Microsoft Entra 部署方案 - 使用每个应用 MFA 实现本地应用远程访问的现代化

Microsoft Entra 部署方案提供了有关如何合并和测试这些 Microsoft Entra 套件产品的详细指导：

• Microsoft Entra ID 保护
• Microsoft Entra ID 治理
• Microsoft Entra 验证 ID（高级版功能）
• Microsoft Entra 互联网访问
• Microsoft Entra 专用访问

在这些指南中，我们将介绍一些方案，展示 Microsoft Entra 套件的价值以及其功能如何协同工作。

• Microsoft Entra 部署方案简介
• Microsoft Entra 部署方案 - 跨所有应用的员工和来宾加入、标识和访问生命周期治理
• Microsoft Entra 部署方案 - 根据业务需求保护 Internet 访问

方案：通过快速访问实现远程访问的现代化

在本节中，我们将描述如何为一个方案配置 Microsoft Entra 套件产品，在这个方案中，虚构组织 Contoso 正在升级其现有的 VPN 解决方案。 这个新的、可扩展的基于云的解决方案将帮助他们逐步迈向使用安全访问服务边缘 (SASE)。 为了实现这一目标，他们部署了 Microsoft Entra Internet 访问、Microsoft Entra 专用访问和 Microsoft Entra ID 保护。

通过 Microsoft Entra 专用访问，用户（无论是在办公室还是远程工作）都能安全访问专用的公司资源。 Microsoft Entra 专用访问基于 Microsoft Entra 应用程序代理构建，以扩展对任何专用资源的访问，独立于 TCP/IP 端口和协议。

远程用户无需 VPN 解决方案，即可从任何设备和网络跨混合和多云环境、专用网络和数据中心连接到专用应用。 该服务提供基于条件访问 (CA) 策略的按应用自适应访问，实现比传统 VPN 解决方案更精细的安全性。

Microsoft Entra ID 保护基于云的身份和访问管理 (IAM )有助于保护用户身份和凭据免遭泄漏。

可以为 Contoso 解决方案重复使用此方案中所述的这些简要步骤。

1. 注册 Microsoft Entra 套件。 为所需的网络和安全设置启用和配置 Microsoft Entra Internet 访问和专用访问。
2. 在用户设备上部署 Microsoft 全球安全访问客户端，在专用网络上部署 Microsoft Entra 专用访问连接器。 包括基于多云互联网即服务 (IaaS) 的虚拟网络，以访问 Contoso 网络上的应用和资源。
3. 将专用应用设置为全球安全访问应用。 分配适当的用户和组。 为这些应用和用户设置条件访问策略。 通过这种设置，可以通过只允许需要访问的用户和组访问来实现最小访问。
4. 启用 Microsoft Entra ID 保护，以便管理员调查和修正风险，确保组织安全且受到保护。 风险可以馈送给条件访问等工具，供其制定访问决策，也可以馈送回安全信息和事件管理 (SIEM) 工具，以进行调查。
5. 使用来自 Microsoft Entra Internet 访问、Microsoft Entra 专用访问和 Microsoft Entra ID 保护的增强日志和分析来跟踪和评估网络和安全状态。 此配置可帮助你的安全运营中心 (SOC) 团队及时检测和检查威胁，防止威胁升级。

