Przewodnik obsługi operacji zarządzania tożsamościami i dostępem firmy Microsoft

W tej sekcji przewodnika dokumentacji dotyczącej operacji firmy Microsoft opisano kontrole i akcje, które należy wziąć pod uwagę w celu zabezpieczenia cyklu życia tożsamości i ich przypisań oraz zarządzania nimi.

Uwaga

Te zalecenia są aktualne od daty opublikowania, ale mogą ulec zmianie w czasie. Organizacje powinny stale oceniać swoje praktyki dotyczące tożsamości, ponieważ produkty i usługi firmy Microsoft ewoluują wraz z upływem czasu.

Kluczowe procesy operacyjne

Przypisywanie właścicieli do kluczowych zadań

Zarządzanie identyfikatorem Entra firmy Microsoft wymaga ciągłego wykonywania kluczowych zadań operacyjnych i procesów, które mogą nie być częścią projektu wdrażania. Nadal ważne jest skonfigurowanie tych zadań w celu utrzymania środowiska. Najważniejsze zadania i ich zalecanych właścicieli obejmują:

Zadanie	Właściciel
Definiowanie procesu tworzenia subskrypcji platformy Azure	Różni się w zależności od organizacji
Zdecyduj, kto otrzymuje licencje pakietu Enterprise Mobility + Security	Zespół operacyjny ds. tożsamości
Zdecyduj, kto otrzymuje licencje platformy Microsoft 365	Zespół ds. produktywności
Zdecyduj, kto otrzymuje inne licencje, na przykład Dynamics, Visual Studio Codespaces	Właściciel aplikacji
Przypisywanie licencji	Zespół operacyjny ds. tożsamości
Rozwiązywanie problemów i korygowanie błędów przypisywania licencji	Zespół operacyjny ds. tożsamości
Aprowizuj tożsamości aplikacjom w identyfikatorze Entra firmy Microsoft	Zespół operacyjny ds. tożsamości

Podczas przeglądania listy może być konieczne przypisanie właściciela do zadań, które nie mają właściciela, lub dostosowanie własności do zadań z właścicielami, którzy nie są zgodni z podanymi zaleceniami.

Przypisywanie właścicieli zalecanych do czytania

• Przypisywanie ról administratora w usłudze Microsoft Entra ID

Synchronizacja tożsamości lokalnych

Identyfikowanie i rozwiązywanie problemów z synchronizacją

Firma Microsoft zaleca dobry punkt odniesienia i zrozumienie problemów w środowisku lokalnym, które mogą powodować problemy z synchronizacją z chmurą. Ponieważ zautomatyzowane narzędzia, takie jak IdFix i Microsoft Entra Connect Health, mogą generować dużą liczbę wyników fałszywie dodatnich, zalecamy zidentyfikowanie błędów synchronizacji, które nie zostały jeszcze rozwiązane przez ponad 100 dni, czyszcząc te obiekty w błędzie. Długotrwałe nierozwiązane błędy synchronizacji mogą generować zdarzenia pomocy technicznej. Rozwiązywanie problemów z błędami podczas synchronizacji zawiera omówienie różnych typów błędów synchronizacji , niektóre z możliwych scenariuszy, które powodują te błędy i potencjalne sposoby naprawiania błędów.

Konfiguracja synchronizacji programu Microsoft Entra Connect

Aby włączyć wszystkie środowiska hybrydowe, stan zabezpieczeń oparty na urządzeniach i integrację z identyfikatorem Entra firmy Microsoft, wymagamy zsynchronizowania kont użytkowników używanych przez pracowników do logowania się na pulpitach.

Jeśli użytkownicy lasu nie będą się logować, należy zmienić synchronizację, aby pochodziła z odpowiedniego lasu.

