Microsoft Entra 部署方案 - 跨所有应用的员工和来宾加入、标识和访问生命周期治理

项目
07/22/2024

Microsoft Entra 部署方案提供了有关如何合并和测试这些 Microsoft Entra 套件产品的详细指导：

在这些指南中，我们将介绍一些方案，展示 Microsoft Entra 套件的价值以及其功能如何协同工作。

场景概述

本指南介绍如何为以下场景配置 Microsoft Entra 套件产品，即虚构组织 Contoso 希望招聘新的远程员工并为他们提供对必要应用和资源的安全无缝访问。他们希望邀请外部用户（例如合作伙伴、供应商或客户）并与之协作，同时为他们提供对相关应用和资源的访问权限。

Contoso 使用 Microsoft Entra 验证 ID 为新的远程员工（基于人力资源数据）和外部用户（基于电子邮件邀请）颁发和验证身份的数字证明和状态。数字钱包可存储身份证明和状态，以允许访问应用和资源。 Contoso 可能会根据凭据存储的图片使用面部识别来验证身份，以此作为额外的安全措施。

他们使用 Microsoft Entra ID 治理根据可验证凭据为员工和外部用户创建和授予访问包。

针对员工，他们根据工作职能及部门创建和授予访问包。访问包包含员工需要访问的云和本地应用及资源。
针对外部协作者，他们根据邀请来创建和授予访问包，从而定义外部用户角色和权限。访问包仅包括外部用户需要访问的应用和资源。

员工和外部用户可以通过自助服务门户请求访问包，并在该门户中提供数字证明作为身份验证。通过单一登录和多重身份验证，员工和外部用户 Microsoft Entra 帐户可以访问其访问包中包含的应用和资源。 Contoso 会验证凭据并授予访问包，而无需手动批准或预配。

Contoso 使用 Microsoft Entra ID 保护和条件访问来监视和保护帐户免受风险登录和用户行为的影响。他们根据位置、设备和风险级别强制实施适当的访问控制。

配置先决条件

若要成功部署和测试解决方案，请配置本部分所述的先决条件。

配置 Microsoft Entra 验证 ID

对于此场景，请完成以下先决条件步骤，为 Microsoft Entra 验证 ID 配置快速设置（预览版）：

按照添加自定义域一文中的步骤注册自定义域（快速设置需要此域）。
以全局管理员身份登录到 Microsoft Entra 管理中心。
- 选择“验证 ID”。
- 选择设置。
- 选择“开始”。
如果为 Microsoft Entra 租户注册了多个域，请选择要用于验证 ID 的域。
设置过程完成后，可在租户员工的“我的帐户”页面上看到可供租户员工编辑和提供的默认工作区凭据。
使用测试用户的 Microsoft Entra 凭据登录到其“我的帐户”。选择“获取我的验证 ID”，以颁发已验证的工作区凭据。

添加受信任的外部组织 (B2B)

按照以下先决条件步骤为该场景添加受信任的外部组织 (B2B)。

至少以安全管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识>外部标识>跨租户访问设置”。选择“组织设置”。
选择“添加组织”。
输入组织的完整域名（或租户 ID）。
在搜索结果中选择组织。选择添加。
在“组织设置”中确认新组织（它从默认设置继承其访问设置）。

创建目录

按照以下步骤为该场景创建权利管理目录。

至少以标识治理管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识治理”>“权利管理”>“目录”。
选择“+新建目录”。
输入目录的唯一名称和说明。请求者可在访问包的详细信息中查看此信息。
若要在此目录中为内部用户创建访问包，请选择“为外部用户启用”>“否”。
在“目录”中，打开要将资源添加到的目录。选择“资源”>“+添加资源”。
选择“类型”、“组和团队”、“应用程序”或“SharePoint 站点”。
选择一个或多个要添加到目录中的所需类型的资源。选择添加。

