共用方式為

Microsoft Entra 部署案例 - 使用每個應用程式 MFA 將遠端存取現代化至內部部署應用程式

  • 發行項

Microsoft Entra 部署案例提供如何結合及測試這些 Microsoft Entra Suite 產品的詳細指導:

在這些指南中,我們會描述顯示 Microsoft Entra Suite 值及其功能如何一起運作的案例。

案例:使用快速存取將遠端訪問現代化

在本節中,我們將說明如何為虛構組織 Contoso 正在升級其現有 VPN 解決方案的案例設定 Microsoft Entra Suite 產品。 新的可調整雲端式解決方案可協助他們走向安全存取服務Edge(SASE)。 為了達成此目標,他們會部署 Microsoft Entra 網際網路存取Microsoft Entra 私人存取Microsoft Entra ID Protection

Microsoft Entra 私人存取 提供使用者(無論是在辦公室還是遠端工作)安全存取私人公司資源。 Microsoft Entra 私人存取 建置在 Microsoft Entra 應用程式 Proxy 上,以擴充與 TCP/IP 埠和通訊協議無關之任何私人資源的存取權。

遠端使用者可以從任何裝置和網路連線到混合式和多重雲端環境、專用網和數據中心的私人應用程式,而不需要 VPN 解決方案。 此服務會根據條件式存取 (CA) 原則提供個別應用程式自適性存取,以提供比傳統 VPN 解決方案更細微的安全性。

Microsoft Entra ID Protection 雲端式身分識別和存取管理 (IAM) 可協助保護使用者身分識別和認證免於入侵。

您可以復寫 Contoso 解決方案的這些高階步驟,如此案例所述。

  1. 註冊 Microsoft Entra Suite。 啟用並設定Microsoft Entra Internet 和 Private Access 以取得所需的網路和安全性設定。
  2. 用戶裝置上部署Microsoft全域安全存取用戶端,並在專用網上部署 Microsoft Entra 私人存取 連接器。 包含多雲端因特網即服務 (IaaS) 型虛擬網路,以存取 Contoso 網路上的應用程式和資源。
  3. 將私人應用程式設定為 全域安全存取應用程式。 指派適當的使用者和群組。 為這些應用程式和使用者設定 條件式存取 原則。 透過此設定,您可以只允許存取需要存取權的使用者和群組,以達到最低存取權。
  4. 啟用 Microsoft Entra ID Protection ,讓系統管理員能夠調查和補救風險,以保護組織的安全。 風險可以饋送至條件式存取之類的工具,以做出存取決策,並送回安全性資訊和事件管理 (SIEM) 工具來進行調查。
  5. 使用來自 Microsoft Entra 網際網路存取、Microsoft Entra 私人存取 和Microsoft Entra ID Protection 的增強記錄和分析來追蹤及評估網路和安全性狀態。 此設定可協助安全性作業中心 (SOC) 小組及時偵測並檢查威脅,以防止呈報。

Microsoft Entra Suite 解決方案透過 VPN 提供下列優點:

  • 更輕鬆且合併的管理
  • 較低的 VPN 成本
  • 更佳的安全性和可見度
  • 更順暢的用戶體驗和效率
  • SASE 的準備

使用快速存取的遠端訪問需求

本節會定義案例解決方案的需求。

具有快速存取權的遠端訪問許可權

與全球安全存取功能互動的管理員,需要全球安全存取管理員和應用程式系統管理員角色。

條件式存取 (CA) 原則設定需要條件式存取系統管理員或安全性系統管理員角色。 某些功能可能需要其他角色。

使用快速存取進行遠端訪問的必要條件

若要成功部署及測試此案例,請設定下列必要條件:

  1. 具有 Microsoft Entra ID P1 授權的 Microsoft Entra 租用戶。 設定 Microsoft Entra ID 以測試Microsoft Entra ID Protection。 購買授權或取得試用版授權
    • 一名至少具有全球安全存取管理員和應用程式系統管理員角色的使用者,可設定 Microsoft 安全性服務邊緣
    • 租使用者中至少有一個客戶端測試使用者
  2. 一部具有下列設定的 Windows 用戶端裝置:
    • Windows 10/11 64 位元版本
    • 已加入 Microsoft Entra 或已使用混合式聯結
    • 因特網連線且沒有公司網路存取或 VPN
  3. 在用戶端裝置上,下載並安裝全球安全存取用戶端。 適用於 Windows 的全球安全存取用戶端一文說明了必要條件和安裝。
  4. 若要測試 Microsoft Entra 私人存取,請將 Windows 伺服器設定為作為資源伺服器:
    • Windows Server 2012 R2 或更新版本
    • 檔案共用
  5. 若要測試 Microsoft Entra 私人存取,請將 Windows 伺服器設定為做為連接器伺服器:
  6. 建立連接器伺服器與應用程式伺服器之間的連線。 確認應用程式伺服器上的測試應用程式的存取權(例如,成功的檔案共用存取權)。

