Microsoft Entra 部署案例 - 所有應用程式的員工和來賓上線、身分識別,以及存取生命週期治理
Microsoft Entra 部署案例提供如何結合及測試這些 Microsoft Entra Suite 產品的詳細指導:
- Microsoft Entra ID Protection
- Microsoft Entra ID 控管
- Microsoft Entra 驗證識別碼 (進階功能)
- Microsoft Entra 網際網路存取
- Microsoft Entra 私人存取
在這些指南中,我們會描述顯示 Microsoft Entra Suite 值及其功能如何一起運作的案例。
- Microsoft Entra 部署案例簡介
- Microsoft Entra 部署案例 - 使用每個應用程式 MFA 將遠端存取現代化至內部部署應用程式
- Microsoft Entra 部署案例 - 根據業務需求保護因特網存取
案例概觀
在本指南中,我們將說明如何為虛構組織 Contoso 想要僱用新遠端員工並提供必要應用程式和資源的安全且順暢存取的案例,設定Microsoft Entra Suite 產品。 他們想要邀請外部使用者,並與外部使用者共同作業(例如合作夥伴、廠商或客戶),並提供他們相關應用程式和資源的存取權。
Contoso 會使用 Microsoft Entra 驗證識別碼,針對新遠端員工(根據人力資源數據)和外部使用者(根據電子郵件邀請)發出和驗證身分識別和狀態的數字證明。 數位錢包會儲存身分識別證明和狀態,以允許存取應用程式和資源。 作為額外的安全性措施,Contoso 可能會根據認證儲存的圖片,使用臉部檢查臉部辨識來驗證身分識別。
他們使用 Microsoft Entra ID 控管,根據可驗證的認證,為員工和外部使用者建立和授與存取套件。
- 對於員工,他們會根據作業功能和部門來存取套件。 存取套件包括員工需要存取的雲端和內部部署應用程式和資源。
- 對於外部共同作業者,他們會以邀請為基礎存取套件,以定義外部使用者角色和許可權。 存取套件只包含外部使用者需要存取的應用程式和資源。
員工和外部使用者可以透過自助入口網站要求存取套件,讓他們提供數位證明作為身分識別驗證。 透過單一登錄和多重要素驗證,員工和外部使用者Microsoft Entra 帳戶會提供其存取套件包含的應用程式和資源存取權。 Contoso 會驗證認證並授與存取套件,而不需要手動核准或布建。
Contoso 會使用 Microsoft Entra ID Protection 和條件式存取,監視和保護帳戶免於有風險的登入和用戶行為。 它們會根據位置、裝置和風險層級強制執行適當的訪問控制。
設定先決條件
若要成功部署及測試解決方案,請設定本節所述的必要條件。
設定 Microsoft Entra 已驗證的識別碼
在此案例中,請完成下列必要步驟,以使用快速設定來設定 Microsoft Entra 驗證識別碼 (預覽):
遵循新增自定義網域一文中的 步驟,註冊自定義網域 (快速設定所需的網域)。
以全域管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。
- 選取 [已驗證的識別碼]。
- 選取 [設定]。
- 選取開始使用。
如果您的Microsoft Entra 租用戶註冊了多個網域,請選取您想要用於 [已驗證標識符] 的網域。
設定程式完成之後,您會在其 [我的帳戶 ] 頁面上看到可供編輯並提供給租使用者員工的預設工作場所認證。
使用其Microsoft Entra 認證登入測試使用者的 「我的帳戶 」。 選取 [取得已驗證的標識符 ] 以發出已驗證的工作場所認證。
![[我的帳戶]、[概觀] 的螢幕快照,其中紅色省略號醒目提示 [取得已驗證的標識符] 控件。](media/deployment-scenario-workforce-guest/verifiable-credentials-my-account-issue-inline.png)
![[我的帳戶]、[概觀] 的螢幕快照,其中紅色省略號醒目提示 [取得已驗證的標識符] 控件。](media/deployment-scenario-workforce-guest/verifiable-credentials-my-account-issue-expanded.png#lightbox)
新增信任的外部組織 (B2B)