Microsoft Entra 套件解决方案提供了以下优于 VPN 的优势：

• 更轻松的统一管理
• 更低的 VPN 成本
• 更好的安全性和可见性
• 更流畅的用户体验和效率
• 可随时使用 SASE

通过快速访问实现远程访问的要求

本部分定义该方案的解决方案的要求。

通过快速访问实现远程访问的权限

与全球安全访问功能交互的管理员需要具有全球安全访问管理员和应用程序管理员角色。

条件访问 (CA) 策略配置要求具有条件访问管理员或安全管理员角色。 某些功能可能需要更多角色。

通过快速访问实现远程访问的先决条件

若要成功部署和测试此方案，请配置以下先决条件：

1. 具有 Microsoft Entra ID P1 许可证的 Microsoft Entra 租户。 配置 Microsoft Entra ID 以测试 Microsoft Entra ID 保护。 购买许可证或获取试用许可证。
   • 一个至少具有全球安全访问管理员和应用程序管理员角色的用户，用于配置 Microsoft 的安全服务边缘
   • 租户中至少有一个客户端测试用户
2. 一个具有以下配置的 Windows 客户端设备：
   • Windows 10/11 64 位版本
   • 已建立 Microsoft Entra 联接或混合联接
   • 已连接 Internet，没有公司网络接入或 VPN
3. 在客户端设备上下载并安装全球安全访问客户端。 适用于 Windows 的全球安全访问客户端一文介绍了先决条件和安装。
4. 要测试 Microsoft Entra 专用访问，请配置一台 Windows 服务器作为资源服务器：
   • Windows Server 2012 R2 或更高版本
   • 文件共享
5. 要测试 Microsoft Entra 专用访问，请配置一台 Windows 服务器作为连接器服务器：
   • Windows Server 2012 R2 或更高版本
   • 网络连接到 Microsoft Entra 服务
   • 端口 80 和 443 向出站流量开放
   • 允许访问所需的 URL
6. 在连接器服务器和应用程序服务器之间建立连接。 在应用服务器上确认对测试应用程序的访问（例如，成功的文件共享访问）。

下图说明了部署和测试 Microsoft Entra 专用访问的最低体系结构要求：

配置全球安全访问，以通过快速访问实现远程访问

本部分将通过 Microsoft Entra 管理中心激活全球安全访问。 然后设置此方案所需的初始配置。

1. 以全局管理员身份登录到 Microsoft Entra 管理中心。
2. 浏览到“全球安全访问”>“开始”>“在租户中激活全球安全访问”。 选择“激活”以启用 SSE 功能。
3. 浏览到“全球安全访问”>“连接”>“流量转发”。 开启“专用访问配置文件”。 通过流量转发，可以配置要通过 Microsoft 安全服务边缘解决方案服务并通过隧道传输的网络流量类型。 设置流量转发配置文件来管理流量类型。

   • Microsoft 365 访问配置文件用于适用于 Microsoft 365 的 Microsoft Entra Internet 访问。

   • 专用访问配置文件面向 Microsoft Entra 专用访问。

   • Internet 访问配置文件用于 Microsoft Entra Internet 访问。 Microsoft 的安全服务边缘解决方案仅捕获已安装全球安全访问客户端的客户端设备上的流量。

     

安装全球安全访问客户端，以通过快速访问实现远程访问

适用于 Microsoft 365 的 Microsoft Entra Internet 访问和 Microsoft Entra 专用访问在 Windows 设备上使用全球安全访问客户端。 此客户端获取网络流量并将其转发到 Microsoft 的安全服务边缘解决方案。 完成以下安装和配置步骤：

1. 确保 Windows 设备已加入 Microsoft Entra 或已进行混合加入。

2. 用具有本地管理员权限的 Microsoft Entra 用户角色登录到 Windows 设备。

3. 至少以全球安全访问管理员的身份登录到 Microsoft Entra 管理中心

4. 浏览到“全球安全访问”>“连接”>“客户端下载”。 选择“下载客户端”。 完成安装。

   

5. 在“窗口”任务栏中，全球安全访问客户端首先显示为断开连接。 几秒钟后，当系统提示输入凭据时，输入测试用户的凭据。

6. 在“窗口”任务栏中，将鼠标悬停在“全球安全访问客户端”图标上，并验证“连接状态”。

设置连接器服务器，以通过快速访问实现远程访问

连接器服务器作为企业网络的网关与 Microsoft 安全服务边缘解决方案通信。 它通过 80 和 443 使用出站连接，而无需入站端口。 学习如何为 Microsoft Entra 专用访问配置连接器。 请完成这些配置步骤：