下圖說明部署和測試 Microsoft Entra 私人存取 的最低架構需求:

圖表顯示包含具有 P1 授權Microsoft Entra ID 租使用者的需求。

使用快速存取設定遠端訪問的全域安全存取

在本節中,我們會透過 Microsoft Entra 系統管理中心啟用全球安全存取。 然後,我們會設定此案例所需的初始設定。

  1. 全域管理員的身分登入 Microsoft Entra 管理中心
  2. 瀏覽到 [全球安全存取]> [開始使用]> [Activate Global Secure Access in your tenant] \(在租用戶中啟用全球安全存取\)。 選取 [啟用] 以啟用 SSE 功能。
  3. 瀏覽至 [全球安全存取]> [連線]> [流量轉送]。 在 [私人存取設定檔] 上切換。 流量轉送可讓您設定網路流量類型,透過 Microsoft 安全性服務邊緣解決方案服務進行通道傳送。 您可以設定流量轉送設定檔來管理流量類型。

    • Microsoft 365 存取設定檔可供適用於 Microsoft 365 的 Microsoft Entra 網際網路存取使用。

    • [私人存取設定檔] 適用於 Microsoft Entra 私人存取。

    • 適用 Microsoft Entra 網際網路存取的網際網路存取設定檔。 Microsoft 安全性服務邊緣解決方案僅針對已安裝全球安全存取用戶端的用戶端裝置擷取流量。

      流量轉送的螢幕擷取畫面,顯示已啟用「私人存取」設定檔控制。

使用快速存取安裝全域安全存取用戶端以進行遠端訪問

適用於 Microsoft 365 的 Microsoft Entra 網際網路存取和 Microsoft Entra 私人存取會在 Windows 裝置上使用全球安全存取用戶端。 此用戶端會取得網路流量並將其轉送至 Microsoft 安全性服務邊緣解決方案。 完成這些安裝與設定步驟:

  1. 請確保 Windows 裝置已加入 Microsoft Entra 或已使用混合式聯結。

  2. 使用本機系統管理員許可權的 Microsoft Entra 使用者角色登入 Windows 裝置。

  3. 以至少全球安全存取系統管理員身分登入 Microsoft Entra 系統管理中心

  4. 瀏覽 [全球安全存取]> [連線]> [用戶端下載]。 選取 [下載用戶端]。 完成安裝。

    顯示 Windows 下載用戶端控制項的用戶端下載螢幕擷取畫面。

  5. 在 [視窗] 工作列中,全球安全存取用戶端會先顯示為已中斷連線。 幾秒鐘後,當系統提示輸入認證時,請輸入測試使用者認證。

  6. 在 [視窗] 工作列中,將滑鼠停留在 [全球安全存取用戶端] 圖示上,並確認狀態為已連線

使用快速存取設定連接器伺服器以進行遠端訪問

連接器伺服器會與 Microsoft 的 Security Service Edge 解決方案通訊,作為公司網路的閘道。 其會透過 80 和 443 使用輸出連線,而且不需要輸入連接埠。 了解如何設定 Microsoft Entra 私人存取的連接器。 完成下列設定步驟:

  1. 在連接器伺服器上,以至少全域安全存取系統管理員身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [全球安全存取]>[連線]>[連接器]。 選取 [ 啟用專用網連接器]。

    專用網連接器的螢幕快照,其中紅色方塊醒目提示 [啟用專用網連接器] 控件。

  3. 選取 [下載連接器服務]

  4. 遵循安裝精靈,在連接器伺服器上安裝連接器服務。 出現提示時,請輸入租用戶認證以完成安裝。

  5. 連接器伺服器會在連接器出現時安裝。

在此案例中,我們會使用預設連接器群組搭配一部連接器伺服器。 在生產環境中,建立具有多個連接器伺服器的連接器群組。 請參閱使用連接器群組在個別網路上發佈應用程式的詳細指引