請遵循下列必要條件步驟,為案例新增受信任的外部組織 (B2B)。
至少以安全性系統管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別]>[外部身分識別]>[跨租用戶存取設定]。 選取 [組織設定]。
選取 [新增組織]。
輸入組織的完整功能變數名稱(或租用戶標識符)。
選取搜尋結果中的組織。 選取 [新增]。
在 [組織設定] 中 ,確認新組織 (從預設設定繼承其存取設定)。
![[組織設定] 的螢幕快照,其中紅色方塊醒目提示 [輸入存取] 和 [輸出存取] 數據行中的 [繼承自預設值]。](media/deployment-scenario-workforce-guest/org-specific-settings-inherited-inline.png)
![[組織設定] 的螢幕快照,其中紅色方塊醒目提示 [輸入存取] 和 [輸出存取] 數據行中的 [繼承自預設值]。](media/deployment-scenario-workforce-guest/org-specific-settings-inherited-expanded.png#lightbox)
建立目錄
請遵循下列步驟來建立案例的權利管理目錄。
以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別治理] > [權利管理] > [目錄]。
選取 [+新增目錄]。
輸入目錄的唯一名稱和描述。 要求者會在存取套件的詳細數據中看到這項資訊。
若要僅針對內部使用者在此目錄中建立存取套件,請選取 [為外部使用者>啟用否]。
在 [目錄] 上,開啟您要新增資源的目錄。 選取 [資源>][+新增資源]。
選取 [類型],然後選取 [群組] 和 [Teams]、[應用程式] 或 [SharePoint 網站]。
選取您要新增至目錄的一或多個類型資源。 選取 [新增]。
建立存取套件
若要成功部署及測試解決方案,請設定本節中所述的存取套件。
遠端使用者的存取套件 (內部)
請遵循下列步驟,在權利管理中建立具有遠端(內部)用戶已驗證標識符的存取套件。
以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別治理]>[權利管理]>[存取套件]。
選取 [新增存取套件]。
針對 基本概念,為存取套件提供名稱(例如 Finance Apps for Remote Users)。 指定您先前建立的目錄。
針對 [ 資源角色],選取資源類型(例如:群組和 Teams、應用程式、SharePoint 網站)。 選取一或多個資源。
在 [ 角色] 中,選取您要指派給每個資源之使用者的角色。
![資源角色的螢幕快照,其中紅色方塊醒目提示 [角色] 數據行。](media/deployment-scenario-workforce-guest/resource-roles-inline.png)
針對 [要求],選取[針對目錄中的使用者]。
在 [ 選取使用者和群組] 中,選取 目錄中的 [使用者]。 選取 [+ 新增使用者和群組]。 選取有權要求存取套件的現有群組。
捲動至 必要的已驗證標識碼。
選取 [+ 新增簽發者]。 從 Microsoft Entra 驗證識別碼 網路選取簽發者。 請確定您從來賓錢包中現有的已驗證身分識別中選取簽發者。
選擇性:在 [核准] 中,指定使用者要求存取套件時是否需要核准。
選擇性: 在 [要求者資訊] 中,選取 [ 問題]。 輸入您想要詢問要求者的問題(稱為顯示字串)。 若要新增當地語系化選項,請選取 [新增本地化]。
針對[生命週期],請指定使用者對存取套件的指派何時到期。 指定使用者是否可以將指派延期。 針對 [到期],將 [存取套件指派] 到期設定為 [日期]、[天數]、[時數] 或 [永不]。
在 [存取權檢閱] 中,選取 [是]。
在 [開始] 中,選取目前的日期。 將 [檢閱頻率] 設定為 [每季]。 將 [持續時間] 設定為 21。
![資源角色的螢幕快照,其中紅色方塊醒目提示 [角色] 數據行。](media/deployment-scenario-workforce-guest/resource-roles.png#lightbox)
來賓的存取套件 (B2B)
請遵循下列步驟,在權利管理中建立具有來賓驗證標識碼 (B2B) 的存取套件。
