理其擁有群組中的成員資格。

自助式。 將群組管理委派給您的使用者。 自助式群組管理功能可讓使用者建立群組,並管理其擁有群組中的成員資格。 這些群組接著可用來指派應用程式的存取權。 例如,如果您想要指派教職員部門的存取權以使用五個不同的 SaaS 應用程式,您可以建立一個群組,其中包含教職員部門中的使用者,然後將該群組指派給教職員部門所需的這五個 SaaS 應用程式。

如需自助群組管理的詳細資訊,請下載 Microsoft Entra Self-Service 群組管理白皮書。

權利管理

管理使用者存取大型EDUs中的資源是一項挑戰,更是如此,當您在租用戶之間有內部和外部使用者的組合時。 權利管理 可讓包括來賓在內的使用者要求存取存取套件,以授與跨群組、應用程式和 SharePoint 網站的存取權。 它也可讓您藉由自動化存取要求工作流程、存取指派、檢閱和到期,大規模管理身分識別和存取生命週期。

以下是您可以使用權利管理來管理使用者存取權的資源類型:

  • Microsoft Entra 安全組的成員資格

  • Microsoft 365 群組和Teams的成員資格

  • 指派給 Microsoft Entra 企業應用程式,包括支援同盟/單一登錄和/或布建的 SaaS 應用程式和自定義整合應用程式

  • SharePoint Online 網站的成員資格

存取套件

權利管理允許定義代表一組資源的存取套件,這些資源會指派給使用者作為單位、建立有效期間、核准工作流程等等。存取套件可讓您執行資源和原則的一次性設定,自動管理存取套件存取的存取權。

存取套件必須放在稱為目錄的容器中。 目錄會定義您可以新增至存取套件的資源。 目錄用於委派,讓非系統管理員可以建立自己的存取套件。 目錄擁有者可以將他們擁有的資源新增至目錄。

身為教育組織,您應該考慮為每個學校建立目錄,併為每個成績建立一個存取套件,其中包含該等級專屬資源的原則和訪問許可權。 當學生前進到下一個成績或教師移至另一個成績時,他們可以要求存取新成績的存取套件,而與其先前成績相關的存取權將會過期。

存取套件也必須至少有一個原則。 原則會指定誰可以要求存取套件,以及核准和生命周期設定。 建議您使用權利管理來委派給非系統管理員建立存取套件的能力,並定義原則,其中包含使用者可以要求的規則、必須核准其存取權的人員,以及存取權到期的時間。

存取套件最適合下列情況:

  • 使用者需要特定工作的時間限制存取權。 例如,您可以使用群組型授權和動態群組來確保所有員工都有 Exchange Online 信箱,然後針對使用者需要額外存取權的情況使用存取套件,例如從另一個部門讀取部門資源。

  • 存取權必須由使用者的管理員或其他指定的個人核准。

  • 部門想要管理自己的資源存取原則,而不需要IT介入。

  • 兩個以上的學校正在共同作業一個專案,因此,一個學校的多位用戶必須透過 Microsoft Entra B2B 帶入,才能存取另一個學校的資源。

如需詳細資訊,請參閱在權利管理 Microsoft Entra 建立新的存取套件。

授權需求

使用存取套件需要 Microsoft Entra ID P2 授權,而且需要:

  • 可要求存取套件的成員使用者。

  • 要求存取套件的成員和來賓使用者。

  • 核准存取套件要求的成員和來賓使用者。

  • 直接指派給存取套件的成員和來賓使用者。

Microsoft Entra ID 下列工作不需要 P2 授權:

  • 具有全域管理員角色的使用者,可設定初始目錄、存取套件和原則,並將系統管理工作委派給其他使用者。

  • 已委派系統管理工作的使用者,例如目錄建立者、目錄擁有者和存取套件管理員。

  • 可以要求存取套件,但不要求存取套件的來賓。

注意事項

針對您為成員使用者購買的每個付費 Microsoft Entra ID P2 授權,您可以使用 Microsoft Entra B2B 來邀請最多 5 位來賓使用者。 這些來賓使用者也可以使用 Microsoft Entra ID P2 功能。 如需詳細資訊,請參閱 Microsoft Entra B2B 共同作業授權指引。

存取權檢閱

一旦用戶上線,您將需要一個程式,讓使用者的存取權隨著時間變更而變更。

考慮下列事項:

  • 當新使用者加入時,您要如何確保他們擁有正確的存取權來提高生產力?