1. 在连接器服务器上，至少以全球安全访问管理员的身份登录到 Microsoft Entra 管理中心。

2. 浏览到“全球安全访问”>“连接”>“连接器”。 选择“启用专用网络连接器”。

   

3. 选择“下载连接器服务” 。

4. 按照安装向导的说明，在连接器服务器上安装连接器服务。 出现提示时，输入租户凭据以完成安装。

5. 连接器服务器在“连接器”中出现时，表明已完成安装。

在此方案中，我们将默认连接器组与一个连接器服务器配合使用。 在生产环境中，创建具有多个连接器服务器的连接器组。 请参见详细指南，了解如何使用连接器组在不同网络上发布应用。

创建安全组，以通过快速访问实现远程访问

在此方案中，我们使用安全组为专用访问应用程序分配权限，并以条件访问策略为目标。

1. 在 Microsoft Entra 管理中心，创建新的仅限云的安全组。
2. 添加测试用户作为成员。

确定专用资源，以通过快速访问实现远程访问

在此方案中，我们使用文件共享服务作为示例资源。 可以使用任何专用应用程序或资源。 你需要知道应用程序使用哪些端口和协议来通过 Microsoft Entra 专用访问发布它。

确定要发布文件共享的服务器，并记录其 IP 地址。 文件共享服务使用端口 445/TCP。

发布应用程序，以通过快速访问实现远程访问

Microsoft Entra 专用访问支持使用任何端口的传输控制协议 (TCP) 应用程序。 要通过 Internet 连接到文件服务器（TCP 端口 445），请完成以下步骤：

1. 在连接器服务器上，验证是否可以访问文件服务器上的文件共享。

2. 至少以全球安全访问管理员的身份登录到 Microsoft Entra 管理中心

3. 浏览到“全球安全访问”>“应用程序”>“企业应用程序”>“+ 新建应用程序”。

   

4. 输入“名称”（例如 FileServer1）。 选择默认的连接器组。 选择“+添加应用程序段”。 输入应用程序服务器的“IP 地址”和端口 441。

   

5. 选择“应用”>“保存”。 验证应用程序是否显示在“企业应用程序”中。

6. 转到“标识”>“应用程序”>“企业应用程序”。 选择新应用程序。

7. 选择“用户和组”。 添加前面创建的安全组，以供测试用户从 Internet 访问此文件共享。

确保发布应用程序的安全，以通过快速访问实现远程访问

在本节中，我们将创建一个条件访问 (CA) 策略，当用户风险升高时，该策略将阻止对新应用程序的访问。

1. 最低以条件访问管理员身份登录到 Microsoft Entra 管理中心。
2. 浏览到“保护”“条件访问”>“策略”。>
3. 选择“新策略” 。
4. 输入名称，然后选择用户。 选择用户和组。 选择前面创建的安全组。
5. 选择“目标资源”>“应用”以及前面创建的应用程序（如 FileServer1）。
6. 选择“条件”>“用户风险”>“配置”>“是”。 选择“高”和“中等”风险级别。 选择“完成” 。
7. 选择“授权”>“阻止访问”>“选择”。
8. 开启“启用策略”。
9. 复查你的设置。
10. 选择创建。

验证通过快速访问进行远程访问的权限

在本节中，我们验证用户可以在没有风险的情况下访问文件服务器。 确认在检测到风险时阻止访问。

1. 登录到先前安装了全球安全访问客户端的设备。

2. 尝试通过运行 \\\IP_address 来访问文件服务器，并验证是否可以浏览文件共享。

   

3. 如果需要，请按照模拟 Microsoft Entra ID 保护中的风险检测中的说明来模拟用户风险。 你可能需要尝试多次才能将用户风险提高到中等或高水平。

4. 尝试访问文件服务器，以确认访问已被阻止。 你可能需要等待一小时来执行阻止操作。

5. 验证条件访问策略（之前使用登录日志创建的策略）是否阻止访问。 从“ZTNA 网络访问客户端 - 专用”应用程序打开非交互式登录日志。 从先前创建为“资源名”的专用访问应用程序名称查看日志。