创建访问包

若要成功部署和测试解决方案，请配置本部分所述的访问包。

远程用户（内部）的访问包

按照以下步骤，使用验证 ID 在权利管理中为远程（内部）用户创建访问包。

至少以标识治理管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识治理”>“权利管理”>“访问包”。
选择“新建访问包”。
对于“基本信息”，为访问包命名（例如“远程用户的财务应用”）。指定前面创建的目录。
对于“资源角色”，请选择资源类型（例如：组和团队、应用程序、SharePoint 网站）。选择一个或多个资源。
在“角色”中，选择要为每个资源分配用户的角色。
对于“请求”，选择“用于目录中的用户”。
在“选择用户和组”中，选择“目录中的用户”。选择“+ 添加用户和组”。选择有权请求访问包的现有组。
滚动到“所需的验证 ID”。
选择“+ 添加颁发者”。从 Microsoft Entra 验证 ID 网络中选择颁发者。确保从来宾钱包中的现有已验证标识中选择颁发者。
可选：在“审批”中，指定用户在请求访问包时是否需要审批。
可选：在“请求者信息”中，选择“问题”。输入要询问请求者的问题（称为显示字符串）。若要添加本地化选项，请选择“添加本地化”。
对于“生命周期”，请指定用户的访问包分配何时过期。指定用户是否可以将其分配延期。对于“过期时间”，将“访问包分配”过期时间设置为“日期”、“天数”、“小时数”或“永不过期”。
在“访问评审”中，选择“是”。
在“开始时间”中，选择当前日期。将“评审频率”设置为“每季度”。将“持续时间(天)”设置为 21。

来宾的访问包 (B2B)

按照以下步骤，使用验证 ID 在权利管理中为来宾 (B2B) 创建访问包。

至少以标识治理管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识治理”>“权利管理”>“访问包”。
选择“新建访问包”。
对于“基本信息”，为访问包命名（例如“远程用户的财务应用”）。指定前面创建的目录。
对于“资源角色”，请选择资源类型（例如：组和团队、应用程序、SharePoint 网站）。选择一个或多个资源。
在“角色”中，选择要为每个资源分配用户的角色。
对于“请求”，选择“不在目录中的用户”。
选择“特定的已连接组织”。若要从之前添加的已连接组织的列表中进行选择，请选择“添加目录”。
输入要搜索的之前已连接的组织的名称或域名。
滚动到“所需的验证 ID”。
选择“+ 添加颁发者”。从 Microsoft Entra 验证 ID 网络中选择颁发者。确保从来宾钱包中的现有已验证标识中选择颁发者。
可选：在“审批”中，指定用户在请求访问包时是否需要审批。
可选：在“请求者信息”中，选择“问题”。输入要询问请求者的问题（称为显示字符串）。若要添加本地化选项，请选择“添加本地化”。
对于“生命周期”，请指定用户的访问包分配何时过期。指定用户是否可以将其分配延期。对于“过期时间”，将“访问包分配”过期时间设置为“日期”、“天数”、“小时数”或“永不过期”。
在“访问评审”中，选择“是”。
在“开始时间”中，选择当前日期。将“评审频率”设置为“每季度”。将“持续时间(天)”设置为 21。
选择“特定评审者”。选择“自我评审”。

请至少以条件访问管理员身份登录到 Microsoft Entra 管理中心。
浏览到“保护”>“条件访问”>“策略”。
选择“新策略” 。
输入策略名称，例如“保护远程高风险登录用户的应用程序”。
对于“分配”，选择“用户”。
1. 对于“包含”，请选择某个远程用户组或选择所有用户。
2. 对于“排除”，选择“用户和组”。选择组织的紧急访问或不受限帐户。
3. 选择“完成” 。
对于“云应用或操作”>“包含”，请选择要应用此策略的应用程序。
对于“条件”>“登录风险”，将“配置”设置为“是”。对于“选择此策略将应用到的登录风险级别”，请选择“高”和“中等”。
1. 选择“完成” 。
对于“访问控制”>“授予”，
1. 选择“授予访问权限”>“需要多重身份验证”。
对于“会话”，选择“登录频率”。选择“每次”。
确认设置。选择“启用策略”。

请求访问包

为访问包配置验证 ID 要求后，策略范围内的最终用户可以在其“我的访问权限”门户中请求访问权限。当审批者评审待审批的请求时，他们可以看到请求者出示的已验证凭据的声明。

以远程用户或来宾身份登录到 myaccess.microsoft.com。
搜索之前创建的访问包（如“远程用户的财务应用”）。可以浏览列出的包或使用搜索栏。选择“请求”。
系统会显示一个信息横幅，其中包含一条消息，例如“若要请求访问此访问包，需要提供可验证凭据”。选择“请求访问”。若要启动 Microsoft Authenticator，请使用手机扫描 QR 码。共享凭据。
共享凭据后，请继续执行审批工作流。
可选：按照模拟 Microsoft Entra ID 保护中的风险检测说明进行操作。你可能需要尝试多次才能将用户风险提高到中等或高级别。
尝试访问之前为该场景创建的应用程序，以确认阻止的访问。你可能最多需要等待一小时来执行阻止操作。
使用登录日志验证之前创建的条件访问策略阻止的访问。从“ZTNA 网络访问客户端 - 专用”应用程序打开非交互式登录日志。从先前创建为“资源名”的专用访问应用程序名称查看日志。

通过

Microsoft Entra 部署方案 - 跨所有应用的员工和来宾加入、标识和访问生命周期治理

场景概述