使用快速存取建立遠端訪問的安全組

在此案例中,我們會使用安全組將許可權指派給 Private Access 應用程式,以及以條件式存取原則為目標。

  1. 在 Microsoft Entra 系統管理中心中,建立新的僅限雲端安全組。
  2. 將測試使用者新增為成員。

使用快速存取來判斷遠端訪問的私人資源

在此案例中,我們會使用檔案共享服務作為範例資源。 您可以使用任何私人應用程式或資源。 您必須知道應用程式使用哪些埠和通訊協議來發行 Microsoft Entra 私人存取。

識別具有檔案共享的伺服器,以發佈併記下其IP位址。 檔案共享服務使用埠 445/TCP。

使用快速存取發佈應用程式以進行遠端訪問

Microsoft Entra 私人存取 支援使用任何埠的傳輸控制通訊協定 (TCP) 應用程式。 若要透過因特網連線到文件伺服器 (TCP 連接埠 445),請完成下列步驟:

  1. 從連接器伺服器,確認您可以在檔案伺服器上存取檔案共用。

  2. 以至少全球安全存取系統管理員身分登入 Microsoft Entra 系統管理中心

  3. 流覽至全域安全存取>應用程式>企業應用程式>+ 新增應用程式。

    顯示新應用程控的企業應用程式螢幕快照。

  4. 輸入名稱 (例如 FileServer1)。 選取預設連接器群組。 選取 [+新增應用程式區段]。 輸入應用程式伺服器的IP位址和埠441。

    建立全域安全存取應用程式的螢幕快照,建立應用程式區段。

  5. 選取 [套用>儲存]。 確認應用程式位於 企業應用程式中

  6. 移至 [身分>識別應用程式企業應用程式]。> 選取新的應用程式。

  7. 選取 使用者及群組。 使用從因特網存取此檔案共用的測試使用者,新增您稍早建立的安全組。

使用快速存取保護已發佈的應用程式以進行遠端訪問

在本節中,我們會建立條件式存取 (CA) 原則,以在提高用戶風險時封鎖對新應用程式的存取。

  1. 至少以條件式存取管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心
  2. 瀏覽至 [保護]> [條件式存取]> [原則]
  3. 選取 [新增原則]
  4. 輸入名稱並選取使用者。 選取 [使用者和群組]。 選取您稍早建立的安全組。
  5. 選取 [目標資源>應用程式] 和您稍早建立的應用程式 (例如 FileServer1)。
  6. 選取 [>是]。 選取 [高] 和 [風險層級]。 選取完成
  7. 選取 [授與封鎖>>選取]。
  8. 在 [啟用原則] 上切換。
  9. 檢閱您的設定。
  10. 選取 建立

使用快速存取來驗證遠端訪問的存取

在本節中,我們會驗證使用者可在沒有風險的情況下存取文件伺服器。 確認偵測到風險時封鎖存取。

  1. 登入您先前安裝 Global Secure Access 用戶端的裝置。

  2. 嘗試執行 \\\IP_address 來存取檔案伺服器,並驗證您是否可以瀏覽檔案共用。

    顯示檔案共享連線的 Windows 檔案總管螢幕快照。

  3. 如有需要,請遵循模擬Microsoft Entra ID Protection 中的風險偵測中的指示來模擬用戶風險。 您可能需要嘗試多次,才能將用戶風險提高到中或高。

  4. 嘗試存取檔案伺服器,以確認已封鎖存取。 您可能需要等候最多一個小時才能強制執行區塊。

  5. 驗證條件式存取原則(您稍早使用登入記錄建立的原則)會封鎖存取。 從 ZTNA 網路存取客戶端開啟非互動式登入記錄 -- 私人 應用程式。 從您先前建立為資源名稱Private Access 應用程式名稱檢視記錄。

案例:將每個應用程式的遠端訪問現代化

在本節中,我們將說明如何針對虛構組織 Contoso 正在轉換其網路安全做法的案例,設定 Microsoft Entra Suite 產品。 它們採用零信任原則來明確驗證、使用最低許可權,並假設跨所有應用程式和資源發生缺口。 在探索過程中,他們識別出多個商務應用程式,這些應用程式不使用新式驗證,並依賴公司網路的連線能力(無論是從分公司或遠端使用 VPN)。

