Opis Zarządzanie tożsamością Microsoft Entra

  • 4 min

Zarządzanie tożsamością Microsoft Entra umożliwia zrównoważenie potrzeb organizacji w zakresie bezpieczeństwa i produktywności pracowników przy użyciu odpowiednich procesów i widoczności. Gdy role pracowników zmieniają się w organizacji, możesz użyć Zarządzanie tożsamością Microsoft Entra, aby automatycznie upewnić się, że odpowiednie osoby mają odpowiedni dostęp do odpowiednich zasobów, przy użyciu automatyzacji procesów tożsamości i dostępu, delegowania do grup biznesowych i zwiększenia widoczności.

Zarządzanie identyfikatorami umożliwia organizacjom wykonywanie następujących zadań:

  • Zarządzanie cyklem życia tożsamości.
  • Zarządzanie cyklem życia dostępu.
  • Bezpieczny uprzywilejowany dostęp do administracji.

Te akcje można wykonać dla pracowników, partnerów biznesowych i dostawców oraz w usługach i aplikacjach, zarówno w środowisku lokalnym, jak i w chmurze.

Ma to na celu pomoc organizacjom w rozwiązywaniu tych czterech kluczowych pytań:

  • Którzy użytkownicy powinni mieć dostęp do jakich zasobów?
  • Co ci użytkownicy robią z tym dostępem?
  • Czy istnieją skuteczne mechanizmy kontroli organizacyjnej do zarządzania dostępem?
  • Czy audytorzy mogą sprawdzić, czy kontrole działają?

Cykl życia tożsamości

Zarządzanie cyklem życia tożsamości użytkowników jest częścią ładu tożsamości.

Podczas planowania zarządzania cyklem życia tożsamości dla pracowników, na przykład wiele organizacji modeluje proces "dołączania, przenoszenia i opuszczania". Gdy osoba po raz pierwszy dołączy do organizacji, zostanie utworzona nowa tożsamość cyfrowa, jeśli nie jest jeszcze dostępna. Gdy osoba przechodzi między granicami organizacji, może być konieczne dodanie lub usunięcie większej liczby autoryzacji dostępu do tożsamości cyfrowej. Po opuszczeniu osoby może być konieczne usunięcie dostępu, a tożsamość może nie być już wymagana, poza inspekcją.

Poniższy diagram przedstawia uproszczoną wersję cyklu życia tożsamości.

Diagram przedstawiający cykl życia tożsamości dla pracowników. Cykl życia jest reprezentowany jako okrąg rozpoczynający się od braku dostępu, po którym następuje dołączenie do organizacji, a następnie przejście do nowej roli, a następnie opuszczenie organizacji. Cykl powtarza się.

W wielu organizacjach ten cykl życia tożsamości dla pracowników jest powiązany z reprezentacją tego użytkownika w systemie kadrowym, takim jak Workday lub SuccessFactors. System kadr jest autorytatywny do udostępniania bieżącej listy pracowników i niektórych ich właściwości, takich jak nazwa lub dział. Organizacje muszą zautomatyzować proces tworzenia tożsamości dla nowego pracownika, który jest oparty na sygnałie z systemu KADR, aby pracownik mógł być produktywny w dniu 1.

W Zarządzanie tożsamością Microsoft Entra można zautomatyzować cykl życia tożsamości użytkowników przy użyciu:

  • Inicjowanie obsługi administracyjnej ruchu przychodzącego ze źródeł kadr organizacji w celu automatycznego utrzymywania tożsamości użytkowników zarówno w usłudze Microsoft Entra ID, jak i w usłudze Active Directory.
  • Przepływy pracy cyklu życia w celu zautomatyzowania zadań przepływu pracy uruchamianych w określonych kluczowych zdarzeniach, takich jak przed zaplanowaniem rozpoczęcia pracy w organizacji przez nowego pracownika, w miarę zmiany stanu w czasie w organizacji i opuszczania organizacji.
  • Zasady automatycznego przypisywania w zarządzaniu upoważnieniami do dodawania i usuwania członkostw w grupach użytkownika, ról aplikacji i ról witryny programu SharePoint na podstawie zmian atrybutów użytkownika. Informacje na temat zarządzania upoważnieniami są omówione w kolejnej lekcji.
  • Aprowizowanie użytkowników w celu tworzenia, aktualizowania i usuwania kont użytkowników w innych aplikacjach z łącznikami do setek aplikacji w chmurze i lokalnych.

