共用方式為

Microsoft Entra ID 如何為內部部署工作負載提供雲端治理管理

  • 發行項

Microsoft Entra ID 是全方位的身分識別即服務 (IDaaS) 解決方案,有數百萬的組織選擇使用,功能涵蓋身分識別、存取管理和安全性的所有層面。 Microsoft Entra ID 保存超過 10 億個使用者身分識別,並協助使用者登入並安全地存取下列兩種資源:

  • 外部資源,例如 Microsoft 365、Microsoft Entra 系統管理中心和其他數千個軟體即服務 (SaaS) 應用程式。
  • 內部資源,例如組織公司網路和內部網路上的應用程式,以及組織所開發的任何雲端應用程式。

如果組織採用「純雲端」部署,或是擁有內部部署工作負載的「混合式」部署,則可以使用 Microsoft Entra ID。 Microsoft Entra ID 的混合式部署可做為組織將 IT 資產移轉至雲端的策略之一,或繼續整合現有的內部部署基礎結構與新的雲端服務。

在過去,「混合式」組織將 Microsoft Entra ID 視為其現有內部部署基礎結構的延伸。 在這些部署中,內部部署的身分識別治理管理、Windows Server Active Directory 或其他內部目錄系統都是控制點,而使用者和群組會從這些系統同步到雲端目錄,例如 Microsoft Entra ID。 當這些身分識別位於雲端時,就可以提供給 Microsoft 365、Azure 和其他應用程式使用。

身分識別生命週期

當組織將更多的 IT 基礎結構及其應用程式移至雲端時,許多組織都希望透過身分識別管理即服務來提升安全性並簡化管理功能。 Microsoft Entra ID 的雲端 IDaaS 功能可提供解決方案和功能,讓組織能夠快速將更多的身分識別管理從傳統內部部署系統移至 Microsoft Entra ID,同時繼續支援現有和新的應用程式,藉此加速轉換至雲端管理的流程。

本白皮書概述 Microsoft 的混合式 IDaaS 策略,並說明組織如何運用 Microsoft Entra ID 協助現有的應用程式。

Microsoft Entra ID 的雲端受控身分識別管理方法

當組織轉換至雲端後,將需要確保自己能夠掌控整個環境:更安全且更容易掌握活動,並運用自動化和主動式深入解析的支援。 「雲端治理管理」說明組織如何從雲端管理和治理其使用者、應用程式、群組和裝置。

在這個現代化的世界中,由於 SaaS 應用程式的激增,以及共同作業和外部身分識別的重要性不斷提高,因此組織必須能夠大規模地進行管理。 雲端的新風險環境表示組織必須更具回應能力,危害雲端使用者的惡意執行者可能會影響雲端和內部部署應用程式。

尤其混合式組織必須能夠委派和自動化工作,這在過去都是以手動方式進行。 為了將工作自動化,組織需要 API 和程式來協調不同身分識別相關資源 (使用者、群組、應用程式、裝置) 的生命週期,藉此將這些資源的日常管理工作委派給核心 IT 人員以外的其他人。 Microsoft Entra ID 可透過使用者帳戶管理和原生驗證來解決這些需求,而不需要內部部署身分識別的基礎結構。 若組織中有不是源自內部部署目錄的新使用者 (例如商業夥伴),而,但這些存取管理對於達成業務成果至關重要,則不建立內部部署基礎結構就能提供優勢。

此外,治理是管理不可或缺的一部份,而現今的治理屬於身分識別系統的一環,而不只是附加元件。 身分識別治理可讓組織管理員工、商業夥伴和廠商,以及服務和應用程式之間的身分識別和存取生命週期。

整合身分識別治理可讓組織更輕鬆地轉換至雲端治理管理、讓 IT 能夠調整規模、解決來賓的新挑戰,並提供比客戶內部部署基礎結構更深入的見解和自動化。 新時代的治理表示組織在存取組織內的資源時,擁有透明、清晰和適當的控制能力。 透過 Microsoft Entra ID,安全性作業和稽核小組就能掌握誰擁有以及誰應該在哪些裝置上存取組織中的哪些資源、這些使用者如何使用該存取權,以及組織是否擁有並使用適當的控制項來移除或限制存取權,以符合公司或法規政策。

新的管理模型可讓擁有 SaaS 和企業營運 (LOB) 應用程式的組織受益,因為能夠更容易管理及保護這些應用程式的存取權。 藉由整合應用程式與 Microsoft Entra ID,組織將能一致地使用及管理雲端和內部部署的存取權。 應用程式生命週期管理變得更自動化,且 Microsoft Entra ID 可提供豐富的應用程式使用量的深入解析,這是在內部部署身分識別管理中無法輕鬆實現的功能。 透過 Microsoft Entra ID、Microsoft 365 群組和 Teams 自助功能,組織可以輕鬆建立用於存取管理和共同作業的群組,並在雲端中新增或移除使用者,以支援共同作業和存取管理需求。

根據要使用的應用程式,為雲端治理的管理選取適當的 Microsoft Entra 功能,以及這些應用程式與 Microsoft Entra ID 整合的方式。 下列各節概述 AD 整合應用程式的方法,以及使用同盟通訊協定的應用程式 (例如 SAML、OAuth 或 OpenID Connect)。