您可以復寫 Contoso 解決方案的這些高階步驟,如此案例所述。

  1. 若要明確驗證,請設定 Microsoft Entra ID Private Access ,以根據每個應用程式存取公司網路。 使用條件式存取和 Microsoft Entra ID Protection 所提供的統一訪問控制集,根據Microsoft 365 和其他雲端應用程式使用之身分識別、端點和風險訊號來授與公司網路的存取權。
  2. 若要強制執行最低許可權,請使用 Microsoft Entra ID 控管 來建立存取套件,以包含個別應用程式網路存取,以及需要它的應用程式。 此方法會授與公司網路存取權,讓員工在加入者/mover/leaver 生命週期中符合其工作職能。

在此轉換中,SecOps 小組可達成更豐富且更具凝聚力的安全性分析,以進一步識別安全性威脅。 這些是一起使用解決方案的優點:

  • 增強的安全性和可見度。 根據使用者和裝置的身分識別和內容,以及應用程式和數據敏感度和位置,強制執行細微和調適型存取原則。 使用擴充的記錄和分析來深入瞭解網路和安全性狀態,以偵測並更快速地回應威脅。
  • 內部部署應用程式的最低許可權存取權。 僅將公司網路的存取減少到應用程式所需的存取權。 指派並控管與作業函式一致的存取權會透過聯結器/movers/leavers 迴圈演進。 這種方法可降低橫向動作攻擊向量的風險。
  • 提高生產力。 當使用者加入組織時,可一致地啟用應用程式和網路的存取,以便他們準備好在一天開始。 用戶可以正確存取所需的資訊、群組成員資格和應用程式。 組織內移動者的自助式功能可確保當使用者離開組織時,會撤銷存取權。

每個應用程式遠端存取的需求

本節會定義案例解決方案的需求。

每個應用程式遠端訪問的許可權

與全球安全存取功能互動的管理員,需要全球安全存取管理員和應用程式系統管理員角色。

身分識別控管設定至少需要身分識別控管系統管理角色。

每個應用程式的遠端存取授權

若要實作此案例中的所有步驟,您需要全球安全存取和 Microsoft Entra ID 控管授權。 您可以購買授權或取得試用版授權。 若要深入瞭解全域安全存取授權,請參閱什麼是全域安全存取?的授權一節。

每個應用程式的遠端存取使用者

若要設定及測試此案例中的步驟,您需要下列使用者:

  • Microsoft具有許可權中所定義角色的 Entra 系統管理員
  • 內部部署 Active Directory 系統管理員設定雲端同步並存取範例資源 (檔案伺服器)
  • 同步處理的一般使用者,以在用戶端裝置上執行測試

Private Access 必要條件

若要成功部署及測試此案例,請設定這些必要條件。

  1. 一部具有下列設定的 Windows 用戶端裝置:
    • Windows 10/11 64 位元版本
    • 已加入 Microsoft Entra 或已使用混合式聯結
    • 因特網連線且沒有公司網路存取或 VPN
  2. 在用戶端裝置上,下載並安裝全球安全存取用戶端。 適用於 Windows 的全球安全存取用戶端一文說明了必要條件和安裝。
  3. 若要測試 Microsoft Entra 私人存取,請將 Windows 伺服器設定為作為資源伺服器:
    • Windows Server 2012 R2 或更新版本
    • 檔案共用
  4. 若要測試 Microsoft Entra 私人存取,請將 Windows 伺服器設定為做為連接器伺服器:
  5. 建立連接器伺服器與應用程式伺服器之間的連線。 確認您可以在應用程式伺服器上存取測試應用程式(例如,成功的檔案共用存取)。

下圖說明部署和測試 Microsoft Entra 私人存取 的最低架構需求:

圖表顯示包含具有 P1 授權Microsoft Entra ID 租使用者的需求。

判斷每個應用程式遠端訪問的私人資源

在此案例中,我們會使用檔案共享服務作為範例資源。 您可以使用任何私人應用程式或資源。 您必須知道應用程式使用哪些埠和通訊協議來發行 Microsoft Entra 私人存取。

使用您想要發佈並記下其IP位址的檔案共享來識別伺服器。 檔案共享服務使用埠 445/TCP。

針對每個應用程式設定遠端訪問的全域安全存取

透過 Microsoft Entra 系統管理中心啟用全域安全存取,並針對此案例進行必要的初始設定。

  1. 全域管理員的身分登入 Microsoft Entra 管理中心
  2. 瀏覽到 [全球安全存取]> [開始使用]> [Activate Global Secure Access in your tenant] \(在租用戶中啟用全球安全存取\)。 選取 [啟用] 以在租用戶中啟用 SSE 功能。
  3. 前往 [全球安全存取]>[連線]>[流量轉送]。 在 [私人存取設定檔] 上切換。 流量轉送可讓您設定網路流量類型,透過 Microsoft 安全性服務邊緣解決方案服務進行通道傳送。 您可以設定流量轉送設定檔來管理流量類型。