Zakres synchronizacji i filtrowanie obiektów

Usunięcie znanych zasobników obiektów, które nie są wymagane do synchronizacji, ma następujące korzyści operacyjne:

• Mniej źródeł błędów synchronizacji
• Szybsze cykle synchronizacji
• Mniej "śmieci", które mają być przenoszone ze środowiska lokalnego, na przykład zanieczyszczenie globalnej listy adresów dla lokalnych kont usług, które nie są istotne w chmurze

Uwaga

Jeśli okaże się, że importujesz wiele obiektów, które nie są eksportowane do chmury, należy filtrować według jednostek organizacyjnych lub określonych atrybutów.

Przykłady obiektów do wykluczenia to:

• Konta usług, które nie są używane dla aplikacji w chmurze
• Grupy, które nie mają być używane w scenariuszach w chmurze, takich jak grupy używane do udzielania dostępu do zasobów
• Użytkownicy lub kontakty, które są tożsamościami zewnętrznymi, które mają być reprezentowane przez firmę Microsoft Entra B2B Collaboration
• Konta komputerów, na których pracownicy nie mają uzyskiwać dostępu do aplikacji w chmurze, na przykład z serwerów

Uwaga

Jeśli jedna tożsamość człowieka ma wiele kont aprowizowania z czegoś takiego jak starsza migracja domeny, fuzja lub pozyskiwanie, należy zsynchronizować konto używane przez użytkownika na co dzień, na przykład to, czego używają do logowania się na komputerze.

Najlepiej, aby osiągnąć równowagę między zmniejszeniem liczby obiektów do synchronizacji i złożonością reguł. Ogólnie rzecz biorąc, kombinacja między filtrowaniem jednostek organizacyjnych/kontenera oraz prostym mapowaniem atrybutów na atrybut cloudFiltered jest efektywną kombinacją filtrowania.

Ważne

Jeśli używasz filtrowania grup w środowisku produkcyjnym, należy przejść do innego podejścia do filtrowania.

Synchronizacja trybu failover lub odzyskiwania po awarii

Program Microsoft Entra Connect odgrywa kluczową rolę w procesie aprowizacji. Jeśli z jakiegokolwiek powodu serwer synchronizacji przejdzie w tryb offline, zmiany w środowisku lokalnym nie mogą być aktualizowane w chmurze i mogą powodować problemy z dostępem dla użytkowników. Dlatego ważne jest zdefiniowanie strategii trybu failover, która umożliwia administratorom szybkie wznowienie synchronizacji po przejściu serwera synchronizacji do trybu offline. Takie strategie mogą należeć do następujących kategorii:

• Wdrażanie serwerów Microsoft Entra Connect w trybie przejściowym — umożliwia administratorowi "podwyższenie poziomu" serwera przejściowego do środowiska produkcyjnego przez prosty przełącznik konfiguracji.
• Używanie wirtualizacji — jeśli program Microsoft Entra Connect jest wdrożony na maszynie wirtualnej, administratorzy mogą zastosować swój stos wirtualizacji do dynamicznego, migrowanego lub szybkiego ponownego wdrażania maszyny wirtualnej, a tym samym wznowić synchronizację.

Jeśli w twojej organizacji brakuje strategii odzyskiwania po awarii i trybu failover na potrzeby synchronizacji, nie należy wahać się wdrażania programu Microsoft Entra Connect w trybie przejściowym. Podobnie, jeśli między konfiguracją produkcyjną i przejściowym występuje niezgodność, należy ponownie utworzyć tryb przejściowy programu Microsoft Entra Connect, aby dopasować go do konfiguracji produkcyjnej, w tym wersji oprogramowania i konfiguracji.

Dbanie o aktualność

Firma Microsoft regularnie aktualizuje program Microsoft Entra Connect. Bądź na bieżąco, aby korzystać z ulepszeń wydajności, poprawek błędów i nowych możliwości oferowanych przez każdą nową wersję.

Jeśli wersja programu Microsoft Entra Connect jest większa niż sześć miesięcy, należy przeprowadzić uaktualnienie do najnowszej wersji.

Kotwica źródłowa

Użycie struktury ms-DS-consistencyguid jako kotwicy źródłowej umożliwia łatwiejszą migrację obiektów między lasami i domenami, co jest powszechne w konsolidacji/oczyszczania domeny usługi AD, fuzji, przejęć i zbycia.

