介绍 Microsoft Entra ID 治理
利用 Microsoft Entra ID Governance,可以在组织的安全性和员工工作效率与适当的流程和可见性需求之间实现平衡。 随着员工在组织内角色的变化,你可以使用 Microsoft Entra ID 治理通过标识和访问流程自动化、将内容委托给业务组以及提高可见性来自动确保合适的人员对合适的资源拥有合适的访问权限。
利用 ID 治理,组织可执行以下任务:
- 监管标识生命周期。
- 监管访问权限生命周期。
- 保护用于管理的特权访问权限。
可以在本地和云中针对员工、业务合作伙伴和供应商以及跨服务和应用程序完成这些操作。
标识监管旨在帮助组织解决以下四个关键问题:
- 哪些用户应该有权访问哪些资源?
- 这些用户使用该访问权限做些什么?
- 是否存在有效的组织控制措施可用于管理访问权限?
- 审核员是否可以验证控制措施是否正常实施?
标识生命周期
管理用户的标识生命周期是标识监管的核心内容。
为员工计划标识生命周期管理时,举例来说,许多组织会对“加入、调动和离开”过程进行建模。 当某人第一次加入组织时,组织会为其创建新的数字标识(如果没有)。 当某人在组织边界之间移动时,可能需要在其数字标识中添加或删除更多访问授权。 当某人离开组织时,可能需要删除访问权限,并且可能不再需要标识(除非用于审核目的)。
下图显示了简化版本的标识生命周期。
在许多组织中,员工的这一标识生命周期会绑定到该用户在人力资源 (HR) 系统(如 Workday 或 SuccessFactors)中的表示形式。 HR 系统在提供当前的员工列表及其某些属性(如姓名或部门)方面具有权威性。 组织需要根据来自 HR 系统的信号,自动完成为新员工创建标识的过程,使员工在第一天就能开始工作。
在 Microsoft Entra ID 治理中,可以通过以下方式自动化用户的标识生命周期:
- 来自组织的 HR 源的入站预配,用于自动维护 Microsoft Entra ID 和 Active Directory 中的用户标识。
- 生命周期工作流可自动执行在发生某些关键事件(例如新员工计划在组织中开始工作、新员工在组织任职期间更改状态、新员工离开组织)时运行的工作流任务。
- 权利管理中的自动分配策略根据用户属性的更改添加和删除用户的组成员身份、应用程序角色和 SharePoint 网站角色。 有关权利管理的信息将在后续单元中介绍。
- 用户预配,使用可连接到数百个云和本地应用程序的连接器,在其他应用程序中创建、更新和移除用户帐户。
一般而言,管理标识的生命周期是指更新用户所需的访问权限,无论是通过与 HR 系统集成还是通过用户预配应用程序。
访问生命周期
访问权限生命周期是指在用户属于组织期间管理其访问权限的过程。 从加入组织到离开组织,用户需要不同级别的访问权限。 在此之间的不同阶段,他们将需要不同资源的访问权限,具体取决于其角色和职责。
组织需要使用一个流程来管理最初在创建用户标识时未为用户预配的访问权限。 此外,企业组织需要能够有效缩放,以便持续制定和实施访问策略与控制措施。
使用 Microsoft Entra ID 治理,IT 部门可以确定用户在各种资源中应拥有的访问权限,以及需要进行哪些强制检查。
组织可以通过动态组等技术来自动执行访问生命周期过程。 动态组使管理员能够创建基于属性的规则,以确定组的成员身份。 当用户或设备的任何属性发生更改时,系统会评估目录中的所有动态组规则,以查看该更改是否会触发从组中添加或删除任何用户。 如果用户或设备满足某组的规则,他们将添加为该组的成员。 如果不再满足规则,则会将其删除。
使用权利管理,组织可以定义不同组、团队成员身份、应用角色以及 SharePoint Online 角色的用户如何请求访问权限,并对访问请求强制执行职责分离检查。
组织可以使用定期的 Microsoft Entra 访问评审来定期评审访问权限,以进行访问权限重新认证。
特权访问权限生命周期
监视特权访问权限是标识监管的关键部分。 为员工、供应商和承包商分配管理权限时,由于存在滥用可能,因此应该有监管流程。
Microsoft Entra Privileged Identity Management (PIM) 提供专门用于保护访问权限的额外控制功能。 PIM 可帮助你最大程度地减少可访问 Microsoft Entra ID、Azure 和其他 Microsoft 在线服务的资源的用户数。 PIM 提供了一组全面的监管控制功能,可帮助保护公司资源。