方案：按应用实现远程访问的现代化

在本节中，我们将描述如何为一个方案配置 Microsoft Entra 套件产品，在这个方案中，虚构组织 Contoso 正在转变其网络安全做法。 他们采用零信任原则，显式验证，使用最小特权，并假定所有应用程序和资源都存在安全漏洞。 在他们的发现过程中，他们发现了多个业务应用程序没有使用新式验证，而且依赖于与公司网络的连接（无论是从分支机构还是使用 VPN 进行远程连接）。

可以为 Contoso 解决方案重复使用此方案中所述的这些简要步骤。

1. 要进行显式验证，请配置 Microsoft Entra ID 专用访问以在每个应用程序的基础上访问公司网络。 使用条件访问和 Microsoft Entra ID 保护提供的统一访问控制集，根据企业与 Microsoft 365 和其他云应用程序一起使用的身份、终结点和风险信号授予对企业网络的访问权限。
2. 要执行最小特权，请使用 Microsoft Entra ID 治理创建访问包，以包括每个应用的网络访问以及需要它的应用程序。 这种方法使员工在入职/调动/离职的整个生命周期中能够根据其工作职能获得相应的企业网络访问权。

作为这一转变的一部分，SecOps 团队实现了更丰富、更有凝聚力的安全分析，从而更好地识别安全威胁。 以下是结合使用这些解决方案的好处：

• 增强的安全性与可见性。 根据用户和设备的标识和上下文以及应用程序和数据敏感度及位置，强制实施精细自适应访问策略。 使用扩充的日志和分析获取对网络安全状况的见解，以便检测和更快地响应威胁。
• 对本地应用程序的最小特权访问。 减少对公司网络的访问，只访问应用程序需要的部分。 在入职/调动/离职周期中，分配和管理与工作职能演变相一致的访问权限。 此方法可减少横向移动攻击向量风险。
• 提高生产力。 在用户加入组织时，确保他们能够无缝地访问的应用程序和网络，以便在第一天就能迅速投入工作。 用户拥有正确访问所需信息、组成员身份及应用程序的权限。 组织内部调动员工的自助服务功能，可确保在用户离职时能够撤销其访问权限。

按应用进行远程访问的要求

本部分定义该方案的解决方案的要求。

按应用进行远程访问的权限

与全球安全访问功能交互的管理员需要具有全球安全访问管理员和应用程序管理员角色。

标识治理配置至少需要标识治理管理员角色。

按应用进行远程访问的许可证

若要实施此方案中的所有步骤，需要全球安全访问和 Microsoft Entra ID Governance 许可证。 如果需要，可以购买许可证或获取试用版许可证。 若要详细了解全球安全访问许可，请参阅什么是全球安全访问？的许可部分。

按应用进行远程访问的用户

要配置和测试此方案中的步骤，你需要以下用户：

• 具有权限中定义的角色的 Microsoft Entra 管理员
• 配置云同步并访问示例资源（文件服务器）的本地 Active Directory 管理员
• 在客户端设备上执行测试的同步常规用户

专用访问先决条件

若要成功部署和测试此方案，请配置以下先决条件。

1. 一个具有以下配置的 Windows 客户端设备：
   • Windows 10/11 64 位版本
   • 已建立 Microsoft Entra 联接或混合联接
   • 已连接 Internet，没有公司网络接入或 VPN
2. 在客户端设备上下载并安装全球安全访问客户端。 适用于 Windows 的全球安全访问客户端一文介绍了先决条件和安装。
3. 要测试 Microsoft Entra 专用访问，请配置一台 Windows 服务器作为资源服务器：
   • Windows Server 2012 R2 或更高版本
   • 文件共享
4. 要测试 Microsoft Entra 专用访问，请配置一台 Windows 服务器作为连接器服务器：
   • Windows Server 2012 R2 或更高版本
   • 网络连接到 Microsoft Entra 服务
   • 端口 80 和 443 向出站流量开放
   • 允许访问所需的 URL
5. 在连接器服务器与应用程序服务器之间建立连接。 确认你可以访问应用服务器上的测试应用程序（例如，成功的文件共享访问）。

