Udostępnij za pośrednictwem


Co to jest Microsoft Entra ID Governance?

Microsoft Entra ID Governance to rozwiązanie do zarządzania tożsamościami, które umożliwia organizacjom zwiększenie produktywności, wzmocnienie zabezpieczeń oraz łatwiejsze spełnianie wymagań związanych z zgodnością i regulacjami. Możesz użyć usługi Microsoft Entra ID Governance, aby automatycznie upewnić się, że odpowiednie osoby mają odpowiedni dostęp do odpowiednich zasobów. Można to osiągnąć za pomocą automatyzacji procesów tożsamości i dostępu, delegowania do grup biznesowych i zwiększenia widoczności. Dzięki funkcjom w usłudze Microsoft Entra ID Governance i powiązanych produktach firmy Microsoft można ograniczyć ryzyko związane z tożsamościami i dostępem, chroniąc, monitorując i przeprowadzając inspekcję dostępu do krytycznych zasobów.

W szczególności Zarządzanie tożsamością Microsoft Entra pomaga organizacjom radzić sobie z tymi czterema kluczowymi pytaniami dotyczącymi dostępu do usług i aplikacji zarówno lokalnych, jak i w chmurze:

  • Którzy użytkownicy powinni mieć dostęp do jakich zasobów?
  • Co ci użytkownicy robią z tym dostępem?
  • Czy istnieją mechanizmy kontroli organizacyjnej do zarządzania dostępem?
  • Czy audytorzy mogą sprawdzić, czy kontrole działają skutecznie?

Dzięki Zarządzanie tożsamością Microsoft Entra można zaimplementować następujące scenariusze dla pracowników, partnerów biznesowych i dostawców:

  • Zarządzaj cyklem życia tożsamości
  • Zarządzanie cyklem życia dostępu
  • Bezpieczny uprzywilejowany dostęp do administracji

Cykl życia tożsamości

Zarządzanie tożsamościami pomaga organizacjom osiągnąć równowagę między produktywnością — jak szybko osoba może mieć dostęp do potrzebnych zasobów, takich jak dołączenie do mojej organizacji? A bezpieczeństwo — w jaki sposób ich dostęp powinien ulec zmianie w czasie, na przykład ze względu na zmiany statusu zatrudnienia tej osoby? Zarządzanie cyklem życia tożsamości jest podstawą zarządzania tożsamościami, a skuteczne zarządzanie na dużą skalę wymaga modernizacji infrastruktury zarządzania cyklem życia tożsamości dla aplikacji.

Cykl życia tożsamości

W wielu organizacjach cykl życia tożsamości pracowników i innych pracowników jest związany z reprezentacją tej osoby w systemie HCM (zarządzanie kapitałem ludzkim) lub kadrowym. Organizacje muszą zautomatyzować proces tworzenia tożsamości dla nowego pracownika, który jest oparty na sygnałie z tego systemu, aby pracownik mógł być produktywny w dniu 1. Organizacje muszą mieć pewność, że te tożsamości i dostęp zostaną usunięte po opuszczeniu organizacji przez pracownika.

W ramach Zarządzania tożsamością Microsoft Entra można zautomatyzować cykl życia tożsamości dla tych osób przy użyciu następujących narzędzi:

  • Wstępne zarządzanie z zasobów HR Twojej organizacji, w tym pobieranie danych z Workday i SuccessFactors, aby automatycznie zarządzać tożsamościami użytkowników zarówno w Active Directory, jak i Microsoft Entra ID.
  • Przepływy pracy związane z cyklem życia do automatyzacji zadań przepływu pracy, które są uruchamiane w kluczowych momentach, takich jak zanim nowy pracownik ma rozpocząć pracę w organizacji, w miarę zmiany statusu podczas pracy w organizacji i gdy opuszcza organizację. Na przykład przepływ pracy można skonfigurować pod kątem wysyłania wiadomości e-mail z tymczasowym dostępem do menedżera nowego użytkownika lub powitalnej wiadomości e-mail do użytkownika pierwszego dnia.
  • zasady automatycznego przypisywania w zarządzaniu upoważnieniami do dodawania i usuwania członkostw w grupach użytkownika, ról aplikacji i ról witryny programu SharePoint na podstawie zmian atrybutów użytkownika.
  • aprowizowanie użytkowników w celu tworzenia, aktualizowania i usuwania kont użytkowników w innych aplikacjach z łącznikami do setek aplikacji w chmurze i lokalnych za pośrednictwem protokołu SCIM, LDAP i SQL.

Organizacje potrzebują również dodatkowych tożsamości, dla partnerów, dostawców i innych gości, aby umożliwić im współpracę lub dostęp do zasobów.

