Beskriva Styrning av Microsoft Entra-ID

Slutförd

Med Microsoft Entra ID Governance kan du balansera organisationens behov av säkerhet och medarbetarnas produktivitet med rätt processer och synlighet. När medarbetarnas roller ändras inom en organisation kan du använda Microsoft Entra ID-styrning för att automatiskt se till att rätt personer har rätt åtkomst till rätt resurser, med automatisering av identitets- och åtkomstprocesser, delegering till företagsgrupper och ökad synlighet.

ID-styrning ger organisationer möjlighet att utföra följande uppgifter:

• Styr identitetens livscykel.
• Styra åtkomstlivscykeln.
• Skydda privilegierad åtkomst för administration.

De här åtgärderna kan utföras för anställda, affärspartners och leverantörer samt för tjänster och program, både lokalt och i molnet.

Det är avsett att hjälpa organisationer att ta itu med dessa fyra viktiga frågor:

• Vilka användare ska ha åtkomst till vilka resurser?
• Vad gör dessa användare med den åtkomsten?
• Finns det effektiva organisationskontroller för att hantera åtkomst?
• Kan granskarna kontrollera att kontrollerna fungerar?

Identitetslivscykel

Att hantera användarnas identitetslivscykel är kärnan i identitetsstyrningen.

När du planerar identitetslivscykelhantering för anställda, till exempel, modellerar många organisationer processen "join, move och leave". När en individ först ansluter till en organisation skapas en ny digital identitet om en inte redan är tillgänglig. När en individ flyttas mellan organisationens gränser kan fler åtkomstauktoriseringar behöva läggas till eller tas bort i den digitala identiteten. När en individ lämnar kan åtkomsten behöva tas bort och identiteten kanske inte längre krävs, förutom i granskningssyfte.

Följande diagram visar en förenklad version av identitetens livscykel.

För många organisationer är den här identitetslivscykeln för anställda kopplad till representationen av användaren i ett PERSONAL-system (HR), till exempel Workday eller SuccessFactors. HR-systemet är auktoritativt för att tillhandahålla den aktuella listan över anställda och några av deras egenskaper, till exempel namn eller avdelning. Organisationer måste automatisera processen med att skapa en identitet för en ny medarbetare som baseras på en signal från hr-systemet så att medarbetaren kan vara produktiv dag 1.

I Microsoft Entra ID Governance kan du automatisera identitetslivscykeln för användare med hjälp av:

• Inkommande etablering från organisationens HR-källor för att automatiskt underhålla användaridentiteter i både Microsoft Entra-ID och Active Directory.
• Livscykelarbetsflöden för att automatisera arbetsflödesuppgifter som körs vid vissa viktiga händelser, till exempel innan en ny anställd schemaläggs att börja arbeta i organisationen, eftersom de ändrar status under sin tid i organisationen och när de lämnar organisationen.
• Principer för automatisk tilldelning i berättigandehantering för att lägga till och ta bort en användares gruppmedlemskap, programroller och SharePoint-webbplatsroller, baserat på ändringar i användarens attribut. Information om berättigandehantering omfattas av en efterföljande enhet.
• Användaretablering för att skapa, uppdatera och ta bort användarkonton i andra program, med anslutningsappar till hundratals molnbaserade och lokala program.

I allmänhet handlar hanteringen av livscykeln för en identitet om att uppdatera den åtkomst som användarna behöver, antingen genom integrering med ett HR-system eller via program för användaretablering.

Åtkomstlivscykel

Åtkomstlivscykeln är processen för att hantera åtkomst under hela användarens organisationsliv. Användare behöver olika åtkomstnivåer från den punkt där de ansluter till en organisation till när de lämnar den. I olika faser däremellan behöver de åtkomsträttigheter till olika resurser beroende på deras roll och ansvarsområden.

Organisationer behöver en process för att hantera åtkomst utöver vad som ursprungligen etablerades för en användare när användarens identitet skapades. Dessutom måste företagsorganisationer kunna skala effektivt för att kunna utveckla och framtvinga åtkomstprinciper och kontroller kontinuerligt.

Med Microsoft Entra ID-styrning kan IT-avdelningar fastställa vilka åtkomsträttigheter användare ska ha över olika resurser och vilka verkställighetskontroller som krävs.

Organisationer kan automatisera livscykelprocessen för åtkomst via tekniker som dynamiska grupper. Med dynamiska grupper kan administratörer skapa attributbaserade regler för att fastställa medlemskap i grupper. När attribut för en användare eller enhet ändras utvärderar systemet alla dynamiska gruppregler i en katalog för att se om ändringen skulle utlösa att användare läggs till eller tas bort från en grupp. Om en användare eller enhet uppfyller en regel för en grupp läggs de till som medlem i den gruppen. Om de inte längre uppfyller regeln tas de bort.

Berättigandehantering gör det möjligt för organisationer att definiera hur användare begär åtkomst mellan paket med grupp- och teammedlemskap, approller och SharePoint Online-roller och framtvinga ansvarskontroller för åtkomstbegäranden.

Organisationer kan regelbundet granska åtkomsträttigheter med hjälp av återkommande Microsoft Entra-åtkomstgranskningar för omcertifiering av åtkomst.

Livscykel för privilegierad åtkomst

Övervakning av privilegierad åtkomst är en viktig del av identitetsstyrningen. När anställda, leverantörer och entreprenörer tilldelas administrativa rättigheter bör det finnas en styrningsprocess på grund av risken för missbruk.

Microsoft Entra Privileged Identity Management (PIM) tillhandahåller extra kontroller som är skräddarsydda för att skydda åtkomsträttigheter. PIM hjälper dig att minimera antalet personer som har åtkomst till resurser i Microsoft Entra-ID, Azure och andra Microsoft-onlinetjänster. PIM tillhandahåller en omfattande uppsättning styrningskontroller för att skydda företagets resurser.