下图说明了部署和测试 Microsoft Entra 专用访问的最低体系结构要求：

确定专用资源，以按应用进行远程访问

在此方案中，我们使用文件共享服务作为示例资源。 可以使用任何专用应用程序或资源。 你需要知道应用程序使用哪些端口和协议来通过 Microsoft Entra 专用访问发布它。

确定你希望发布文件共享的服务器，并记录其 IP 地址。 文件共享服务使用端口 445/TCP。

配置全球安全访问，以按应用进行远程访问

通过 Microsoft Entra 管理中心激活全球安全访问，并为此方案进行必要的初始配置。

1. 以全局管理员身份登录到 Microsoft Entra 管理中心。
2. 浏览到“全球安全访问”>“开始”>“在租户中激活全球安全访问”。 选择“激活”以启用租户中的 SSE 功能。
3. 转到“全球安全访问”>“连接”>“流量转发”。 开启“专用访问配置文件”。 通过流量转发，可以配置要通过 Microsoft 安全服务边缘解决方案服务并通过隧道传输的网络流量类型。 设置流量转发配置文件来管理流量类型。

   • Microsoft 365 访问配置文件用于适用于 Microsoft 365 的 Microsoft Entra Internet 访问。

   • 专用访问配置文件面向 Microsoft Entra 专用访问。

   • Internet 访问配置文件用于 Microsoft Entra Internet 访问。 Microsoft 的安全服务边缘解决方案仅捕获已安装全球安全访问客户端的客户端设备上的流量。

     

安装全球安全访问客户端，以按应用进行远程访问

适用于 Microsoft 365 的 Microsoft Entra Internet 访问和 Microsoft Entra 专用访问在 Windows 设备上使用全球安全访问客户端。 此客户端获取网络流量并将其转发到 Microsoft 的安全服务边缘解决方案。 完成以下安装和配置步骤：

1. 确保 Windows 设备已加入 Microsoft Entra ID 或已进行混合加入。

2. 用具有本地管理员权限的 Microsoft Entra ID 用户角色登录到 Windows 设备。

3. 至少以全球安全访问管理员的身份登录到 Microsoft Entra 管理中心

4. 浏览到“全球安全访问”>“连接”>“客户端下载”。 选择“下载客户端”。 完成安装。

   

5. 在“窗口”任务栏中，全球安全访问客户端首先显示为断开连接。 几秒钟后，当系统提示输入凭据时，输入测试用户的凭据。

6. 在“窗口”任务栏中，将鼠标悬停在“全球安全访问客户端”图标上，并验证“连接状态”。

设置连接器服务器，以按应用进行远程访问

连接器服务器作为企业网络的网关与 Microsoft 安全服务边缘解决方案通信。 它通过 80 和 443 使用出站连接，而无需入站端口。 了解如何为 Microsoft Entra 专用访问配置连接器。 请完成这些配置步骤：

1. 在连接器服务器上，至少以全球安全访问管理员的身份登录到 Microsoft Entra 管理中心。

2. 浏览到“全球安全访问”>“连接”>“连接器”。 选择“启用专用网络连接器”。

   

3. 选择“下载连接器服务” 。

4. 按照安装向导的说明，在连接器服务器上安装连接器服务。 出现提示时，输入租户凭据以完成安装。

5. 连接器服务器在“连接器”中出现时，表明已完成安装。

在此方案中，我们将默认连接器组与一个连接器服务器配合使用。 在生产环境中，创建具有多个连接器服务器的连接器组。 请参见详细指南，了解如何使用连接器组在不同网络上发布应用。

