Поделиться через

Сценарий развертывания Microsoft Entra — рабочая сила и гостевая адаптация, удостоверение и управление жизненным циклом доступа во всех приложениях

  • Статья

Сценарии развертывания Microsoft Entra предоставляют подробные рекомендации по объединении и тестировании этих продуктов Microsoft Entra Suite:

В этих руководствах описаны сценарии, показывающие значение Microsoft Entra Suite и способы совместной работы его возможностей.

Обзор сценария

В этом руководстве описано, как настроить продукты Microsoft Entra Suite для сценария, в котором вымышленная организация Contoso хочет нанять новых удаленных сотрудников и предоставить им безопасный и простой доступ к необходимым приложениям и ресурсам. Они хотят приглашать и сотрудничать с внешними пользователями (например, партнерами, поставщиками или клиентами) и предоставлять им доступ к соответствующим приложениям и ресурсам.

Компания Contoso использует Проверенные учетные данные Microsoft Entra для выдачи и проверки цифровых доказательств удостоверения и состояния для новых удаленных сотрудников (на основе данных кадров) и внешних пользователей (на основе приглашений электронной почты). Цифровые кошельки хранят подтверждение удостоверения и состояние, чтобы разрешить доступ к приложениям и ресурсам. В качестве дополнительной меры безопасности Компания Contoso может проверить удостоверение с помощью распознавания лиц на основе рисунка, в который хранятся учетные данные.

Они используют Управление идентификацией Microsoft Entra для создания и предоставления пакетов доступа для сотрудников и внешних пользователей на основе проверяемых учетных данных.

  • Для сотрудников они основывают пакеты доступа на функциях заданий и отделе. Пакеты доступа включают облачные и локальные приложения и ресурсы, к которым требуются доступ сотрудники.
  • Для внешних участников совместной работы они базируют пакеты доступа по приглашению на определение ролей и разрешений внешних пользователей. Пакеты доступа включают только приложения и ресурсы, к которым требуются доступ внешние пользователи.

Сотрудники и внешние пользователи могут запрашивать пакеты доступа через портал самообслуживания, где они предоставляют цифровые доказательства в качестве проверки подлинности. С помощью единого входа и многофакторной проверки подлинности сотрудники и внешние учетные записи Microsoft Entra предоставляют доступ к приложениям и ресурсам, к которым относятся их пакеты доступа. Contoso проверяет учетные данные и предоставляет пакеты доступа, не требуя утверждения вручную или подготовки.

Компания Contoso использует Защита идентификации Microsoft Entra и условный доступ для мониторинга и защиты учетных записей от рискованных входов и поведения пользователей. Они применяют соответствующие элементы управления доступом на основе расположения, устройства и уровня риска.

Настройка обязательных компонентов

Чтобы успешно развернуть и протестировать решение, настройте необходимые компоненты, которые описаны в этом разделе.

Настройка службы "Проверенный идентификатор Microsoft Entra"

Для этого сценария выполните следующие действия по настройке Проверенные учетные данные Microsoft Entra с помощью быстрой установки (предварительная версия):

  1. Зарегистрируйте личный домен (требуется для быстрого установки), выполнив действия, описанные в статье "Добавление личного домена ".

  2. Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора.

    • Выберите проверенный идентификатор.
    • Выберите Настройка.
    • Выберите Приступая к работе.

  3. Если у вас несколько доменов, зарегистрированных для клиента Microsoft Entra, выберите домен, который вы хотите использовать для проверенного идентификатора.

  4. После завершения процесса установки на странице "Моя учетная запись" вы увидите учетные данные рабочего места по умолчанию, доступные для редактирования и предложения сотрудникам клиента.

    Снимок экрана: проверенный идентификатор, обзор.

  5. Войдите в учетную запись тестового пользователя с помощью учетных данных Microsoft Entra. Выберите " Получить проверенный идентификатор ", чтобы выдать проверенные учетные данные рабочего места.

    Снимок экрана:

Добавление доверенной внешней организации (B2B)

Выполните следующие действия, чтобы добавить доверенные внешние организации (B2B) для сценария.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор безопасности.

  2. Перейдите к параметрам доступа внешних>удостоверений>между клиентами. Выберите Параметры организации.

  3. Выберите Добавить организацию.

  4. Введите полное доменное имя организации (или идентификатор клиента).

  5. Выберите организацию в результатах поиска. Выберите Добавить.

