Обзор Управление Microsoft Entra ID с помощью Microsoft Graph

Управление Microsoft Entra ID позволяет сбалансировать потребности вашей организации в безопасности и производительности сотрудников с правильными процессами и видимостью. Она предоставляет вам возможности, позволяющие обеспечить правильный доступ к нужным ресурсам и в нужное время.

Субъекты (или удостоверения), доступом которых можно управлять, включают пользователей, группы и приложения (или субъекты-службы). Пользователи могут быть вашими сотрудниками, деловыми партнерами, поставщиками или подрядчиками. К ресурсам, к которым можно управлять доступом, относятся группы, пакеты доступа и привилегированные роли.

Вы управляете возможностями Управление Microsoft Entra ID программно с помощью следующих API в Microsoft Graph.

• Проверки доступа
• Управление правами
• Рабочие процессы жизненного цикла
• Управление привилегированными удостоверениями
• Условия использования

Дополнительные сведения о Управление Microsoft Entra ID см. в статье Что такое Управление Microsoft Entra ID?.

Управление жизненным циклом пользователей в организации

В организациях есть процессы, которые выполняются по крайней мере в течение трех этапов жизненного цикла сотрудника: когда они присоединяются к организации, когда они перемещаются в организацию и когда они покидают организацию. Такие процессы могут включать подготовку и отзыв доступа и ресурсов при необходимости.

API рабочих процессов жизненного цикла в Microsoft Graph позволяют автоматизировать базовые процессы жизненного цикла для пользователей в организации. Эти процессы жизненного цикла позволяют организации и ее пользователям быть эффективными, безопасными или соответствующими требованиям.

Автоматизация доступа пользователей к ресурсам

Сотрудникам в организациях может потребоваться доступ к различным ресурсам для выполнения своих задач. Партнерам и поставщикам также может потребоваться доступ к вашим ресурсам. В сложных организациях пользователям может быть трудно определить, какой доступ им нужен, как запрашивать доступ и кто должен предоставлять им доступ.

API управления правами в Microsoft Graph позволяют автоматизировать рабочие процессы запросов на доступ, назначения доступа, проверки и истечение срока действия.

Засвидетельствовать доступ субъектов к ресурсам

Если у субъекта есть доступ к ресурсам в организации, важно периодически проверять, что субъект по-прежнему требует доступа. Используйте API проверок доступа для программной проверки доступа.

Например, предположим, что ваша организация автоматизирует доступ сотрудников к определенному ресурсу, чувствительному для бизнеса. Для гостей вы предоставили им доступ к ресурсу через группу. Важно периодически подтверждать, что у гостей по-прежнему есть законный потребность в доступе к группе и ресурсу.

Проверки доступа — это форма аудита эффективности внутреннего контроля организации. Дополнительные сведения см. в обзоре проверок доступа.

Управление доступом к привилегированным ролям

В каждой организации есть сотрудники, которым требуются привилегированные административные роли для выполнения своих обязанностей. В Microsoft Entra ID вы можете предоставить такие привилегированные назначения с помощью Microsoft Entra встроенных ролей. Из-за типа разрешений, которые разрешают эти роли, важно снизить риски чрезмерных, ненужных или неправильно используемых привилегированных ролей.

API-интерфейсы управления привилегированными удостоверениями в Microsoft Graph позволяют программно управлять жизненным циклом привилегированных Microsoft Entra ролей в клиенте.

Принудительное применение условий использования ресурсов

Каждая организация имеет свои условия, которые пользователи должны соблюдать, прежде чем они смогут получить доступ к ресурсам организации. Вы можете определить и применить эти условия с помощью Microsoft Entra Условий использования.

Условия использования могут быть общей политикой компании для всех пользователей в вашей организации; или условия для отдельных пользователей, таких как гости и подрядчики; или условия, с которыми пользователи должны согласиться, прежде чем они смогут использовать конфиденциальное приложение в клиенте.

API условий использования в Microsoft Graph позволяют настроить условия, которые пользователям может потребоваться принять и принять, прежде чем они смогут получить доступ к вашим ресурсам.

"Никому не доверяй"

Эта функция помогает организациям согласовать свои клиенты с тремя руководящими принципами архитектуры "Никому не доверяй":

• Выполняйте проверку явным образом.
• Использование минимальных привилегий
• Предполагайте наличие бреши в системе безопасности

Дополнительные сведения о принципах "Никому не доверяй" и других способах согласования организации с руководящими принципами см. в центре руководства по принципу "Никому не доверяй".

Лицензирование

Управление Microsoft Entra ID возможности доступны в составе различных наборов Microsoft Entra лицензий. Сведения о типах лицензий и функциях управления идентификаторами, доступных для каждой лицензии, см. в статье основы лицензирования Управление Microsoft Entra ID.

Связанные материалы

• Что такое Управление Microsoft Entra ID?
• Планирование новых сценариев управления для бизнес-партнеров и внешних пользователей