Microsoft Entra 部署方案简介

Microsoft Entra 部署方案提供了有关如何合并和测试这些 Microsoft Entra 套件产品的详细指导：

• Microsoft Entra ID 保护
• Microsoft Entra ID 治理
• Microsoft Entra 验证 ID（高级版功能）
• Microsoft Entra 互联网访问
• Microsoft Entra 专用访问

在每个指南中，我们将介绍一些方案，展示 Microsoft Entra 套件的价值以及其功能如何协同工作。

跨所有应用的员工和来宾加入、标识和访问生命周期治理

员工和来宾加入、标识和访问生命周期治理方案介绍了以下目标：

• 为远程员工提供对必要应用和资源的安全无缝访问。
• 通过向外部用户提供对相关应用和资源的访问权限，与外部用户协作。

该分步式解决方案侧重于 Microsoft Entra 验证 ID、Microsoft Entra ID 治理、Microsoft Entra ID 保护和条件访问 (CA)：

• Microsoft Entra 验证 ID 可发布和验证远程员工和外部用户的数字标识证明。 数字钱包可存储身份证明以验证对应用和资源的访问。 人脸核验面部识别可使用凭据存储的图片验证标识。
• Microsoft Entra ID 治理使用可验证凭据创建和授予访问包。 用户使用数字身份验证通过自助服务门户请求访问包。 Microsoft Entra 帐户通过单一登录和多重身份验证 (MFA) 来规范对访问包应用和资源的访问。
• Microsoft Entra ID 保护和条件访问 (CA) 可监视和保护帐户免受风险登录和用户行为的影响。 访问控制强制措施取决于位置、设备和风险级别等因素。

使用每个应用 MFA 实现本地应用远程访问的现代化

使用每个应用 MFA 实现本地应用远程访问的现代化方案介绍了以下目标：

• 将现有 VPN 升级到可扩展的基于云的解决方案，该解决方案有助于逐步转向使用安全访问服务边缘 (SASE)。
• 解决业务应用程序访问依赖于公司网络连接的问题。

该分步式解决方案侧重于 Microsoft Entra 专用访问、Microsoft Entra ID 保护、Microsoft Entra ID 治理：

• Microsoft Entra 专用访问提供对私有公司资源的安全访问。 它基于 Microsoft Entra 应用程序代理构建，以扩展对任何专用资源的访问，独立于 TCP/IP 端口和协议。 远程用户无需 VPN 即可从任何设备和网络连接到专用应用。 基于条件访问 (CA) 策略的按应用自适应访问基于标识、终结点和风险信号提供精细的安全性。
• Microsoft Entra ID 保护基于云的身份和访问管理 (IAM) 有助于保护用户身份和凭据免遭泄漏。
• Microsoft Entra ID 治理可强制实施最低特权。 访问包包括每个应用的网络访问权限以及需要它的应用程序，从而在员工的入职/调动/离职生命周期中向员工授予与其工作职能相符的企业网络访问权限。

基于业务需求的安全 Internet 访问权限

基于业务需求的安全 Internet 访问权限方案介绍了以下目标：

• 通过更多 Internet 访问控制增强现有的严格默认 Internet 访问策略。
• 允许用户请求访问我的访问权限中禁止访问的网站。 审批过程会将用户添加到授予访问权限的组。 例如，营销部门访问社交网络网站以及安全部门在调查事件时访问高风险 Internet 目标。

该分步式解决方案侧重于 Microsoft Entra Internet 访问、Microsoft Entra ID 治理、条件访问和全球安全访问：

• 使用限制性基线策略创建安全配置文件和 Web 内容筛选策略，从而为所有用户阻止特定的 Web 类别和 Web 目标。
• 为社交网络网站和高风险 Internet 目标创建安全配置文件和 Web 内容筛选策略。
• 使用 Microsoft Entra ID 治理允许用户请求访问包。
• 使用全球安全访问安全配置文件会话控件创建和链接条件访问策略。