创建专用访问应用程序安全组

在此方案中，我们使用安全组为专用访问应用程序分配权限，并以条件访问策略为目标。

1. 在 Microsoft Entra 管理中心，创建新的仅限云的安全组。
2. 添加测试用户作为成员。

发布应用程序，以按应用进行远程访问

Microsoft Entra 专用访问支持使用任何端口的传输控制协议 (TCP) 应用程序。 要通过 Internet 连接到文件服务器（TCP 端口 445），请完成以下步骤：

1. 在连接器服务器上，验证是否可以访问文件服务器上的文件共享。

2. 至少以全球安全访问管理员的身份登录到 Microsoft Entra 管理中心。

3. 浏览到“全球安全访问”>“应用程序”>“企业应用程序”>“+ 新建应用程序”。

   

4. 输入“名称”（例如 FileServer1）。 选择默认的连接器组。 选择“+添加应用程序段”。 输入应用程序服务器的“IP 地址”和端口 441。

   

5. 选择“应用”>“保存”。 验证应用程序是否显示在“企业应用程序”中。

6. 转到“标识”>“应用程序”>“企业应用程序”。 选择新应用程序。

7. 选择“用户和组”。 添加前面创建的安全组，以供测试用户从 Internet 访问此文件共享。

配置访问治理，以按应用进行远程访问

在本节中，我们将描述此解决方案的配置步骤。

创建权利管理目录

按照以下步骤创建权利管理目录：

1. 至少以标识治理管理员身份登录到 Microsoft Entra 管理中心。

2. 浏览到“标识治理”“权利管理”>“目录”。

3. 选择“+新建目录”。

   

4. 输入目录的唯一名称，并提供说明。 请求者将在访问包的详细信息中看到此信息。

5. 若要在此目录中为内部用户创建访问包，请选择“为外部用户启用”>“否”。

   

6. 在“目录”中，打开要将资源添加到的目录。 选择“资源”>“+添加资源”。

   

7. 选择“类型”、“组和团队”、“应用程序”或“SharePoint 站点”。

8. 选择并添加前面创建的应用程序（例如 FileServer1）和安全组（例如财务团队文件共享）。 选择 添加 。

将组预配到 Active Directory

建议使用 Microsoft Entra 云同步将组预配到 Active Directory。如果使用 Connect 同步，请将配置切换到云同步。Microsoft Entra ID 中 Microsoft Entra 云同步先决条件和如何安装 Microsoft Entra 预配代理的文章提供了详细说明。 Microsoft Entra Connect 同步中的组写回 v2 将在 2024 年 6 月 30 日之后不再可用。

按照以下步骤配置 Microsoft Entra 云同步：

1. 至少以混合标识管理员身份登录到 Microsoft Entra 管理中心。

2. 浏览到“标识”“混合管理”>“Microsoft Entra Connet”“Cloud sync”。

3. 选择“新配置”。

4. 选择“Microsoft Entra ID 到 AD 同步”。

   

5. 在“配置”上，选择域。 （可选）选择“启用密码哈希同步”。

6. 选择创建。

   

7. 对于“入门”配置，选择“添加范围筛选器”（“添加范围筛选器”图标旁）或“范围筛选器”（“管理”下）。

8. 在“选择组”选项中选择“选定的安全组”。 选择“编辑对象”。 添加之前创建的 Microsoft Entra ID 安全组（例如财务团队文件共享）。 我们利用这个组，在后续步骤中通过使用生命周期工作流和访问包来管理对本地应用程序的访问权限。

   

分配对本地文件服务器的访问权限

1. 在选定的文件服务器上创建文件共享。
2. 为预配到 Active Directory 的 Microsoft Entra ID 安全组（例如财务团队文件共享）分配读取权限。

创建访问包，以按应用进行远程访问

执行以下步骤，在权利管理中创建访问包：

1. 至少以标识治理管理员身份登录到 Microsoft Entra 管理中心。

2. 浏览到“标识治理”>“权利管理”>“访问包”。

3. 选择“新建访问包”。

4. 对于“基本信息”，为访问包命名（例如“财务应用访问包”）。 指定前面创建的目录。

5. 对于“资源角色”，选择前面添加的资源（例如“FileServer1 应用”和“财务团队文件共享”安全组）。

6. 在“角色”中，为“财务团队文件共享”选择“成员”，为“FileServer1”应用选择“用户”。

   