以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別治理]>[權利管理]>[存取套件]。
選取 [新增存取套件]。
針對 基本概念,為存取套件提供名稱(例如 Finance Apps for Remote Users)。 指定您先前建立的目錄。
針對 [ 資源角色],選取資源類型(例如:群組和 Teams、應用程式、SharePoint 網站)。 選取一或多個資源。
在 [ 角色] 中,選取您要指派給每個資源之使用者的角色。
針對 [ 要求],選取 [針對不在目錄中的使用者]。
選取 [ 特定已連線的組織]。 若要從您先前新增的已連線組織清單中選取,請選取 [ 新增目錄]。
輸入名稱或網域名稱,以搜尋先前已連線的組織。
捲動至 必要的已驗證標識碼。
選取 [+ 新增簽發者]。 從 Microsoft Entra 驗證識別碼 網路選取簽發者。 請確定您從來賓錢包中現有的已驗證身分識別中選取簽發者。
選擇性:在 [核准] 中,指定使用者要求存取套件時是否需要核准。
選擇性: 在 [要求者資訊] 中,選取 [ 問題]。 輸入您想要詢問要求者的問題(稱為顯示字串)。 若要新增當地語系化選項,請選取 [新增本地化]。
針對[生命週期],請指定使用者對存取套件的指派何時到期。 指定使用者是否可以將指派延期。 針對 [到期],將 [存取套件指派] 到期設定為 [日期]、[天數]、[時數] 或 [永不]。
在 [存取權檢閱] 中,選取 [是]。
在 [開始] 中,選取目前的日期。 將 [檢閱頻率] 設定為 [每季]。 將 [持續時間] 設定為 21。
選取 [ 特定檢閱者]。 選取 [ 自我檢閱]。
![[新增存取套件] 的螢幕快照。](media/deployment-scenario-workforce-guest/new-access-package.png)
建立登入風險型條件式存取原則
至少以條件式存取管理員身分登入 Microsoft Entra 管理中心。
瀏覽至 [保護] > [條件式存取] > [原則]。
選取 [新增原則]。
輸入原則名稱,例如 保護遠端高風險登入用戶的應用程式。
針對 [指派],選取 [ 使用者]。
- 針對 [包含],選取遠端使用者群組或選取所有使用者。
- 針對 [ 排除],選取 [ 使用者和群組]。 選取貴組織的緊急存取權或打破帳戶。
- 選取完成。
針對 [雲端應用程式或動作>包含],選取要以此原則為目標的應用程式。
針對 [條件>登入風險],將 [設定] 設定為 [是]。 針對 [選取此原則將套用的登入風險層級],選取 [高] 和 [中]。
- 選取完成。
針對訪問控制>授與。
- 選取 [授與存取>權需要多重要素驗證]。
針對 [ 工作話],選取 [ 登入頻率]。 選取 [每次]。
確認設定。 選取 [ 啟用原則]。
要求存取套件
設定具有已驗證標識碼需求的存取套件之後,原則範圍內的終端用戶可以在其 「我的存取 」入口網站中要求存取權。 當核准者檢閱核准要求時,他們可以看到要求者出示的已驗證認證宣告。
以遠端使用者或來賓身分登入
myaccess.microsoft.com。搜尋您先前建立的存取套件(例如 適用於遠端使用者的 Finance Apps)。 您可以瀏覽列出的套件,或使用搜尋列。 選取 [ 要求]。
系統會顯示包含訊息的信息橫幅,例如,若要要求存取此存取套件, 您需要出示可驗證的認證。 選取 [要求存取]。 若要啟動 Microsoft Authenticator,請使用手機掃描 QR 代碼。 共用您的認證。
![[我的存取]、[可用]、[存取套件]、[顯示已驗證的標識符]、[QR 代碼] 的螢幕快照。](media/deployment-scenario-workforce-guest/present-verified-id.png)
共用認證之後,請繼續進行核准工作流程。
選擇性: 請遵循 Microsoft Entra ID Protection 指示中的模擬風險偵測。 您可能需要嘗試多次,才能將用戶風險提高到中或高。
嘗試存取您先前為案例建立的應用程式,以確認封鎖的存取。 您可能需要等候最多一個小時才能強制執行區塊。
使用登入記錄來驗證您稍早建立的條件式存取原則封鎖的存取。 從 ZTNA 網路存取用戶端 -- 私人 應用程式開啟非互動式登入記錄。 從您先前建立為資源名稱的 Private Access 應用程式名稱檢視記錄。