    • Microsoft 365 存取設定檔可供適用於 Microsoft 365 的 Microsoft Entra 網際網路存取使用。

    • [私人存取設定檔] 適用於 Microsoft Entra 私人存取。

    • 適用 Microsoft Entra 網際網路存取的網際網路存取設定檔。 Microsoft 安全性服務邊緣解決方案僅針對已安裝全球安全存取用戶端的用戶端裝置擷取流量。

      流量轉送的螢幕擷取畫面,顯示已啟用「私人存取」設定檔控制。

安裝全域安全存取用戶端以針對每個應用程式進行遠端訪問

適用於 Microsoft 365 的 Microsoft Entra 網際網路存取和 Microsoft Entra 私人存取會在 Windows 裝置上使用全球安全存取用戶端。 此用戶端會取得網路流量並將其轉送至 Microsoft 安全性服務邊緣解決方案。 完成這些安裝與設定步驟:

  1. 請確定 Windows 裝置已Microsoft已加入 Entra ID 或已加入混合式。

  2. 使用本機系統管理員許可權的 Microsoft Entra ID 使用者角色登入 Windows 裝置。

  3. 以至少全球安全存取系統管理員身分登入 Microsoft Entra 系統管理中心

  4. 瀏覽 [全球安全存取]> [連線]> [用戶端下載]。 選取 [下載用戶端]。 完成安裝。

    顯示 Windows 下載用戶端控制項的用戶端下載螢幕擷取畫面。

  5. 在 [視窗] 工作列中,全球安全存取用戶端會先顯示為已中斷連線。 幾秒鐘後,當系統提示輸入認證時,請輸入測試使用者認證。

  6. 在 [視窗] 工作列中,將滑鼠停留在 [全球安全存取用戶端] 圖示上,並確認狀態為已連線

設定每個應用程式的遠端存取連接器伺服器

連接器伺服器會與 Microsoft 的 Security Service Edge 解決方案通訊,作為公司網路的閘道。 其會透過 80 和 443 使用輸出連線,而且不需要輸入連接埠。 瞭解如何設定 Microsoft Entra 私人存取 的連接器。 完成下列設定步驟:

  1. 在連接器伺服器上,以至少全域安全存取系統管理員身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [全球安全存取]>[連線]>[連接器]。 選取 [ 啟用專用網連接器]。

    專用網連接器的螢幕快照,其中紅色方塊醒目提示 [啟用專用網連接器] 控件。

  3. 選取 [下載連接器服務]

  4. 遵循安裝精靈,在連接器伺服器上安裝連接器服務。 出現提示時,請輸入租用戶認證以完成安裝。

  5. 連接器伺服器會在連接器出現時安裝。

在此案例中,我們會使用預設連接器群組搭配一部連接器伺服器。 在生產環境中,建立具有多個連接器伺服器的連接器群組。 請參閱使用連接器群組在個別網路上發佈應用程式的詳細指引

建立 Private Access 應用程式安全組

在此案例中,我們會使用安全組將許可權指派給 Private Access 應用程式,以及以條件式存取原則為目標。

  1. 在 Microsoft Entra 系統管理中心中,建立新的僅限雲端安全組。
  2. 將測試使用者新增為成員。

發佈每個應用程式的遠端存取應用程式

Microsoft Entra 私人存取 支援使用任何埠的傳輸控制通訊協定 (TCP) 應用程式。 若要透過因特網連線到文件伺服器 (TCP 連接埠 445),請完成下列步驟:

  1. 從連接器伺服器,確認您可以在檔案伺服器上存取檔案共用。

  2. 以至少全球安全存取系統管理員身分登入 Microsoft Entra 系統管理中心

  3. 流覽至全域安全存取>應用程式>企業應用程式>+ 新增應用程式。

    顯示新應用程控的企業應用程式螢幕快照。

  4. 輸入名稱 (例如 FileServer1)。 選取預設連接器群組。 選取 [+新增應用程式區段]。 輸入應用程式伺服器的IP位址和埠441。

    建立全域安全存取應用程式的螢幕快照,建立應用程式區段。

  5. 選取 [套用>儲存]。 確認應用程式位於 企業應用程式中

  6. 移至 [身分>識別應用程式企業應用程式]。> 選取新的應用程式。

  7. 選取 使用者及群組。 使用從因特網存取此檔案共用的測試使用者,新增您稍早建立的安全組。

針對每個應用程式設定遠端訪問的存取控管

在本節中,我們會描述此解決方案的設定步驟。

建立權利管理目錄

請遵循下列步驟來建立權利管理目錄:

