共用方式為


使用 Microsoft Entra ID Governance 來管理員工和來賓生命週期

Identity Governance 可協助組織取得以下兩者之間的平衡:生產力 - 人員可以存取資源所需的速度,例如他們何時加入我的組織? 與安全性 - 其存取權應該如何隨著時間變更,例如由於該人員的雇用狀態變更?

身分識別生命週期管理

身分識別生命週期管理是 Identity Governance 的基礎,而大規模有效控管必須使應用程式的身分識別生命週期管理基礎結構現代化。 身分識別生命週期管理旨在針對與組織有相關聯的個人,自動化和管理整個數位身分識別生命週期流程。

使用其他來源和目標佈建的 Microsoft Entra 關係圖表。

什麼是數位身分識別?

數位身分識別是一或多個運算資源所使用的實體資訊,例如操作系統或應用程式。 這些實體可能代表人員、組織、應用程式或裝置。 身分識別通常由與其相關聯的屬性描述,例如名稱、識別碼和屬性,例如用於存取管理的角色。 這些屬性可協助系統判斷可存取哪些項目,以及哪些人可以使用該資源。

管理數位身分識別的生命週期

管理數位身分識別是一項複雜的工作,特別是因為它與真實世界物件相互關聯,例如人員,以及其與組織作為該組織員工的關係,以及數位表示法。 在小型組織中,保留需要身分識別的個人數位標記法可以是手動程序。 例如,當有人被雇用或承包商到達時,IT 專家可以在目錄中為其建立帳戶,並指派他們需要的存取權。 不過,在中型和大型組織中,自動化可讓組織更有效率地調整規模,並讓身分識別保持正確性。

在組織中建立身分識別生命週期管理的一般程序會遵循這些步驟:

  1. 判斷是否已經有記錄系統:組織視為權威的資料來源。 例如,組織可能有一個 HR 系統,例如 Workday 或 SuccessFactors,且該系統具有提供目前員工清單的權威,以及其部分屬性,例如員工的名稱或部門。 此外,Exchange Online 之類的電子郵件系統可能具有其他屬性員工的電子郵件地址授權。

  2. 使用 Microsoft Entra ID 連接這些記錄系統,並解決 Microsoft Entra ID 中現有使用者與記錄系統之間的任何不一致問題。 例如,Microsoft Entra ID 可能已填入已過時的資料,例如已不再與組織有關聯的前員工使用者帳戶。

  3. Microsoft Entra ID 有正確的使用者,請連接 Microsoft Entra ID 與應用程式所使用的一或多個目錄和資料庫,並解決這些目錄與 Microsoft Entra ID 中記錄資料系統復本之間的任何不一致。 例如,先前已中斷連線之應用程式的目錄可能會有過時的資料,例如先前員工的帳戶。

  4. 判斷哪些流程可用於在沒有記錄系統的情況下提供權威資訊。 例如,如果訪客有數位身分識別,但組織沒有訪客的資料庫,則可能需要尋找替代方式來判斷不再需要訪客的數位身分識別。

  5. 確定記錄系統或其他進程的變更會透過 Microsoft Entra ID 複寫到需要更新的每個目錄或資料庫。

身分識別生命週期管理,代表具有組織關係的員工和其他個人

規劃員工或其他具有組織關係的個人身分識別生命週期管理時,例如承包商或學生,許多組織會建立「加入、移動和離開」的模型,如下所示:

  • 加入 - 當個人進入需要存取權的範圍時,這些應用程式需要身分識別,所以如果尚未有新的數位身分識別,則可能需要加以建立。
  • 調動 - 當個人在界限之間調動時,則需要額外的存取授權,才能對其數位身分識別新增或移除
  • 離開 - 當個人離開需要存取權的範圍時,可能需要移除存取權,而用於稽核或鑑識目的以外的應用程式可能不再需要身分識別。

因此比方說,如果有新員工加入您的組織,且該員工之前從未與組織建立關聯,則該員工會需要新的數位身分識別 (在 Microsoft Entra ID 中以使用者帳戶表示)。 建立此帳戶會落入「加入者」流程,如果有一個記錄系統,例如 Workday,可能會自動顯示新員工何時開始工作。 之後,如果組織有員工從銷售部門調動到行銷部門,其就會落在「調動者」程序。 此舉需要移除他們在銷售組織中擁有的存取權限,而不再需要這些權限,並在行銷組織中授與他們所新要求的權限。

來賓的身分識別生命週期管理

其他身分識別、合作夥伴、供應商和其他來賓也需要類似的流程,讓他們能夠共同作業或存取資源。 Microsoft Entra 權利管理利用 Microsoft Entra ID 企業對企業 (B2B) 來提供與貴公司外部人員 (需要存取貴組織的資源) 共同合作所需的生命週期控制項。 透過 Microsoft Entra B2B,外部使用者會向主目錄或身分識別提供者進行驗證,但在貴組織的目錄中有代表項目。 貴組織目錄中的表示法可讓使用者獲指派資源的存取權。 權利管理可讓組織外部的個人要求存取權,並視需要為其建立數位身分識別。 當使用者失去存取權時,系統會自動移除這些數位身分識別。

授權需求

使用此功能需要 Microsoft Entra ID 控管或 Microsoft Entra 套件授權。 若要找到適合您需求的授權,請參閱 Microsoft Entra ID 控管授權基本概念

下一步