Microsoft Entra 部署计划
Azure Active Directory 现为 Microsoft Entra ID,可以使用云标识和访问管理来保护组织。 该解决方案将员工、客户和合作伙伴连接到其应用、设备和数据。
使用本文的指南来帮助构建计划,以部署 Microsoft Entra ID。 了解计划构建基础知识,然后使用以下部分进行身份验证部署、应用和设备、混合方案、用户标识等。
利益干系人和角色
在开始规划部署时,请将重要利益干系人包括在内。 确定并记录利益干系人、受影响的角色所有权和责任领域,以便进行有效部署。 职称和角色因组织而异,但所有权领域相似。 有关影响任何部署计划的常见和有影响力的角色,请参阅下表。
角色 | 责任方 |
---|---|
发起人 | 有权审批或分配预算与资源的企业高级领导。 发起人是经理与执行团队之间的联系人。 |
最终用户 | 为其实现服务的人员。 用户可以参与试点计划。 |
IT 支持经理 | 提供有关建议的更改可支持性的输入 |
标识架构师 | 定义更改如何与标识管理基础结构保持一致 |
应用程序企业所有者 | 拥有受影响的应用程序,可能包括访问管理。 提供有关用户体验的输入。 |
安全所有者 | 确认更改计划是否满足安全要求 |
合规性管理器 | 确保符合企业、行业或政府要求 |
RACI
负责、问责、咨询和知情 (responsible/accountable/consulted/informed (RACI)) 是各种角色参与完成项目或业务流程的任务或可交付结果的模型。 使用此模型来帮助确保组织中的角色了解部署责任。
- 负责 - 负责人员负责正确完成任务。
- 至少有一个“负责任的”角色,尽管你可以委托其他人来帮助完成工作。
- 问责 - 最终可以回答可交付结果或任务的正确性和完成情况的人。 问责角色可确保满足任务先决条件,并将工作委托给负责任的角色。 问责角色会批准负责角色提供的工作。 为每个任务或可交付结果会分配一个问责人。
- 咨询 - 咨询角色提供指导,通常是行业专家 (SME)。
- 之情 - 人们一般在完成任务或可交付结果后会保持最新进度。
身份验证部署
使用以下列表来规划身份验证部署。
Microsoft Entra 多重身份验证 (MFA) - 多重身份验证可使用管理员批准的身份验证方法帮助保护对数据和应用程序的访问,同时满足对简单登录的需求:
- 请观看视频如何在租户中配置和强制实施多重身份验证
- 请参阅规划多重身份验证部署
条件访问 - 根据条件为访问云应用的用户实施自动访问控制决策:
Microsoft Entra 自助密码重置 (SSPR) - 帮助用户重置密码,而无需管理员干预:
无密码身份验证 - 使用 Microsoft Authenticator 应用或 FIDO2 安全密钥实施无密码身份验证:
应用程序和设备
使用以下列表来帮助部署应用程序和设备。
- 单一登录 (SSO) - 让用户使用一个登录来访问应用和资源,而无需重新输入凭据:
- 我的应用门户 - 发现和访问应用程序。 通过自助服务(例如请求访问组,或代表他人管理对资源的访问)提高用户工作效率。
- 请参阅“我的应用”门户概述
- 设备 - 使用 Microsoft Entra ID 评估设备集成方法,选择实施计划等。
混合场景
以下列表描述了在混合方案中的功能和服务。
- Active Directory 联合身份验证服务 (AD FS) - 使用直通身份验证或密码哈希同步将用户身份验证从联合身份验证迁移到云:
- Microsoft Entra 应用程序代理 - 使员工能够在设备中高效工作。 了解云中的软件即服务 (SaaS) 应用和本地企业应用。 使用 Microsoft Entra 应用程序代理可以在没有虚拟专用网络 (VPN) 或外围网络 (DMZ) 的情况下实现访问:
- 无缝单一登录(无缝 SSO)- 在连接到企业网络的企业设备上使用无缝 SSO 实现用户登录。 用户无需密码即可登录到 Microsoft Entra ID,通常也无需输入用户名。 授权用户无需额外的本地组件即可访问基于云的应用:
用户
- 用户标识 - 了解用于在云应用(例如 Dropbox、Salesforce、ServiceNow 等)中创建、维护和删除用户标识的自动化功能。
- Microsoft Entra ID 治理 - 创建标识治理并增强依赖于标识数据的业务流程。 在 HR 产品(例如 Workday 或 Successfactors)中使用规则管理员工和临时工作人员的标识生命周期。 这些规则将入职-转岗-离职 (JLM) 流程(例如新员工招聘、解雇、调职)映射到 IT 操作,例如创建、启用、禁用。 有关详细信息,请参阅以下部分。
- Microsoft Entra B2B 协作 - 可通过安全访问应用程序来改进外部用户协作:
标识治理和报告
Microsoft Entra ID 治理 使组织能够提高工作效率,增强安全性,并且更轻松地满足合规性和法规要求。 使用 Microsoft Entra ID 治理来确保适当的人员有权访问正确的资源。 改进标识和访问过程自动化、委派到业务组,并提高可见性。 使用以下列表来了解标识治理和报告。
了解详细信息:
Privileged Identity Management (PIM) - 跨 Microsoft Entra ID、Azure 资源和其他 Microsoft 联机服务管理特权管理角色。 使用 PIM 进行实时访问 (JIT)、请求审批工作流和集成的访问评审,以帮助防范恶意活动:
报告和监视 - Microsoft Entra 报告和监视解决方案设计具有依赖项和约束:法律、安全、运营、环境和流程。
访问评审 - 了解和管理资源访问:
关于试点的最佳做法
在对大型组或每个人做出更改之前,使用试点计划对小型组进行测试。 确保组织中的每个用例都经过测试。
试点:阶段 1
在最初阶段,以 IT、可用性和其他可以测试和提供反馈的用户为目标试点。 使用这些反馈为支持人员提供有关潜在问题的见解,并制定要发送给所有用户的沟通措施和说明。
试点:阶段 2
使用动态成员身份或手动将用户添加到目标组,将试点范围扩大到更大的用户组。