7. 对于“请求”，选择“用于目录中的用户”。 或者，为“来宾用户”启用访问包（将在单独的方案中讨论）。

8. 如果已选择“特定用户和组”，请选择“添加用户和组”。

9. 不要在“选择用户和组”上选择用户。 我们稍后将测试请求访问的用户。

10. 可选：在“审批”中，指定用户请求此访问包时是否需要审批。

11. 可选：在“请求者信息”中，选择“问题”。 输入要向请求者提问的问题。 此问题称为显示字符串。 要添加本地化选项，请选择“添加本地化”。

12. 对于“生命周期”，请指定用户的访问包分配何时过期。 指定用户是否可以将其分配延期。 对于“过期时间”，将“访问包分配”过期时间设置为“日期”、“天数”、“小时数”或“永不过期”。

13. 选择创建。

    

创建生命周期工作流

在本部分中，我们将介绍如何创建入职者和离职者工作流，并按需运行工作流。

创建入职者工作流

若要创建入职者工作流，请执行下列步骤。

1. 至少以生命周期工作流管理员的身份登录到 Microsoft Entra 管理中心。

2. 浏览到“标识治理”“生命周期工作流”>“创建工作流”。>

3. 对于“选择工作流”，选择“新入职员工”。

   

4. 对于“基础知识”，请输入“新入职员工 -- 财务”工作流显示名称和说明。 选择下一步。

5. 在“配置范围”>“规则”下，输入“Property”、“Operator”和“Value”的值。 将范围的表达式更改为仅用户，其中“Property”>“department”的“Value”为“Finance”。 确保测试用户使用“Finance”字符串填充“Property”，使其位于工作流范围内。

   

6. 在“查看任务”上，选择“添加任务”，以将任务添加到模板。 在此方案中，添加“请求用户访问包分配”。

7. 对于“基本信息”选择“请求用户访问包分配”。 为此任务分配名称（如分配财务访问包）。 选择策略。

8. 在“配置”中，选择之前创建的访问包。

9. 可选：添加其他入职者任务，如下所示。 对于其中一些任务，请确保“Manager”和“Email”等重要属性正确映射到用户，如使用生命周期工作流 API 自动完成员工入职任务中所述。

   • 启用用户帐户
   • 将用户添加到组或团队
   • 发送欢迎电子邮件
   • 生成 TAP 并发送电子邮件

10. 选择“启用计划”。

    

11. 选择“查看 + 创建”。

创建离职者工作流

若要创建离职者工作流，请执行下列步骤。

1. 至少以生命周期工作流管理员的身份登录到 Microsoft Entra 管理中心。

2. 浏览到“标识治理”“生命周期工作流”>“创建工作流”。>

3. 在“选择工作流”中，选择“员工离职”。

   

4. 在“基础知识”上，输入“员工离职 -- 财务”作为工作流的显示名称和说明。 选择下一步。

5. 在“配置范围”>“规则”上，输入“Property”、“Operator”和“Value”的值。 将范围的表达式更改为仅用户，其中“Property”>“department”的“Value”为“Finance”。 确保测试用户使用“Finance”字符串填充“Property”，使其位于工作流范围内。

   

6. 在“查看任务”上，选择“添加任务”，以将任务添加到模板。 在此方案中，添加“请求用户访问包分配”。

7. 可选：添加其他离职者任务，例如：

   • 禁用用户帐户
   • 从所有组中删除用户
   • 从所有 Teams 移除用户

8. 开启“启用计划”。

   

9. 选择“查看 + 创建” 。

注意

生命周期工作流根据合并基于时间的属性和偏移值的已定义触发器自动运行。 例如，如果属性为 employeeHireDate 且 offsetInDays 为 -1，则工作流应在员工雇用日期的前一天触发。 该值可介于 -180 到 180 天之间。 必须在用户的 Microsoft Entra ID 中设置 employeeHireDate 和 employeeLeaveDateTime 的值。 有关这些属性和过程的详细信息，请参阅如何同步生命周期工作流的属性。