  • 當人員移動團隊或離開學校時,您要如何確保移除他們舊的存取權,特別是在涉及來賓時?

  • 過多的訪問許可權可能會導致稽核結果和入侵,因為它們表示對存取權缺乏控制。

  • 您必須主動與資源擁有者互動,以確保他們定期檢閱可存取其資源的人員。

我們建議使用 Microsoft Entra 存取權檢閱,有效率地管理群組成員資格、應用程式的存取權,以及角色指派。 應定期檢閱使用者的存取權,以確保只有適當的人員可以繼續存取。

授權需求

使用存取權檢閱需要 Microsoft Entra ID P2 授權,而且需要:

  • 獲指派為檢閱者的成員和來賓使用者。

  • 執行自我檢閱的成員和來賓使用者。

  • 執行存取權檢閱的群組擁有者。

  • 執行存取權檢閱的應用程式擁有者。

Microsoft Entra ID 設定存取權檢閱、設定或套用檢閱決策的全域管理員或用戶系統管理員角色的使用者不需要 P2 授權。

針對您指派給其中一個組織使用者的每個付費 Microsoft Entra ID P2 授權,您可以使用 Microsoft Entra 企業對企業 (B2B) 來邀請最多五位外部使用者額度下的來賓使用者。 這些來賓使用者也可以使用 Microsoft Entra ID P2 功能。 如需詳細資訊,請參閱 Microsoft Entra B2B 共同作業授權指引。

特殊許可權存取

身分識別控管中的另一個重要生命週期是使用者特殊許可權存取的週期。 將具有敏感性資源存取權的用戶數目降至最低,有助於維護整體安全的環境,但仍有需要系統管理員許可權的使用者。 控管系統管理員存取權,以降低過度、不必要或誤用訪問許可權的風險,不論這些許可權來自您的學校或其他學校。

Privileged Identity Management

Microsoft Entra Privileged Identity Management (PIM) 提供以時間為基礎和以核准為基礎的角色啟用,以降低 Microsoft Entra ID、Azure 和其他Microsoft在線服務中資源的過度、不必要或誤用訪問許可權的風險,例如 Microsoft 365 或Microsoft Intune。 它可用來保護特殊許可權帳戶,方法是降低許可權的曝光時間,並透過報告和警示提高其使用可見度。

以下是 Privileged Identity Management 的一些主要功能:

  • 為 Microsoft Entra ID 和 Azure 資源提供 Just-In-Time 特殊許可權存取

  • 使用開始和結束日期將時間限制的存取權指派給資源

  • 需要核准才能啟用特殊許可權角色

  • 強制執行多重要素驗證以啟用任何角色

  • 使用理由來了解用戶啟動的原因

  • 啟用特殊許可權角色時取得通知

  • 進行存取權檢閱,以確保使用者仍然需要角色

  • 下載內部或外部稽核的稽核歷程記錄

建議您在組織中使用 PIM 來管理和控制下列專案:

  • 啟用特定角色的核准

  • 指定核准者使用者或群組以核准要求

  • 檢視所有特殊許可權角色的要求和核准歷程記錄

  • 核准或拒絕單一和大量) (提高角色許可權的要求

  • 提供核准或拒絕的理由

  • 要求啟用需要核准的角色

授權需求

使用 PIM 需要 Microsoft Entra ID P2 授權,而且需要:

  • 指派為符合資格的使用者 Microsoft Entra ID 或使用 PIM 管理的 Azure 角色。

  • 獲指派為合格成員或特殊許可權存取群組擁有者的使用者。

  • 用戶能夠在 PIM 中核准或拒絕啟用要求。

  • 指派給存取權檢閱的使用者。

  • 執行存取權檢閱的使用者。