Dela via

Microsoft Entra-distributionsscenario – Personal- och gästregistrering, identitet och åtkomst till livscykelstyrning i alla dina appar

  • Artikel

Distributionsscenarierna i Microsoft Entra ger detaljerad vägledning om hur du kombinerar och testar dessa Microsoft Entra Suite-produkter:

I de här guiderna beskriver vi scenarier som visar värdet för Microsoft Entra Suite och hur dess funktioner fungerar tillsammans.

Scenarioöversikt

I den här guiden beskriver vi hur du konfigurerar Microsoft Entra Suite-produkter för ett scenario där den fiktiva organisationen Contoso vill anställa nya distansanställda och ge dem säker och sömlös åtkomst till nödvändiga appar och resurser. De vill bjuda in och samarbeta med externa användare (till exempel partner, leverantörer eller kunder) och ge dem åtkomst till relevanta appar och resurser.

Contoso använder Microsoft Entra – verifierat ID för att utfärda och verifiera digitala bevis på identitet och status för nya distansanställda (baserat på personaldata) och externa användare (baserat på e-postinbjudningar). Digitala plånböcker lagrar identitetsbevis och status för att ge åtkomst till appar och resurser. Som ett extra säkerhetsmått kan Contoso verifiera identiteten med ansiktsigenkänning med ansiktsigenkänning för ansiktsigenkänning med ansiktsigenkänning baserat på den bild som autentiseringsuppgifterna lagrar.

De använder Microsoft Entra ID Governance för att skapa och bevilja åtkomstpaket för anställda och externa användare baserat på verifierbara autentiseringsuppgifter.

  • För anställda baserar de åtkomstpaket på jobbfunktion och avdelning. Åtkomstpaket innehåller molnbaserade och lokala appar och resurser som anställda behöver åtkomst till.
  • För externa medarbetare baserar de åtkomstpaket på inbjudan för att definiera externa användarroller och behörigheter. Åtkomstpaketen innehåller endast appar och resurser som externa användare behöver åtkomst till.

Anställda och externa användare kan begära åtkomstpaket via en självbetjäningsportal där de tillhandahåller digitala bevis som identitetsverifiering. Med enkel inloggning och multifaktorautentisering ger microsoft Entra-konton för anställda och externa användare åtkomst till appar och resurser som deras åtkomstpaket innehåller. Contoso verifierar autentiseringsuppgifter och beviljar åtkomstpaket utan manuella godkännanden eller etablering.

Contoso använder Microsoft Entra ID Protection och villkorlig åtkomst för att övervaka och skydda konton mot riskfyllda inloggningar och användarbeteende. De tillämpar lämpliga åtkomstkontroller baserat på plats, enhet och risknivå.

Konfigurera krav

Om du vill distribuera och testa lösningen konfigurerar du de förutsättningar som vi beskriver i det här avsnittet.

Konfigurera Microsoft Entra – verifierat ID

I det här scenariot utför du de här nödvändiga stegen för att konfigurera Microsoft Entra – verifierat ID med snabbkonfiguration (förhandsversion):

  1. Registrera en anpassad domän (krävs för snabb installation) genom att följa stegen i artikeln Lägg till din anpassade domän .

  2. Logga in på administrationscentret för Microsoft Entra som global administratör.

    • Välj Verifierat ID.
    • Välj Installation.
    • Välj Komma igång.

  3. Om du har flera domäner registrerade för din Microsoft Entra-klient väljer du den som du vill använda för Verifierat ID.

  4. När konfigurationsprocessen är klar ser du en standardautentiseringsuppgift på arbetsplatsen som är tillgänglig för att redigera och erbjuda anställda i din klientorganisation på sidan Mitt konto .

    Skärmbild av Verifierat ID, Översikt.

  5. Logga in på testanvändarens Mitt konto med sina Microsoft Entra-autentiseringsuppgifter. Välj Hämta mitt verifierade ID för att utfärda en verifierad autentiseringsuppgift på arbetsplatsen.

    Skärmbild av Mitt konto, Översikt med en röd ellips som markerar kontrollen Hämta mitt verifierade ID.

Lägga till betrodd extern organisation (B2B)

Följ de här nödvändiga stegen för att lägga till en betrodd extern organisation (B2B) för scenariot.

  1. Logga in på administrationscentret för Microsoft Entra som minst säkerhetsadministratör.

  2. Bläddra till Inställningar för identitetsåtkomst>för externa identiteter>mellan klientorganisationer. Välj Organisationsinställningar.

  3. Välj Lägg till organisation.

  4. Ange organisationens fullständiga domännamn (eller klient-ID).

  5. Välj organisationen i sökresultaten. Markera Lägga till.

  6. Bekräfta den nya organisationen (som ärver dess åtkomstinställningar från standardinställningarna) i Organisationsinställningar.