  6. Подтвердите новую организацию (которая наследует параметры доступа от параметров по умолчанию) в параметрах организации.

    Снимок экрана: параметры организации с красными прямоугольниками, выделенными по умолчанию в столбцах входящего доступа и исходящего доступа.

Создание каталога

Выполните следующие действия, чтобы создать каталог управления правами для сценария.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор управления удостоверениями.

  2. Перейдите к каталогам управления правами управления>удостоверениями.>

  3. Выберите + Создать каталог.

    Снимок экрана: обзор нового доступа, корпоративные приложения, все приложения, управление удостоверениями, новый каталог.

  4. Введите уникальное имя и описание каталога. Запрашиватели видят эти сведения в сведениях о пакете доступа.

  5. Чтобы создать пакеты доступа в этом каталоге только для внутренних пользователей, выберите "Включено" для внешних пользователей>No.

    Снимок экрана: создание каталога без выбора для элемента управления

  6. В каталоге откройте каталог, в который требуется добавить ресурсы. Выберите "Ресурсы> и добавить ресурсы".

  7. Выберите "Тип", а затем группы и группы, приложения или сайты SharePoint.

  8. Выберите один или несколько ресурсов данного типа, которые вы хотите добавить в каталог. Выберите Добавить.

Создание пакетов доступа

Чтобы успешно развернуть и протестировать решение, настройте пакеты доступа, которые описаны в этом разделе.

Пакет доступа для удаленных пользователей (внутренний)

Выполните следующие действия, чтобы создать пакет доступа в управлении правами с проверенным идентификатором для удаленных (внутренних) пользователей.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор управления удостоверениями.

  2. Перейдите к пакету управления правами управления>удостоверениями>.

  3. Выберите Новый пакет для доступа.

  4. Для основных сведений предоставьте пакету доступа имя (например, финансовые приложения для удаленных пользователей). Укажите созданный ранее каталог.

  5. Для ролей ресурсов выберите тип ресурса (например, группы и Teams, приложения, сайты SharePoint). Выберите один или несколько ресурсов.

  6. В роли выберите роль, которой нужно назначить пользователей для каждого ресурса.

    Снимок экрана: роли ресурсов с красным полем с выделением столбца роли.

  7. Для запросов выберите "Для пользователей в каталоге".

  8. В разделе "Выбор пользователей и групп" выберите "Для пользователей" в каталоге. Выберите + Добавить пользователей и группы. Выберите существующую группу, правой на запрос пакета доступа.

  9. Прокрутите страницу до обязательных проверенных идентификаторов.

  10. Выберите и добавьте издателя. Выберите издателя из сети Проверенные учетные данные Microsoft Entra. Убедитесь, что вы выбрали издателя из существующего проверенного удостоверения в гостевом кошельке.

  11. Необязательно. В разделе "Утверждение" укажите, требуются ли пользователи утверждения при запросе пакета доступа.

  12. Необязательно. В сведениях о запросе выберите "Вопросы". Введите вопрос (известный как отображаемая строка), который требуется задать запрашивателю. Чтобы добавить параметры локализации, выберите "Добавить локализацию".

  13. Для жизненного цикла укажите, когда срок действия назначения пользователя пакету доступа истекает. Укажите, могут ли пользователи расширить свои назначения. Для срока действия задайте срок действия назначений пакетов Access на дату, количество дней, количество часов или никогда.

  14. В разделе "Проверки доступа" выберите "Да".

  15. В начале выберите текущую дату. Задайте для ежеквартально заданную частоту проверки. Задайте длительность (в днях) значение 21.

Пакет доступа для гостей (B2B)

Выполните следующие действия, чтобы создать пакет доступа в управлении правами с проверенным идентификатором для гостей (B2B).

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор управления удостоверениями.

  2. Перейдите к пакету управления правами управления>удостоверениями>.

  3. Выберите Новый пакет для доступа.

  4. Для основных сведений предоставьте пакету доступа имя (например, финансовые приложения для удаленных пользователей). Укажите созданный ранее каталог.

  5. Для ролей ресурсов выберите тип ресурса (например, группы и Teams, приложения, сайты SharePoint). Выберите один или несколько ресурсов.

  6. В роли выберите роль, которой нужно назначить пользователей для каждого ресурса.

    Снимок экрана: роли ресурсов с красным полем с выделением столбца роли.

  7. Для запросов выберите "Для пользователей, не входящих в каталог".

