共用方式為

使用 Microsoft Entra ID Governance 來管理員工和來賓生命週期

  • 發行項

Identity Governance 可協助組織在生產力方面達成平衡 - 例如,當有人加入我的組織時,他們需要多快才能存取所需的資源? 關於安全性,他們的存取權應該如何隨著時間的推移改變,例如,因為該人員的雇用狀態發生變更?

身分識別生命週期管理

身分識別生命週期管理是 Identity Governance 的基礎,而大規模有效控管必須使應用程式的身分識別生命週期管理基礎結構現代化。 身分識別生命週期管理旨在針對與組織有相關聯的個人,自動化和管理整個數位身分識別生命週期流程。

Microsoft Entra 與其他來源和目標的佈建關係圖表。

什麼是數位身分識別?

數位身分識別是一或多個運算資源所使用的實體資訊,例如操作系統或應用程式。 這些實體可能代表人員、組織、應用程式或裝置。 身分識別通常由與其相關聯的屬性描述,例如名稱、識別碼和屬性,例如用於存取管理的角色。 這些屬性可協助系統判斷可存取哪些項目,以及哪些人可以使用該資源。

管理數位身分識別的生命週期

管理數位身分識別是一項複雜的任務,特別是當涉及到將真實世界的對象(例如個人及其作為該組織員工與組織的關係)與數位表示相對應時。 在小型組織中,管理需要身份識別的個人數位化身份可以是手動程序。 例如,當有人被雇用或承包商到達時,IT 專家可以在目錄中為其建立帳戶,並指派他們需要的存取權。 不過,在中型和大型組織中,自動化可讓組織更有效率地調整規模,並讓身分識別保持正確性。

在組織中建立身分識別生命週期管理的一般程序會遵循這些步驟:

  1. 判斷是否已經有記錄系統:組織視為權威的資料來源。 例如,組織可能有一個 HR 系統,例如 Workday 或 SuccessFactors,且該系統具有提供目前員工清單的權威,以及其部分屬性,例如員工的名稱或部門。 此外,像是 Exchange Online 這樣的電子郵件系統可能是其他屬性(例如員工的電子郵件地址)的授權來源。

  2. 使用 Microsoft Entra ID 連接這些記錄系統,並解決 Microsoft Entra ID 中現有使用者與記錄系統之間的任何不一致問題。 例如,Microsoft Entra ID 可能已填入已過時的資料,例如已不再與組織有關聯的前員工使用者帳戶。

  3. 一旦 Microsoft Entra ID 有正確的使用者後,需將其與應用程式使用的一個或多個目錄和資料庫連接,並解決這些目錄與 Microsoft Entra ID 中作為系統記錄數據復本之間的任何不一致情況。 例如,先前已中斷連線之應用程式的目錄可能會有過時的資料,例如先前員工的帳戶。

  4. 判斷哪些流程可用於在沒有記錄系統的情況下提供權威資訊。 例如,如果訪客有數位身分識別,但組織沒有訪客的資料庫,則可能需要尋找替代方式來判斷不再需要訪客的數位身分識別。

  5. 確定記錄系統或其他進程的變更會透過 Microsoft Entra ID 複寫到需要更新的每個目錄或資料庫。

身分識別生命週期管理,代表具有組織關係的員工和其他個人

規劃員工或其他具有組織關係的個人身分識別生命週期管理時,例如承包商或學生,許多組織會建立「加入、移動和離開」的模型,如下所示:

  • 加入 - 當個人進入需要存取權的範圍時,這些應用程式需要身分識別,所以如果尚未有新的數位身分識別,則可能需要加以建立。
  • 移動 - 當個人在不同邊界之間移動時,則需要額外的存取權限,以對其數位身份進行新增或移除權限。
  • 離開 - 當個人離開需要存取權的範圍時,可能需要移除存取權,而用於稽核或鑑識目的以外的應用程式可能不再需要身分識別。

因此,例如,如果新員工加入您的組織,且該員工之前從未與貴組織有關聯,該員工需要新的數位身分識別,以Microsoft Entra ID 中的用戶帳戶表示。 建立此帳戶會落入「加入者」流程,如果有一個記錄系統,例如 Workday,可能會自動顯示新員工何時開始工作。 之後,如果你們的組織有員工從銷售部門調動到行銷部門,他們就會進入「人員調動」程序。 此舉需要移除他們在銷售組織中擁有且不再需要的存取權限,並在行銷組織中授予他們現在需要的權限。

來賓的身分識別生命週期管理

其他身分識別、合作夥伴、供應商和其他來賓也需要類似的流程,讓他們能夠共同作業或存取資源。 Microsoft Entra 權利管理利用 Microsoft Entra ID 企業對企業 (B2B) 來提供與貴公司外部人員 (需要存取貴組織的資源) 共同合作所需的生命週期控制項。 透過 Microsoft Entra B2B,外部使用者會向家庭目錄或身分識別提供者進行驗證,但在貴組織的目錄中有表示。 貴組織目錄中的表示讓使用者可以被指派存取組織中的資源。 權利管理可讓組織外部的個人要求存取權,並視需要為其建立數位身分識別。 當使用者失去存取權時,系統會自動移除這些數位身分識別。

授權需求

使用此功能需要 Microsoft Entra ID 控管或 Microsoft Entra 套件授權。 若要找到適合您需求的授權,請參閱 Microsoft Entra ID 控管授權基本概念

下一步