    Skärmbild av Organisationsinställningar med röda rutor som markerar Ärvd från standard i kolumnerna Inkommande åtkomst och Utgående åtkomst.

Skapa katalog

Följ de här stegen för att skapa en rättighetshanteringskatalog för scenariot.

  1. Logga in på administrationscentret för Microsoft Entra som minst identitetsstyrningsadministratör.

  2. Bläddra till Kataloger för berättigandehantering av>identitetsstyrning.>

  3. Välj +Ny katalog.

    Skärmbild av Ny åtkomstgranskning, Företagsprogram, Alla program, Identitetsstyrning, Ny katalog.

  4. Ange ett unikt namn och en beskrivning för katalogen . Beställare ser den här informationen i information om ett åtkomstpaket.

  5. Om du bara vill skapa åtkomstpaket i den här katalogen för interna användare väljer du Aktiverad för externa användare>Nej.

    Skärmbild av Ny katalog med Nej valt för kontrollen Aktiverad för externa användare.

  6. Öppna katalogen som du vill lägga till resurser till i Katalogen. Välj Resurser>+Lägg till resurser.

  7. Välj Typ och sedan Grupper och Teams, Program eller SharePoint-webbplatser.

  8. Välj en eller flera resurser av den typ som du vill lägga till i katalogen. Markera Lägga till.

Skapa åtkomstpaket

Om du vill distribuera och testa lösningen konfigurerar du de åtkomstpaket som vi beskriver i det här avsnittet.

Åtkomstpaket för fjärranvändare (internt)

Följ de här stegen för att skapa ett åtkomstpaket i berättigandehantering med verifierat ID för fjärranslutna (interna) användare.

  1. Logga in på administrationscentret för Microsoft Entra som minst identitetsstyrningsadministratör.

  2. Bläddra till Åtkomstpaket för rättighetshantering>för identitetsstyrning.>

  3. Välj Nytt åtkomstpaket.

  4. För Grundläggande ger du åtkomstpaketet ett namn (till exempel Finance Apps för fjärranvändare). Ange katalogen som du skapade tidigare.

  5. För Resursroller väljer du en resurstyp (till exempel: Grupper och Teams, Program, SharePoint-webbplatser). Välj en eller flera resurser.

  6. I Roll väljer du den roll som du vill att användare ska tilldelas till för varje resurs.

    Skärmbild av Resursroller med en röd ruta som markerar kolumnen Roll.

  7. För Begäranden väljer du För användare i din katalog.

  8. I Välj användare och grupper väljer du För användare i din katalog. Välj + Lägg till användare och grupper. Välj en befintlig grupp som har rätt att begära åtkomstpaketet.

  9. Bläddra till Obligatoriska verifierade ID:er.

  10. Välj + Lägg till utfärdare. Välj en utfärdare från Microsoft Entra – verifierat ID nätverket. Se till att du väljer en utfärdare från en befintlig verifierad identitet i gästplånboken.

  11. Valfritt: I Godkännande anger du om användarna behöver godkännande när de begär åtkomstpaketet.

  12. Valfritt: Välj Frågor i Begärandeinformation. Ange en fråga (kallas visningssträngen) som du vill ställa till beställaren. Om du vill lägga till lokaliseringsalternativ väljer du Lägg till lokalisering.

  13. För Livscykel anger du när en användares tilldelning till åtkomstpaketet upphör att gälla. Ange om användare kan utöka sina tilldelningar. För Förfallodatum anger du Förfallodatum för Access-pakettilldelningar till På datum, Antal dagar, Antal timmar eller Aldrig.

  14. I Åtkomstgranskningar väljer du Ja.

  15. I Start på väljer du aktuellt datum. Ange Granskningsfrekvens till Kvartalsvis. Ange Varaktighet (i dagar) till 21.

Åtkomstpaket för gäster (B2B)

Följ de här stegen för att skapa ett åtkomstpaket i berättigandehantering med verifierat ID för gäster (B2B).

  1. Logga in på administrationscentret för Microsoft Entra som minst identitetsstyrningsadministratör.

  2. Bläddra till Åtkomstpaket för rättighetshantering>för identitetsstyrning.>

  3. Välj Nytt åtkomstpaket.

  4. För Grundläggande ger du åtkomstpaketet ett namn (till exempel Finance Apps för fjärranvändare). Ange katalogen som du skapade tidigare.

  5. För Resursroller väljer du en resurstyp (till exempel: Grupper och Teams, Program, SharePoint-webbplatser). Välj en eller flera resurser.

  6. I Roll väljer du den roll som du vill att användare ska tilldelas till för varje resurs.

    Skärmbild av Resursroller med en röd ruta som markerar kolumnen Roll.

  7. För Begäranden väljer du För användare som inte finns i din katalog.

  8. Välj Specifika anslutna organisationer. Om du vill välja från en lista över anslutna organisationer som du tidigare har lagt till väljer du Lägg till katalog.