Jeśli obecnie używasz obiektu ObjectGuid jako kotwicy źródłowej, zalecamy przełączenie się na użycie biblioteki ms-DS-ConsistencyGuid.

Reguły niestandardowe

Reguły niestandardowe programu Microsoft Entra Connect umożliwiają kontrolowanie przepływu atrybutów między obiektami lokalnymi i obiektami w chmurze. Jednak nadmierne wykorzystanie lub błędne stosowanie reguł niestandardowych może powodować następujące zagrożenia:

• Rozwiązywanie problemów ze złożonością
• Obniżenie wydajności podczas wykonywania złożonych operacji między obiektami
• Większe prawdopodobieństwo rozbieżności konfiguracji między serwerem produkcyjnym a serwerem przejściowym
• Dodatkowe obciążenie podczas uaktualniania programu Microsoft Entra Connect w przypadku tworzenia reguł niestandardowych w pierwszeństwie większym niż 100 (używanych przez wbudowane reguły)

Jeśli używasz nadmiernie złożonych reguł, należy zbadać przyczyny złożoności i znaleźć możliwości uproszczenia. Podobnie, jeśli utworzono reguły niestandardowe z wartością pierwszeństwa powyżej 100, należy naprawić reguły, aby nie były zagrożone lub powodować konflikt z zestawem domyślnym.

Przykłady błędnych reguł niestandardowych to:

• Kompensuj brudne dane w katalogu — w tym przypadku zalecamy pracę z właścicielami zespołu usługi AD i czyszczenie danych w katalogu jako zadanie korygowania i dostosowywanie procesów w celu uniknięcia ponownego wprowadzenia nieprawidłowych danych.
• Jednorazowe korygowanie poszczególnych użytkowników — często można znaleźć reguły, które specjalne wartości odstające, zwykle z powodu problemu z określonym użytkownikiem.
• Nadmiernie skompilowane "CloudFiltering" — zmniejszenie liczby obiektów jest dobrym rozwiązaniem, istnieje ryzyko utworzenia nadmiernie skompilowanego zakresu synchronizacji przy użyciu zbyt wielu reguł synchronizacji. Jeśli używasz złożonej logiki do dołączania/wykluczania obiektów poza procesem filtrowania jednostki organizacyjnej, zalecamy obsługę tej logiki poza synchronizacją. Można to zrobić, oznaczając obiekty prostym atrybutem "cloudFiltered", który może przepływać za pomocą prostej reguły synchronizacji.

Dokumentator konfiguracji programu Microsoft Entra Connect

Microsoft Entra Connect Configuration Documenter to narzędzie, którego można użyć do wygenerowania dokumentacji instalacji programu Microsoft Entra Connect. To narzędzie zapewnia lepsze zrozumienie konfiguracji synchronizacji i pomaga budować pewność, że wszystko jest w porządku. Narzędzie informuje również o tym, jakie zmiany wystąpiły, gdy zastosowano nową kompilację lub konfigurację programu Microsoft Entra Connect oraz które niestandardowe reguły synchronizacji zostały dodane lub zaktualizowane.

Bieżące możliwości narzędzia obejmują:

• Dokumentacja pełnej konfiguracji usługi Microsoft Entra Connects Sync.
• Dokumentacja wszelkich zmian w konfiguracji dwóch serwerów synchronizacji programu Microsoft Entra Connect lub zmian z danej konfiguracji odniesienia.
• Generowanie skryptu wdrażania programu PowerShell w celu przeprowadzenia migracji różnic lub dostosowań reguły synchronizacji z jednego serwera do innego.

