什么是 Microsoft Entra ID 治理?
Microsoft Entra ID 治理是一种标识治理解决方案,能够让组织提高工作效率、增强安全性并更轻松地遵守合规性和法规要求。 可以使用 Microsoft Entra ID 治理自动确保合适的人员对正确的资源具有正确的访问权限,实现标识和访问过程自动化、委派到业务组并提高可见性。 借助 Microsoft Entra ID 治理中包含的功能以及相关 Microsoft Entra、Microsoft Security 和 Microsoft Azure 产品中的功能,可以保护、监视和审核对关键资产的访问来缓解标识和访问风险。
具体而言,Microsoft Entra ID 治理可帮助组织解决以下四个关键问题,以便在本地和云中跨服务和应用程序进行访问:
- 哪些用户应该有权访问哪些资源?
- 这些用户使用该访问权限做些什么?
- 是否存在适当的组织控制措施可用于管理访问权限?
- 审核员能否验证控制措施是否有效实施?
借助 Microsoft Entra ID 治理,可以为员工、业务合作伙伴和供应商实现以下方案:
- 监管标识生命周期
- 监管访问生命周期
- 保护特权访问以进行管理
标识生命周期
Identity Governance 可帮助组织在以下需求之间实现平衡:工作效率 - 用户可以多快地访问所需的资源(例如在刚入职时)? 安全性 - 用户的访问权限会不断发生怎样的变化(例如,由于该用户的雇佣状态发生变化)? 标识生命周期管理是 Identity Governance 的基石,大规模的有效监管需要将应用程序的标识生命周期管理基础结构现代化。
对于许多组织而言,员工和其他工作人员的标识生命周期与该人员在 HCM(人力资本管理)或 HR 系统中的表示形式密切相关。 组织需要根据来自该系统的信号自动为新员工创建身份,以便该员工在第 1 天就能够高效工作。 员工离开组织时,组织需要确保删除这些标识和访问权限。
在 Microsoft Entra ID Governance 中,可以使用以下命令自动化这些个人的标识生命周期:
- 来自组织 HR 源的入站设置(包括从 Workday 和 SuccessFactors 中进行检索),可自动维护 Active Directory 和 Microsoft Entra ID 中的用户标识。
- 生命周期工作流,可自动执行某些关键事件中运行的工作流任务,例如,安排新员工在组织中开始工作之前、他们在组织中工作期间更改状态时以及他们离开组织时。 例如,可以配置工作流,向新用户的管理员发送一封带有临时访问密码的电子邮件,或者在第一天向该用户发送欢迎电子邮件。
- 权利管理中的自动分配策略,可根据对用户属性的更改情况,添加和删除用户的组成员身份、应用程序角色和 SharePoint 站点角色。
- 用户预配 以在其他应用程序中创建、更新和移除用户帐户,并通过 SCIM、LDAP 和 SQL 将连接器连接到数百个云和本地应用程序。
组织还需要为合作伙伴、供应商和其他来宾提供额外标识,以便他们能够协作或有权访问资源。
在 Microsoft Entra ID 治理中,可以使用以下项让业务组确定哪些来宾应具有访问权限以及其访问时长:
- 权利管理,可在其中指定允许其用户请求访问组织资源的其他组织。 当其中一个用户的请求获得批准时,权利管理会自动将其作为 B2B 来宾添加到组织的目录,并分配适当的访问权限。 B2B 来宾用户的访问权限过期或被撤销时,权利管理会自动从组织的目录中删除该用户。
- 访问评审,可对组织中已存在的现有来宾进行定期评审,并在这些用户不再需要访问权限时将其从组织的目录中删除。
有关详细信息,请参阅治理员工和来宾生命周期。
访问生命周期
组织需要使用一个流程来管理最初在创建用户标识时未为用户预配的访问权限。 此外,企业组织需要能够有效缩放,以便持续制定和实施访问策略与控制措施。
借助 Microsoft Entra ID 治理,IT 部门可以确定用户对各种资源的访问权限,以及需要执行哪些强制检查(例如职责分离或工作变动时的访问权限删除)。 Microsoft Entra ID 具有可连接数百个云和本地应用程序的连接器,可以集成组织的其他应用,这些应用依赖于 AD 组、其他本地目录或数据库,具有 SOAP 或 REST API(包括 SAP)或可实现 SCIM、SAML 或 OpenID Connect 等标准。 当用户尝试访问其中某个应用程序时,Microsoft Entra ID 会强制实施条件访问策略。 例如,条件访问策略可以显示使用条款,并确保用户在访问应用程序之前同意这些条款。 有关更多信息,请参阅管理对环境中应用程序的访问,包括如何定义管理对应用程序访问权限的组织策略、集成应用程序和部署策略。