按需运行入职者工作流

若要在无需等待自动计划的情况下测试此方案，请运行按需生命周期工作流。

1. 启动之前创建的入职者工作流。

2. 至少以生命周期工作流管理员的身份登录到 Microsoft Entra 管理中心。

3. 浏览到“标识治理”“生命周期工作流”>“工作流”>。

4. 在“工作流”上，选择之前创建的“新入职员工 -- 财务”。

5. 选择“按需运行”。

6. 在“选择用户”上，选择“添加用户”。

7. 在“添加用户”上，选择要为其运行按需工作流的用户。

8. 选择 添加 。

9. 请确认选择。 选择“运行工作流”。

10. 选择“工作流历史记录”来验证任务状态。

    

11. 完成所有任务后，请验证用户是否有权访问访问包中选择的应用程序。 此步骤将完成用户第一天访问所需应用的入职者方案。

验证访问，以按应用进行远程访问

在本部分中，我们将模拟加入组织的财务团队的新成员。 我们会自动向用户分配对财务团队文件共享的访问权限，并使用 Microsoft Entra 专用访问远程访问文件服务器。

本部分介绍用于验证已分配资源访问权限的选项。

验证访问包分配

若要验证访问包分配状态，请执行以下步骤：

1. 以用户身份登录到 myaccess.microsoft.com。

2. 选择“访问包”，“活动”查看之前请求的访问包（如财务访问包）。

   

验证应用访问权限

若要验证应用访问权限，请执行以下步骤：

1. 以用户身份登录到 myaccess.microsoft.com。

2. 在应用列表中，查找并访问之前创建的应用（如财务应用）。

   

验证组成员身份

若要验证组成员身份，请执行以下步骤：

1. 以用户身份登录到 myaccess.microsoft.com。

2. 选择“我所在的组”。 验证之前在组中创建的成员身份（例如财务会计）。

   

验证 Teams 成员身份

若要验证 Teams 成员身份，请执行以下步骤：

1. 以用户身份登录到 Teams。

2. 验证之前在 Teams 中创建的成员身份（例如财务会计）。

   

验证远程访问

若要验证用户对文件服务器的访问，请执行以下步骤：

1. 登录到安装了全球安全访问客户端的设备。

2. 运行 \\\IP_address 并验证对文件共享的访问。

   

按需运行离职者工作流

1. 至少以生命周期工作流管理员的身份登录到 Microsoft Entra 管理中心。

2. 浏览到“标识治理”“生命周期工作流”>“工作流”>。

3. 在工作流上，选择在离职者步骤中创建的“员工离职 - 财务”工作流。

4. 选择“按需运行”。

5. 在“选择用户”上，选择“添加用户”。

6. 在“添加用户”上，选择要为其运行按需工作流的用户。

7. 选择 添加 。

8. 确认选择，并选择“运行工作流”。

9. 选择“工作流历史记录”来验证任务状态。

   

10. 完成所有任务后，验证是否已删除用户对访问包中所选应用程序的所有访问权限。

验证访问权限的删除

执行离职者工作流后，通过重复“验证应用访问”和“验证远程访问”部分中的步骤，确认删除对财务应用程序、财务团队、SharePoint 站点和文件共享的用户访问权限。 这一步骤可确保对被阻止访问这些资源的用户进行彻底验证。

相关内容

• 了解 Microsoft Entra ID 治理
• 什么是 Microsoft Entra ID 保护？
• 规划 Microsoft Entra ID 保护部署
• Global Secure Access 入门
• 了解面向 Microsoft Entra 专用访问和 Microsoft Entra Internet 访问的全球安全访问客户端
• 了解 Microsoft Entra 专用访问
• 了解 Microsoft Entra Internet 访问