Ogólnie rzecz biorąc, zarządzanie cyklem życia tożsamości polega na aktualizowaniu wymaganego dostępu, niezależnie od tego, czy przez integrację z systemem HR, czy za pośrednictwem aplikacji aprowizacji użytkowników.

Cykl życia dostępu

Cykl życia dostępu to proces zarządzania dostępem w całym życiu organizacji użytkownika. Użytkownicy wymagają różnych poziomów dostępu od momentu, w którym dołączają do organizacji po opuszczeniu go. Na różnych etapach między nimi będą oni potrzebować praw dostępu do różnych zasobów w zależności od ich roli i obowiązków.

Organizacje potrzebują procesu zarządzania dostępem poza tym, co zostało początkowo aprowidowane dla użytkownika podczas tworzenia tożsamości tego użytkownika. Ponadto organizacje przedsiębiorstwa muszą mieć możliwość wydajnego skalowania, aby móc opracowywać i wymuszać zasady dostępu i mechanizmy kontroli na bieżąco.

Dzięki Zarządzanie tożsamością Microsoft Entra działy IT mogą ustalić, jakie prawa dostępu użytkownicy powinni mieć w różnych zasobach i jakie są niezbędne kontrole wymuszania.

Organizacje mogą zautomatyzować proces cyklu życia dostępu za pomocą technologii, takich jak grupy dynamiczne. Grupy dynamiczne umożliwiają administratorom tworzenie reguł opartych na atrybutach w celu określenia członkostwa w grupach. W przypadku zmiany atrybutów użytkownika lub urządzenia system ocenia wszystkie reguły grupy dynamicznej w katalogu, aby sprawdzić, czy zmiana wyzwoli użytkowników do dodania lub usunięcia z grupy. Jeśli użytkownik lub urządzenie spełnia regułę dla grupy, są one dodawane jako członek tej grupy. Jeśli reguła nie spełnia już wymagań, zostaną usunięte.

Zarządzanie upoważnieniami umożliwia organizacjom definiowanie sposobu, w jaki użytkownicy żądają dostępu między pakietami członkostwa w grupach i zespołach, rolami aplikacji i rolami usługi SharePoint Online oraz wymuszają rozdzielenie kontroli obowiązków dotyczących żądań dostępu.

Organizacje mogą regularnie przeglądać prawa dostępu przy użyciu cyklicznych przeglądów dostępu firmy Microsoft w celu ponownego certyfikacji dostępu.

Cykl życia dostępu uprzywilejowanego

Monitorowanie uprzywilejowanego dostępu jest kluczowym elementem ładu tożsamości. Gdy pracownicy, dostawcy i wykonawcy mają przypisane prawa administracyjne, powinien istnieć proces zapewniania ładu z powodu potencjalnego nieprawidłowego użycia.

Usługa Microsoft Entra Privileged Identity Management (PIM) udostępnia dodatkowe mechanizmy kontroli dostosowane do zabezpieczania praw dostępu. Usługa PIM pomaga zminimalizować liczbę osób, które mają dostęp do zasobów w witrynie Microsoft Entra ID, Azure i innych Usługi online firmy Microsoft. Usługa PIM udostępnia kompleksowy zestaw mechanizmów kontroli ładu, które ułatwiają zabezpieczanie zasobów firmy.

Diagram przedstawiający cykl życia praw dostępu do tożsamości. Cykl życia jest reprezentowany jako okrąg, który rozpoczyna się od braku administratora, a następnie pierwszego administratora, a następnie drugiej roli administratora, a następnie opuszczania IT.