  9. Ange namnet eller domännamnet för att söka efter en tidigare ansluten organisation.

  10. Bläddra till Obligatoriska verifierade ID:er.

  11. Välj + Lägg till utfärdare. Välj en utfärdare från Microsoft Entra – verifierat ID nätverket. Se till att du väljer en utfärdare från en befintlig verifierad identitet i gästplånboken.

  12. Valfritt: I Godkännande anger du om användarna behöver godkännande när de begär åtkomstpaketet.

  13. Valfritt: Välj Frågor i Begärandeinformation. Ange en fråga (kallas visningssträngen) som du vill ställa till beställaren. Om du vill lägga till lokaliseringsalternativ väljer du Lägg till lokalisering.

  14. För Livscykel anger du när en användares tilldelning till åtkomstpaketet upphör att gälla. Ange om användare kan utöka sina tilldelningar. För Förfallodatum anger du Förfallodatum för Access-pakettilldelningar till På datum, Antal dagar, Antal timmar eller Aldrig.

  15. I Åtkomstgranskningar väljer du Ja.

  16. I Start på väljer du aktuellt datum. Ange Granskningsfrekvens till Kvartalsvis. Ange Varaktighet (i dagar) till 21.

  17. Välj Specifika granskare. Välj Självgranskning.

    Skärmbild av Nytt åtkomstpaket.

Skapa en inloggningsriskbaserad princip för villkorsstyrd åtkomst

  1. Logga in på administrationscentret för Microsoft Entra som minst administratör för villkorsstyrd åtkomst.

  2. Bläddra till Skyddsprinciper> för villkorsstyrd åtkomst.>

  3. Välj Ny princip.

  4. Ange ett principnamn, till exempel Skydda program för användare med fjärrinloggning med hög risk.

  5. För Tilldelningar väljer du Användare.

    1. För Inkludera väljer du en fjärranvändargrupp eller väljer alla användare.
    2. För Exkludera väljer du Användare och grupper. Välj organisationens nödåtkomst eller break-glass-konton.
    3. Välj Klar.

  6. För Molnappar eller åtgärder>Inkludera väljer du de program som ska riktas mot den här principen.

  7. För Villkor>Inloggningsrisk anger du Konfigurera till Ja. För Välj den risknivå för inloggning som den här principen gäller för väljer du Hög och Medel.

    1. Välj Klar.

  8. För Åtkomstkontroller>Bevilja.

    1. Välj Bevilja åtkomst>Kräv multifaktorautentisering.

  9. För Session väljer du Inloggningsfrekvens. Välj Varje gång.

  10. Bekräfta inställningarna. Välj Aktivera princip.

    Skärmbild av principer för villkorsstyrd åtkomst, Ny, Inloggningsrisk. En röd ruta betonar användarrisk och inloggningsrisk.

Begär åtkomstpaket

När du har konfigurerat ett åtkomstpaket med ett krav på verifierat ID kan slutanvändare som omfattas av principen begära åtkomst i portalen Min åtkomst . Godkännare granskar begäranden om godkännande, men de kan se anspråken för de verifierade autentiseringsuppgifter som begärandena presenterar.

  1. Logga in myaccess.microsoft.compå som fjärranvändare eller gäst.

  2. Sök efter det åtkomstpaket som du skapade tidigare (till exempel Finance Apps for Remote Users). Du kan bläddra bland de listade paketen eller använda sökfältet. Välj Begär.

  3. Systemet visar en informationsbanderoll med ett meddelande som: Om du vill begära åtkomst till det här åtkomstpaketet måste du presentera dina verifierbara autentiseringsuppgifter. Välj Begär åtkomst. Om du vill starta Microsoft Authenticator genomsöker du QR Code med din telefon. Dela dina autentiseringsuppgifter.

    Skärmbild av My Access, Available, Access packages, Present Verified ID, QR Code.

  4. När du har delat dina autentiseringsuppgifter fortsätter du med arbetsflödet för godkännande.

  5. Valfritt: Följ anvisningarna för att simulera riskidentifieringar i Microsoft Entra ID Protection . Du kan behöva prova flera gånger för att öka användarrisken till medelhög eller hög.

  6. Försök att komma åt programmet som du skapade tidigare för scenariot för att bekräfta blockerad åtkomst. Du kan behöva vänta upp till en timme för blockering.

  7. Använd inloggningsloggar för att verifiera blockerad åtkomst av principen för villkorsstyrd åtkomst som du skapade tidigare. Öppna loggar för icke-interaktiv inloggning från ZTNA-nätverksåtkomstklienten – Privat program. Visa loggar från namnet på det privata åtkomstprogrammet som du skapade tidigare som resursnamn.

Relaterat innehåll