  1. 以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別治理]> [權利管理]> [目錄]

  3. 選取 [+新增目錄]。

    新存取權檢閱、企業應用程式、所有應用程式、身分識別治理、新增目錄的螢幕擷取畫面。

  4. 輸入目錄的唯一名稱,並提供描述。 要求者會在存取套件的詳細數據中看到這項資訊。

  5. 若要在此目錄中為內部使用者建立存取套件,請選取 [為外部使用者>啟用否]。

    新目錄的螢幕擷取畫面,其中已針對外部使用者控制項啟用設為「未選取」。

  6. 在 [目錄] 上,開啟您要新增資源的目錄。 選取 [資源>][+新增資源]。

    應用程式類別目錄的螢幕快照,顯示 [新增資源] 控件的資源清單。

  7. 選取 [類型],然後選取 [群組] 和 [Teams]、[應用程式] 或 [SharePoint 網站]。

  8. 選取並新增您先前建立的應用程式(例如 FileServer1)和安全組(例如 Finance Team File Share)。 選取 [新增]。

將群組佈建至Active Directory

我們建議使用 Microsoft Entra Cloud Sync 將群組布建至 Active Directory。如果您使用 Connect Sync,請將設定切換至 Cloud Sync。 Microsoft Entra ID 中Microsoft Entra Cloud Sync 的必要條件,以及如何 安裝 Microsoft Entra 布建代理程式 文章提供詳細指示。 Microsoft Entra Connect Sync 中的群組回寫 v2 在 2024 年 6 月 30 日之後將不再提供。

請遵循下列步驟來設定 Microsoft Entra Cloud 同步處理:

  1. 至少以混合式身分識別管理員身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別]>[混合式管理]>Microsoft Entra Connect>Cloud sync

  3. 選取 [新增設定]

  4. 選取 [Microsoft Entra ID 至 AD 同步]

    [新增設定] 的螢幕快照,Microsoft [項目標識符] AD 同步。

  5. 在 [設定],選取您的網域。 選擇性地選取 [ 啟用密碼哈希同步]。

  6. 選取 建立

    Microsoft Entra Connect、雲端同步、組態、新增雲端同步設定的螢幕快照。

  7. 針對 [開始使用設定],選取 [新增範圍篩選條件] 或 [管理] 底下的 [新增範圍篩選] 或 [範圍篩選] 。

  8. 在 [選取群組] 選項中選取 [選取的安全組]。 選取 [ 編輯物件]。 新增您先前建立的 Microsoft Entra ID 安全組(例如 Finance Team File Share)。 我們會使用此群組來管理使用生命週期工作流程存取內部部署應用程式的存取權,並在後續步驟中存取套件。

    [搜尋] 文字框中有一個結果,以及 [選取] 中群組的 [群組範圍] 螢幕快照。

指派內部部署檔伺服器的存取權

  1. 在選取的文件伺服器上建立檔案共用。
  2. 將讀取許可權指派給您布建至 Active Directory 的 Microsoft Entra ID 安全組(例如 Finance Team File Share)。

為每個應用程式建立遠端存取套件

請依照以下步驟在權利管理中建立存取套件:

  1. 以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別治理]>[權利管理]>[存取套件]

  3. 選取 [新增存取套件]

  4. 針對 [基本] ,為存取套件提供名稱(例如 Finance Apps 存取套件)。 指定您先前建立的目錄。

  5. 針對 [資源角色],選取您先前新增的資源(例如 FileServer1 應用程式和 Finance Team File Share 安全組)。

  6. 在 [角色] 中,選取 [財務小組檔案共享的成員] 和 [FileServer1 應用程式的使用者]。

    資源清單的螢幕快照。紅色方塊強調 [角色] 數據行。

  7. 針對 [要求],選取[針對目錄中的使用者]。 或者,啟用來賓使用者的存取套件(可在個別案例中討論)。

  8. 如果您選取 [特定使用者與群組],請選取 [新增使用者與群組]