Przypisywanie do aplikacji i zasobów

Licencjonowanie oparte na grupach dla usług w chmurze firmy Microsoft

Microsoft Entra ID usprawnia zarządzanie licencjami za pomocą licencjonowania opartego na grupach dla usług w chmurze firmy Microsoft. Dzięki temu zarządzanie dostępem i tożsamościami zapewnia infrastrukturę grupy i delegowane zarządzanie tymi grupami odpowiednim zespołom w organizacjach. Istnieje wiele sposobów konfigurowania członkostwa w grupach w usłudze Microsoft Entra ID, w tym:

• Synchronizowane z lokalnego — grupy mogą pochodzić z katalogów lokalnych, co może być dobrym rozwiązaniem dla organizacji, które ustanowiły procesy zarządzania grupami, które można rozszerzyć w celu przypisywania licencji na platformie Microsoft 365.

• Dynamiczne grupy członkostwa — grupy oparte na atrybutach można utworzyć w chmurze na podstawie wyrażenia na podstawie atrybutów użytkownika, na przykład Dział równa się "sprzedaż". Identyfikator Entra firmy Microsoft utrzymuje członków grupy, zachowując jej spójność z zdefiniowanym wyrażeniem. Używanie dynamicznych grup członkostwa na potrzeby przypisywania licencji umożliwia przypisanie licencji opartej na atrybutach, co jest dobrym rozwiązaniem dla organizacji, które mają wysoką jakość danych w katalogu.

• Własność delegowana — grupy można tworzyć w chmurze i mogą być wyznaczonymi właścicielami. Dzięki temu możesz zwiększyć możliwości właścicieli firm, na przykład zespołu współpracy lub zespołu analizy biznesowej, aby określić, kto powinien mieć dostęp.

Jeśli obecnie używasz ręcznego procesu przypisywania licencji i składników do użytkowników, zalecamy zaimplementowanie licencjonowania opartego na grupach. Jeśli bieżący proces nie monitoruje błędów licencjonowania lub określa, które licencje są przypisane i dostępne, należy zdefiniować ulepszenia procesu. Upewnij się, że proces usuwa błędy licencjonowania i monitoruje przypisania licencjonowania.

Innym aspektem zarządzania licencjami jest definicja planów usług (składników licencji), które powinny być włączone na podstawie funkcji zadań w organizacji. Udzielanie dostępu do planów usług, które nie są niezbędne, może spowodować, że użytkownicy zobaczą narzędzia w portalu platformy Microsoft 365, na których nie zostały jeszcze wytrenowane lub nie powinny być używane. Te scenariusze mogą prowadzić do dodatkowej liczby pomocy technicznej, niepotrzebnej aprowizacji oraz narażać zgodność i ład na ryzyko; na przykład w przypadku aprowizowania usługi OneDrive osobom, które mogą nie mieć możliwości udostępniania zawartości.

Skorzystaj z poniższych wskazówek, aby zdefiniować plany usług dla użytkowników:

• Administratorzy powinni zdefiniować "pakiety" planów usług, które mają być oferowane użytkownikom na podstawie ich roli; na przykład pracownik białych kołnierzyków a pracownik podłogowy.
• Utwórz grupy według klastra i przypisz licencję z planem usługi.
• Opcjonalnie można zdefiniować atrybut do przechowywania pakietów dla użytkowników.

Ważne

Licencjonowanie oparte na grupach w usłudze Microsoft Entra ID wprowadza koncepcję użytkowników w stanie błędu licencjonowania. Jeśli zauważysz jakiekolwiek błędy licencjonowania, należy natychmiast zidentyfikować i rozwiązać problemy z przypisywaniem licencji.

Zarządzanie cyklem życia

Jeśli obecnie używasz narzędzia, takiego jak program Microsoft Identity Manager lub system innej firmy, który opiera się na infrastrukturze lokalnej, zalecamy odciążanie przypisania z istniejącego narzędzia. Zamiast tego należy zaimplementować licencjonowanie oparte na grupach i zdefiniować zarządzanie cyklem życia grupy na podstawie dynamicznych grup członkostwa.

Jeśli istniejący proces nie uwzględnia nowych pracowników lub pracowników opuszczających organizację, należy wdrożyć licencjonowanie oparte na grupach na podstawie dynamicznych grup członkostwa i zdefiniować ich cykl życia. Jeśli licencjonowanie oparte na grupach jest wdrażane w grupach lokalnych, które nie mają zarządzania cyklem życia, rozważ użycie grup w chmurze w celu włączenia funkcji, takich jak delegowane własność lub dynamiczne grupy członkostwa oparte na atrybutach.