  8. Выберите определенные подключенные организации. Чтобы выбрать из списка подключенных организаций, которые вы ранее добавили, выберите "Добавить каталог".

  9. Введите имя или доменное имя для поиска ранее подключенной организации.

  10. Прокрутите страницу до обязательных проверенных идентификаторов.

  11. Выберите и добавьте издателя. Выберите издателя из сети Проверенные учетные данные Microsoft Entra. Убедитесь, что вы выбрали издателя из существующего проверенного удостоверения в гостевом кошельке.

  12. Необязательно. В разделе "Утверждение" укажите, требуются ли пользователи утверждения при запросе пакета доступа.

  13. Необязательно. В сведениях о запросе выберите "Вопросы". Введите вопрос (известный как отображаемая строка), который требуется задать запрашивателю. Чтобы добавить параметры локализации, выберите "Добавить локализацию".

  14. Для жизненного цикла укажите, когда срок действия назначения пользователя пакету доступа истекает. Укажите, могут ли пользователи расширить свои назначения. Для срока действия задайте срок действия назначений пакетов Access на дату, количество дней, количество часов или никогда.

  15. В разделе "Проверки доступа" выберите "Да".

  16. В начале выберите текущую дату. Задайте для ежеквартально заданную частоту проверки. Задайте длительность (в днях) значение 21.

  17. Выберите конкретных рецензентов. Выберите самостоятельное рецензирование.

    Снимок экрана: новый пакет доступа.

Создание политики условного доступа на основе рисков для входа

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор условного доступа.

  2. Перейдите к политикам условного доступа>защиты>.

  3. Выберите Новая политика.

  4. Введите имя политики, например "Защита приложений для удаленных пользователей с высоким риском".

  5. Для назначений выберите "Пользователи".

    1. Для включения выберите группу удаленных пользователей или выберите всех пользователей.
    2. Для исключения выберите "Пользователи и группы". Выберите учетные записи аварийного доступа или аварийного доступа вашей организации.
    3. Нажмите кнопку Готово.

  6. Для облачных приложений или действий>Include выберите приложения, предназначенные для этой политики.

  7. Для рисков входа в систему>задайте для параметра "Настроить" значение "Да". Для выбора уровня риска входа эта политика будет применяться, выберите "Высокий " и "Средний".

    1. Нажмите кнопку Готово.

  8. Для элементов управления>Access Grant.

    1. Выберите "Предоставить доступ>" "Требовать многофакторную проверку подлинности".

  9. Для сеанса выберите частоту входа. Выберите каждый раз.

  10. Подтвердите параметры. Выберите " Включить политику".

    Снимок экрана: политики условного доступа, новый риск входа. Красное поле подчеркивает риск пользователя и риск входа.

Запрос пакета доступа

После настройки пакета доступа с требованием проверенного идентификатора конечные пользователи, которые находятся в области политики, могут запрашивать доступ на портале "Мой доступ ". Хотя утверждающие проверяют запросы на утверждение, они могут видеть утверждения проверенных учетных данных, присутствующих у запрашивающих лиц.

  1. Войдите myaccess.microsoft.comв качестве удаленного пользователя или гостя.

  2. Найдите созданный ранее пакет доступа (например , финансовые приложения для удаленных пользователей). Вы можете просматривать перечисленные пакеты или использовать панель поиска. Выберите Запрос.

  3. Система отображает информационный баннер с сообщением, например, чтобы запросить доступ к этому пакету доступа, необходимо представить проверяемые учетные данные. Выберите "Запросить доступ". Чтобы запустить Microsoft Authenticator, проверьте QR-код с помощью телефона. Поделитесь своими учетными данными.

    Снимок экрана:

  4. После совместного использования учетных данных перейдите к рабочему процессу утверждения.

  5. Необязательный вариант. Следуйте указаниям по имитации рисков в Защита идентификации Microsoft Entra. Возможно, потребуется несколько раз попытаться повысить риск пользователя до среднего или высокого уровня.

  6. Попробуйте получить доступ к приложению, созданному ранее для сценария, чтобы подтвердить заблокированный доступ. Возможно, потребуется подождать до одного часа для принудительного применения блокировки.

  7. Используйте журналы входа, чтобы проверить заблокированный доступ с помощью политики условного доступа, созданной ранее. Откройте журналы неинтерактивного входа из частного приложения ZTNA Network Access Client . Просмотр журналов из имени приложения приватного доступа, созданного ранее в качестве имени ресурса.

Связанный контент