  9. 請勿在 [選取使用者和群組] 上選取使用者。 我們稍後會測試要求存取的使用者。

  10. 選用:在 [核准] 中,指定當使用者要求此存取套件時是否需要核准。

  11. 選擇性:[要求者資訊] 中,選取 [ 問題]。 輸入您想要詢問要求者的問題。 這個問題稱為顯示字串。 若要新增當地語系化選項,請選取 [新增本地化]。

  12. 針對[生命週期],請指定使用者對存取套件的指派何時到期。 指定使用者是否可以將指派延期。 針對 [到期],將 [存取套件指派] 到期設定為 [日期]、[天數]、[時數] 或 [永不]

  13. 選取 建立

    [新增存取套件]、[檢閱建立] 的螢幕快照,其中紅色方塊醒目提示 [建立] 控件。

建立生命週期工作流程

在本節中,我們將說明如何建立聯結器和離開者工作流程,並視需要執行工作流程。

建立聯結器工作流程

若要建立聯結器工作流程,請遵循下列步驟。

  1. 以至少生命週期工作流程系統管理員的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別治理] > [生命週期工作流程] > [建立工作流程]

  3. 針對 [ 選擇工作流程],選取 [ 讓新進員工上線]。

    身分識別治理、生命週期工作流程、建立工作流程、選擇工作流程的螢幕快照。

  4. 針對 [基本] 輸入 [上線新進員工] -- 工作流程 顯示名稱和描述的財務。 選取 [下一步]。

  5. 針對 [設定範圍>規則],輸入 PropertyOperatorValue 的值。 將範圍的表達式變更為只有屬性>具有 Finance的使用者。 請確定您的測試使用者以 Finance 字串填入 Property,使其位於工作流程範圍中。

    [規則] 檢視的螢幕快照,其中紅色方塊醒目提示 [值] 控件。

  6. 在 [檢閱工作] 上,選取 [新增工作] 以將工作新增至範本。 在此案例中,我們會新增 要求使用者存取套件指派

  7. 針對 [ 基本概念],選取 [ 要求使用者存取套件指派]。 將名稱指派給這項工作(例如 指派財務存取套件)。 選取原則。

  8. 在 [ 設定] 中,選取您先前建立的存取套件。

  9. 選擇性: 新增其他聯結器工作,如下所示。 針對其中一些工作,請確定管理員和電子郵件等重要屬性會正確對應至使用者,如使用生命週期工作流程 API 將員工上架工作自動化前所述。

    • 啟用使用者帳戶
    • 將使用者新增至群組或小組
    • 傳送歡迎電子郵件
    • 產生 TAP 並傳送電子郵件

  10. 選取 [ 啟用排程]。

    [檢閱建立] 類別中新項目的螢幕快照,其中紅色方塊醒目提示 [檢閱工作] 區段。

  11. 選取 [檢閱 + 建立]。

建立 leaver 工作流程

若要建立離開者工作流程,請遵循下列步驟。

  1. 以至少生命週期工作流程系統管理員的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別治理] > [生命週期工作流程] > [建立工作流程]

  3. [選擇工作流程] 上,選取 [下架員工]。

    [選擇工作流程] 的螢幕快照,其中紅色方塊醒目提示 Leaver 卡片。

  4. 在 [ 基本] 上,輸入 [下架員工] -- 財務 作為工作流程的顯示名稱和描述。 選取 [下一步]。

  5. 在 [設定範圍> 上,輸入 PropertyOperatorValue 的值。 將範圍的表達式變更為只有屬性>具有 Finance的使用者。 請確定您的測試使用者以 Finance 字串填入 Property,使其位於工作流程範圍中。

    [規則] 檢視的螢幕快照,其中紅色方塊醒目提示 [值] 控件。

  6. 在 [檢閱工作] 上,選取 [新增工作] 以將工作新增至範本。 在此案例中,我們會新增 要求使用者存取套件指派

  7. 選擇性: 新增其他離開任務,例如:

    • 停用使用者帳戶
    • 從所有群組中移除使用者
    • 從所有小組中移除使用者

  8. 在 [啟用排程]切換。

    在 Leaver 類別中建立新項目的螢幕快照,其中紅色方塊醒目提示 [檢閱工作] 區段。

  9. 選取 [檢閱 + 建立] 。

注意

生命週期工作流程會根據結合以時間為基礎的屬性和位移值的已定義觸發程式自動執行。 例如,如果 屬性是 且 employeeHireDateoffsetInDays -1,則工作流程應該在員工僱用日期前一天觸發。 此值的範圍可介於 -180 到 180 天之間。 和的值employeeHireDateemployeeLeaveDateTime必須在使用者Microsoft Entra ID 內設定。 如何同步處理生命週期工作流程 的屬性,提供有關屬性和程式的詳細資訊。