Przypisywanie aplikacji z grupą "Wszyscy użytkownicy"

Właściciele zasobów mogą sądzić, że grupa Wszyscy użytkownicy zawiera tylko pracowników przedsiębiorstwa, jeśli rzeczywiście mogą zawierać zarówno pracowników przedsiębiorstwa, jak i gości. W związku z tym należy zachować szczególną ostrożność podczas używania grupy Wszyscy użytkownicy do przypisywania aplikacji i udzielania dostępu do zasobów, takich jak zawartość lub aplikacje programu SharePoint.

Ważne

Jeśli grupa Wszyscy użytkownicy jest włączona i używana dla zasad dostępu warunkowego, aplikacji lub przypisania zasobów, pamiętaj, aby zabezpieczyć grupę, jeśli nie chcesz, aby zawierała użytkowników-gości. Ponadto należy naprawić przypisania licencjonowania, tworząc i przypisując je do grup zawierających tylko pracowników przedsiębiorstwa. Z drugiej strony, jeśli okaże się, że grupa Wszyscy użytkownicy jest włączona, ale nie jest używana do udzielania dostępu do zasobów, upewnij się, że wskazówki operacyjne organizacji mają celowo używać tej grupy (która obejmuje zarówno pracowników przedsiębiorstwa, jak i gości).

Automatyczna aprowizacja użytkowników w aplikacjach

Automatyczna aprowizacja użytkowników w aplikacjach to najlepszy sposób tworzenia spójnej aprowizacji, anulowania aprowizacji i cyklu życia tożsamości w wielu systemach.

Jeśli obecnie aprowizujesz aplikacje w sposób ad hoc lub używasz plików CSV, JIT lub rozwiązania lokalnego, które nie obsługuje zarządzania cyklem życia, zalecamy zaimplementowanie aprowizacji aplikacji za pomocą identyfikatora Entra firmy Microsoft. To rozwiązanie udostępnia obsługiwane aplikacje i definiuje spójny wzorzec dla aplikacji, które nie są jeszcze obsługiwane przez identyfikator Firmy Microsoft Entra.

Punkt odniesienia cyklu synchronizacji różnicowej programu Microsoft Entra Connect

Ważne jest, aby zrozumieć ilość zmian w organizacji i upewnić się, że czas synchronizacji nie trwa zbyt długo.

Domyślna częstotliwość synchronizacji różnicowej wynosi 30 minut. Jeśli synchronizacja różnicowa trwa dłużej niż 30 minut lub występują znaczne rozbieżności między wydajnością synchronizacji różnicowej przejściowej i produkcyjnej, należy zbadać i przejrzeć czynniki wpływające na wydajność programu Microsoft Entra Connect.

Zalecane informacje dotyczące rozwiązywania problemów z programem Microsoft Entra Connect

• Przygotowywanie atrybutów katalogu do synchronizacji z platformą Microsoft 365 przy użyciu narzędzia IdFix
• Microsoft Entra Connect: Rozwiązywanie problemów z błędami podczas synchronizacji

Podsumowanie

Istnieje pięć aspektów bezpiecznej infrastruktury tożsamości. Ta lista ułatwia szybkie znajdowanie i wykonywanie niezbędnych działań w celu zabezpieczenia cyklu życia tożsamości i ich uprawnień w organizacji oraz zarządzania nimi.

• Przypisz właścicieli do kluczowych zadań.
• Znajdź i rozwiąż problemy z synchronizacją.
• Zdefiniuj strategię przejścia w tryb failover na potrzeby odzyskiwania po awarii.
• Usprawnij zarządzanie licencjami i przypisywaniem aplikacji.
• Automatyzowanie aprowizacji użytkowników w aplikacjach.

Następne kroki

Rozpocznij pracę z kontrolami i akcjami zarządzania uwierzytelnianiem.