W platformie Microsoft Entra ID Governance możesz umożliwić grupom biznesowym ustalenie, którzy z gości powinni mieć dostęp i na jak długo, korzystając z:

  • zarządzanie upoważnieniami , w którym można określić inne organizacje, których użytkownicy mogą żądać dostępu do zasobów organizacji. Po zatwierdzeniu jednego z żądań użytkownika, jest ono automatycznie dodawane przez zarządzanie uprawnieniami jako gość B2B do katalogu organizacji. Następnie przypisano im odpowiedni dostęp. Zarządzanie upoważnieniami automatycznie usuwa użytkownika-gościa B2B z katalogu organizacji po wygaśnięciu lub odwołaniu praw dostępu.
  • Automatyzowane przeglądy dostępu cyklicznie kontrolują istniejących gości już w katalogu organizacji i usuwają tych gości z katalogu organizacji, gdy nie potrzebują już dostępu.

Aby uzyskać więcej informacji, zobacz Zarządzanie cyklem życia pracownika i gościa.

Cykl życia dostępu

Organizacje potrzebują procesu zarządzania dostępem poza tym, co zostało początkowo aprowidowane dla użytkownika podczas tworzenia tożsamości tego użytkownika. Ponadto organizacje przedsiębiorstwa muszą mieć możliwość wydajnego skalowania, aby móc opracowywać i wymuszać zasady dostępu i mechanizmy kontroli na bieżąco.

Cykl życia dostępu

Dzięki zarządzaniu identyfikatorami entra firmy Microsoft działy IT mogą ustalić, które prawa dostępu użytkownicy powinni mieć w różnych zasobach. Mogą również określić niezbędne kontrole, takie jak rozdzielenie obowiązków lub usunięcie dostępu przy zmianie stanowiska. Identyfikator Entra firmy Microsoft zawiera łączniki do setek aplikacji w chmurze i lokalnych. Możesz zintegrować inne aplikacje organizacji, które korzystają z grup AD, innych katalogów lokalnych lub bazy danych, które mają SOAP lub REST API, w tym SAP, lub które implementują standardy, takie jak SCIM, SAML lub OpenID Connect. Gdy użytkownik próbuje zalogować się do jednej z tych aplikacji, identyfikator Entra firmy Microsoft wymusza zasady dostępu warunkowego. Na przykład zasady dostępu warunkowego mogą obejmować wyświetlanie warunków użytkowania i zapewnienie, że użytkownik zgodził się na te warunki przed uzyskaniem dostępu do aplikacji. Aby uzyskać więcej informacji, zobacz zarządzanie dostępem do aplikacji w twoim środowisku, w tym jak definiować zasady organizacyjne dotyczące zarządzania dostępem do aplikacji, integrować aplikacje i wdrażać zasady.

Zmiany dostępu między aplikacjami i grupami można zautomatyzować na podstawie zmian atrybutów. Przepływy pracy cyklu życia Microsoft Entra i zarządzanie uprawnieniami Microsoft Entra automatycznie dodają i usuwają użytkowników z grup lub pakietów dostępu, aby dostęp do aplikacji i zasobów był aktualizowany. Użytkownicy mogą być również przeniesieni, gdy ich status w organizacji zmienia się i przenoszą do różnych grup, a nawet można ich całkowicie usunąć ze wszystkich grup lub pakietów dostępu.

Organizacje, które wcześniej korzystały z lokalnego produktu do zarządzania tożsamościami, mogą migrować model ról organizacyjnych do Zarządzania tożsamościami Microsoft Entra ID.

Ponadto IT może delegować decyzje dotyczące zarządzania dostępem osobom podejmującym decyzje biznesowe. Na przykład pracownicy, którzy chcą uzyskać dostęp do poufnych danych klientów w aplikacji marketingowej firmy w Europie, mogą potrzebować zatwierdzenia od swojego kierownika, kierownika działu lub właściciela zasobów oraz oficera ryzyka bezpieczeństwa. Zarządzanie upoważnieniami umożliwia zdefiniowanie sposobu, w jaki użytkownicy żądają dostępu między pakietami członkostwa w grupach i zespołach, rolami aplikacji i rolami usługi SharePoint Online oraz wymuszają rozdzielenie obowiązków kontrolnych dotyczących żądań dostępu.

Organizacje mogą również kontrolować, którzy użytkownicy-goście mają dostęp, w tym do aplikacji lokalnych. Te prawa dostępu można następnie regularnie przeglądać przy użyciu cyklicznych przeglądów dostępu Microsoft Entra w celu ponownej certyfikacji dostępu.

Cykl życia dostępu uprzywilejowanego

Zarządzanie uprzywilejowanym dostępem jest kluczową częścią nowoczesnego zarządzania tożsamością, zwłaszcza biorąc pod uwagę potencjalne nieprawidłowe użycie związane z prawami administratora, które może zaszkodzić organizacji. Pracownicy, dostawcy i wykonawcy, którzy przejmują prawa administracyjne, muszą mieć swoje konta i uprzywilejowane prawa dostępu zarządzane.