視需要執行聯結程式工作流程

若要測試此案例,而不需等待自動化排程,請執行隨選生命週期工作流程。

  1. 起始先前建立的聯結器工作流程。

  2. 以至少生命週期工作流程系統管理員的身分登入 Microsoft Entra 系統管理中心

  3. 瀏覽至 [身分識別治理]>[生命週期工作流程]>[工作流程]

  4. 在 [工作流程] 上,選取 [讓新進員工上線] -- 您先前建立的財務

  5. 選取 [ 隨選執行]。

  6. 在 [選取使用者] 上,選取 [新增使用者]。

  7. 在 [ 新增使用者] 上,選取您想要執行隨選工作流程的使用者。

  8. 選取 [新增]。

  9. 確認您的選擇。 選取 [執行工作流程]

  10. 選取 [工作流程歷程記錄 ] 以確認工作狀態。

    工作流程歷程記錄的螢幕快照,顯示工作狀態的用戶摘要。

  11. 完成所有工作之後,請確認使用者可存取您在存取套件中選取的應用程式。 此步驟會完成使用者第一天存取必要應用程式的聯結程式案例。

驗證每個應用程式的遠端存取權

在本節中,我們會模擬財務小組加入組織的新成員。 我們會使用 Microsoft Entra 私人存取,自動將使用者存取權指派給 Finance Team 檔案共用,以及遠端存取檔案伺服器。

本節說明驗證已指派資源的存取權的選項。

確認存取套件指派

若要確認存取套件指派狀態,請遵循下列步驟:

  1. 以使用者身分登入 myaccess.microsoft.com

  2. 選取 [ 存取套件]、 [作用中 ] 以查看您先前要求的存取套件 (例如 Finance Access Package)。

    [我的存取]、[存取套件]、[使用中] 的螢幕快照。

確認應用程式存取

若要驗證應用程式存取權,請遵循下列步驟:

  1. 以使用者身分登入 myaccess.microsoft.com

  2. 在應用程式清單中,尋找並存取您先前建立的應用程式(例如 Finance App)。

    我的應用程式 Finance Apps 的螢幕快照。

確認群組成員資格

若要確認群組成員資格,請遵循下列步驟:

  1. 以使用者身分登入 myaccess.microsoft.com

  2. 選取 [我位於的群組]。 確認您先前建立的群組成員資格(例如 財務會計)。

    [我的群組]、[我的群組] 的螢幕快照,其中已輸入財務的 [篩選] 文本框中,顯示 131 的 2。

確認 Teams 成員資格

若要確認Teams成員資格,請遵循下列步驟:

  1. 以使用者身分登入 Teams

  2. 確認您先前建立的小組成員資格(例如 財務會計)。

    Teams 的螢幕快照,其中顯示Teams中的財務會計。

確認遠端訪問

若要驗證使用者對檔案伺服器的存取權,請遵循下列步驟:

  1. 登入您安裝全球安全存取代理程式的裝置。

  2. 執行 \\\IP_address 並驗證檔案共用的存取權。

    顯示檔案共享連線的 Windows 檔案總管螢幕快照。

視需要執行 leaver 工作流程

  1. 以至少生命週期工作流程系統管理員的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別治理]>[生命週期工作流程]>[工作流程]

  3. 在 [工作流程] 上,選取 您在離職步驟中建立的員工 - 財務 工作流程。

  4. 選取 [ 隨選執行]。

  5. 在 [選取使用者] 上,選取 [新增使用者]。

  6. 在 [ 新增使用者] 上,選取您想要執行隨選工作流程的使用者。

  7. 選取 [新增]。

  8. 確認您的選擇,然後選取 [執行工作流程]

  9. 選取 [工作流程歷程記錄 ] 以確認工作狀態。

    關閉員工活動螢幕快照,其中紅色方塊醒目提示顯示 [使用者摘要] 的工作流程歷程記錄控件。

  10. 完成所有工作之後,請驗證使用者是否已從存取套件中選取之應用程式的所有存取權中移除。

驗證存取移除

執行離開工作流程之後,請重複驗證應用程式存取和驗證遠端訪問區段中的步驟,確認移除使用者對財務應用程式、財務小組、SharePoint 網站和檔案共用的存取權。 此步驟可確保防止使用者存取這些資源的完整驗證。

相關內容