可以根据属性更改自动执行跨应用和组的访问更改。 Microsoft Entra 生命周期工作流和 Microsoft Entra 权利管理会自动将用户添加到组或访问包中并自动将其删除,以便更新对应用程序和资源的访问。 当用户在组织内的条件更改为不同的组时,还可以移动用户,甚至可以完全从所有组或访问包中删除用户。
以前使用本地标识治理产品的组织可以将其组织角色模型迁移到Microsoft Entra ID 治理。
此外,IT 部门可以将访问管理决策委托给业务决策者。 例如,想要在欧洲公司营销应用程序中访问机密客户数据的员工可能需要其经理、部门主管或资源所有者以及安全风险官员的批准。 使用权利管理可以定义用户如何跨组和团队成员身份的包、应用角色以及 SharePoint Online 角色请求访问权限,并对访问请求强制执行职责分离检查。
组织还可以控制哪些来宾用户具有访问权限,包括对本地应用程序的访问权限。 然后,可以使用 Microsoft Entra 访问评审定期评审这些访问权限,以进行访问权限重新认证。
特权访问权限生命周期
监管特权访问权限是新式 Identity Governance 的关键部分,特别是考虑到与管理员权限相关的滥用可能对组织造成的影响。 拥有管理权限的员工、供应商与承包商需要就其帐户和特权访问权限接受监管。
Microsoft Entra Privileged Identity Management (PIM) 提供用于保护 Microsoft Entra、Azure、其他 Microsoft Online Services 和其他应用程序中的资源访问权限的其他定制控制措施。 Microsoft Entra PIM 提供的实时访问和角色更改警报功能,以及多重身份验证和条件访问,共同提供了一套综合性的治理控制措施,可帮助保护组织的资源(目录角色、Microsoft 365 角色、Azure 资源角色和组成员身份)。 与处理其他形式的访问权限一样,组织可以使用访问评审来针对充当特权管理员角色的所有用户配置定期的访问权限重新认证。
许可要求
使用此功能需要 Microsoft Entra ID 治理或 Microsoft Entra 套件许可证。 如需查找符合要求的许可证,请参阅《Microsoft Entra ID 治理许可基础知识》。
使用入门
请先查看先决条件,然后再配置 Microsoft Entra ID 进行标识治理。 然后,访问 Microsoft Entra 管理中心中的“治理仪表板”,以开始使用权利管理、访问评审、生命周期工作流和 Privileged Identity Management。
还有一些用于在权利管理中管理对资源的访问、通过审批流程将外部用户加入 Microsoft Entra ID、治理对现有应用程序的访问以及应用程序的现有用户的教程。
虽然每个组织可能具有自己的独特要求,但以下配置指南还提供了 Microsoft 建议遵循的基线策略,以确保建立更安全且更高效的员工团队。
你可能还希望与 Microsoft 的其中一个服务和集成合作伙伴联系,以规划部署或与环境中的应用程序和其他系统集成。
若对 Identity Governance 功能有任何反馈,请选择 Microsoft Entra 管理中心中的“有反馈?”以提交反馈。 团队会定期查看反馈。
通过自动化简化标识治理任务
开始使用这些标识治理功能后,即可轻松自动执行常见的标识治理方案。 下表显示了如何针对每个方案开始使用自动化:
要自动化的方案 | 自动化指南 |
---|---|
自动为员工创建、更新并删除 AD 和 Microsoft Entra 用户帐户 | 计划云 HR 到 Microsoft Entra 的用户预配 |
根据成员用户特性的更改更新组的成员身份 | 创建动态组 |
分配许可证 | 基于组的许可 |
根据对用户属性的更改情况,添加和删除用户的组成员身份、应用程序角色和 SharePoint 站点角色 | 在权利管理中为访问包配置自动分配策略 |
在特定日期添加和删除用户的组成员身份、应用程序角色和 SharePoint 网站角色 | 在权利管理中配置访问包的生命周期设置 |
在用户请求或接收访问权限或移除访问权限时运行自定义工作流 | 在权利管理中触发逻辑应用 |
定期审查 Microsoft 组和 Teams 中来宾的成员身份,并删除遭拒绝的来宾成员身份 | 创建访问评审 |
删除遭到审查者拒绝的来宾帐户 | 查看并删除不再具有资源访问权限的外部用户 |
删除没有访问包分配的来宾帐户 | 管理外部用户的生命周期 |
将用户预配到具有自己的目录或数据库的本地和云应用程序中 | 使用用户分配或范围筛选器配置自动用户预配 |
其他计划任务 | 通过 Microsoft.Graph.Identity.Governance PowerShell 模块使用 Azure 自动化和 Microsoft Graph 自动执行标识治理任务 |