Cykl życia dostępu uprzywilejowanego

Usługa Microsoft Entra Privileged Identity Management (PIM) udostępnia dodatkowe mechanizmy kontroli dostosowane do zabezpieczania praw dostępu do zasobów w witrynie Microsoft Entra, Azure, innych usługach Microsoft Online Services i innych aplikacjach. Dostęp just in time i funkcje powiadamiania o zmianie roli udostępniane przez firmę Microsoft Entra PIM, oprócz uwierzytelniania wieloskładnikowego i dostępu warunkowego, zapewniają kompleksowy zestaw mechanizmów kontroli ładu, które ułatwiają zabezpieczanie zasobów organizacji (ról katalogu, ról platformy Microsoft 365, ról zasobów platformy Azure i członkostwa w grupach). Podobnie jak w przypadku innych form dostępu, organizacje mogą używać przeglądów dostępu do konfigurowania cyklicznego ponownego certyfikacji dostępu dla wszystkich użytkowników w rolach administratora uprzywilejowanego.

Wymagania dotyczące licencji

Korzystanie z tej funkcji wymaga licencji Microsoft Entra ID Governance lub Microsoft Entra Suite. Aby znaleźć odpowiednią licencję dla swoich potrzeb, zobacz Podstawy licencjonowania zarządzania tożsamościami Microsoft Entra.

Wprowadzenie

Zapoznaj się z wymaganiami wstępnymi przed skonfigurowaniem Microsoft Entra ID do zarządzania tożsamością. Następnie odwiedź pulpit zarządzania w centrum administracyjnym Microsoft Entra, aby rozpocząć korzystanie z zarządzania uprawnieniami, przeglądów dostępu, przepływów pracy cyklu życia i usługi Privileged Identity Management.

Dostępne są również samouczki dotyczące zarządzania dostępem do zasobów w zarządzaniu upoważnieniami, dołączania użytkowników zewnętrznych do identyfikatora Entra firmy Microsoft za pośrednictwem procesu zatwierdzania, zarządzania dostępem do aplikacji i istniejących użytkowników aplikacji.

Chociaż każda organizacja może mieć własne unikatowe wymagania, poniższe przewodniki konfiguracyjne zawierają również zasady odniesienia zalecane przez firmę Microsoft, aby zapewnić większe bezpieczeństwo i produktywność pracowników.

Możesz również współpracować z jednym z partnerów ds. usług i integracji firmy Microsoft, aby zaplanować wdrożenie lub zintegrować je z aplikacjami i innymi systemami w danym środowisku.

Jeśli masz jakieś opinie dotyczące funkcji zarządzania tożsamościami, wybierz pozycję Masz opinię? w centrum administracyjnym firmy Microsoft Entra, aby przesłać swoją opinię. Zespół regularnie przegląda Twoją opinię.

Upraszczanie zadań zarządzania tożsamościami przy użyciu automatyzacji

Po rozpoczęciu korzystania z tych funkcji zarządzania tożsamościami można łatwo zautomatyzować typowe scenariusze zarządzania tożsamościami. W poniższej tabeli przedstawiono sposób rozpoczynania pracy z automatyzacją dla każdego scenariusza:

Scenariusz do automatyzacji Przewodnik automatyzacji
Automatyczne tworzenie, aktualizowanie i usuwanie kont użytkowników usługi AD i firmy Microsoft Entra dla pracowników Planowanie integracji systemu HR w chmurze z aprowizacją użytkowników w usłudze Microsoft Entra
Aktualizowanie członkostwa w grupie na podstawie zmian atrybutów użytkownika członkowskiego Tworzenie grupy dynamicznej
Przypisywanie licencji licencjonowanie oparte na grupach
Dodawanie i usuwanie członkostwa w grupach użytkownika, ról aplikacji i ról witryny programu SharePoint na podstawie zmian atrybutów użytkownika Konfigurowanie zasad automatycznego przypisywania dla pakietu dostępu w zarządzaniu upoważnieniami
Dodawanie i usuwanie członkostw użytkownika w grupach, ról aplikacji i ról witryny SharePoint w określonym dniu Konfigurowanie ustawień cyklu życia pakietu dostępu w zarządzaniu upoważnieniami
Uruchamianie niestandardowych przepływów pracy, gdy użytkownik żąda dostępu, otrzymuje go lub gdy dostęp jest usuwany Wyzwalanie usługi Logic Apps w zarządzaniu upoważnieniami
Regularne przeglądanie członkostw gości w grupach i zespołach Microsoft oraz usuwanie członkostw gości, które zostały odrzucone Tworzenie przeglądu dostępu
Usuwanie kont gości, które zostały odrzucone przez recenzenta Przeglądanie i usuwanie użytkowników zewnętrznych, którzy nie mają już dostępu do zasobów
Usuwanie kont gości, które nie mają przypisań pakietów dostępu Zarządzanie cyklem życia użytkowników zewnętrznych
Aprowizowanie użytkowników w aplikacjach lokalnych i w chmurze, które mają własne katalogi lub bazy danych Skonfiguruj automatyczne tworzenie użytkowników z przypisaniami użytkowników lub filtrami zakresu
Inne zaplanowane zadania Automatyzowanie zadań zarządzania tożsamościami za pomocą usług Azure Automation i Microsoft Graph za pośrednictwem modułu Microsoft.Graph.Identity.Governance programu PowerShell

Następne kroki