適用於 AD 整合式應用程式的雲端治理管理

Microsoft Entra ID 透過安全的遠端存取以及針對這些應用程式的條件式存取,改善組織與 Active Directory 整合的內部部署應用程式管理。 此外,Microsoft Entra ID 也為使用者現有的 AD 帳戶提供帳戶生命週期管理和認證管理,包括:

  • 內部部署應用程式的安全遠端存取與條件式存取

對許多組織而言,管理從雲端存取內部部署 AD 整合 Web 和遠端桌面應用程式的第一個步驟,就是在這些應用程式前方部署應用程式 Proxy,以提供安全的遠端存取。

單一登入 Microsoft Entra ID 之後,使用者可透過外部 URL 或內部應用程式入口網站來存取雲端與內部部署應用程式。 例如,應用程式 Proxy 可以為遠端桌面、SharePoint,以及 Tableau、Qlik 和企業營運 (LOB) 應用程式提供遠端存取和單一登入。 除此之外,條件式存取原則可以包含先顯示使用規定確保使用者必須先同意這些規定,才能夠存取應用程式。

應用程式 Proxy 結構

  • Active Directory 帳戶的自動生命週期管理

身分識別治理可協助組織取得以下兩者之間的平衡:「生產力」 - 人員存取所需資源的速度,例如使用者何時加入組織? 以及「安全性」 - 使用者的存取權應如何隨著時間變更?例如當該人員的雇用狀態變更時嗎? 身分識別生命週期管理是身分識別控管的基礎,而大規模有效控管必須使應用程式的身分識別生命週期管理基礎結構現代化。

對許多組織來說,員工的身分識別生命週期會繫結到該使用者在人力資本管理 (HCM) 系統中的代表項目。 針對使用 Workday 作為 HCM 系統的組織,Microsoft Entra ID 可以確保 AD 中的使用者帳戶在 Workday 中自動佈建和取消佈建。 如此可透過自動化的原始帳戶來提升使用者生產力,並藉由確保使用者變更角色或離開組織時,自動更新應用程式存取權以管理風險。 Workday 驅動的使用者佈建部署計劃是逐步指南,可引導組織透過五個步驟的流程,利用 Workday 的最佳作法來實作 Active Directory 使用者佈建解決方案。

Microsoft Entra ID Premium P1 或 P2 也包含 Microsoft Identity Manager,其可從其他內部部署 HCM 系統匯入記錄,包括 SAP、Oracle eBusiness 和 PeopleSoft。

企業對企業的共同作業日益需要將存取權授與組織外部人員。 Microsoft Entra B2B 共同作業可讓組織與來賓使用者和外部夥伴安全共用組織的應用程式與服務,同時持續控制其公司資料。

Microsoft Entra ID 可以在必要時自動為來賓使用者建立 AD 帳戶,讓商務來賓存取整合 AD 的內部部署應用程式,而不需要其他密碼。 組織可以為來賓使用者設定多重要素驗證原則,以便在應用程式 Proxy 驗證期間完成 MFA 檢查。 此外,在雲端 B2B 使用者上完成的任何存取權檢閱都適用於內部部署使用者。 例如,如果雲端使用者是透過生命週期管理原則刪除,則內部部署使用者也會一併刪除。

Active Directory 帳戶的認證管理

Microsoft Entra ID 中的自助式密碼重設功能,可讓忘記密碼的使用者重新驗證及重設其密碼,並將變更的密碼寫入內部部署的 Active Directory。 密碼重設流程也可以使用內部部署的 Active Directory 密碼原則:當使用者重設其密碼時,系統會進行檢查以確保此動作符合內部部署 Active Directory 原則,然後才將此動作認可至該目錄。 自助式密碼重設部署計劃概述透過 Web 和 Windows 整合式體驗,為使用者提供自助式密碼重設的最佳作法。

Microsoft Entra SSPR 結構

最後,對於允許使用者在 AD 中變更其密碼的組織,可以透過 Microsoft Entra 密碼保護功能 (目前處於公開預覽狀態) 設定 AD 以使用組織在 Microsoft Entra ID 中採用的相同密碼原則。

當組織準備好透過將裝載應用程式的作業系統移至 Azure,以將整合 AD 的應用程式移至雲端時,Microsoft Entra Domain Services 會提供與 AD 相容的網域服務 (例如網域加入、群組原則、LDAP 和 Kerberos/NTLM 驗證)。 Microsoft Entra Domain Services 與組織現有的 Microsoft Entra 租用戶整合,因此能讓使用者使用其公司認證登入。 此外,您可以使用現有的群組和使用者帳戶安全地存取資源,以確保更順暢地將內部部署資源「隨即轉移」(lift-and-shift) 至 Azure 基礎結構服務。

Microsoft Entra 網域服務

適用於內部部署同盟應用程式的雲端治理管理

對於已經使用內部部署識別提供者的組織而言,將應用程式移至 Microsoft Entra ID 可提供更安全的存取,並獲得更輕鬆的同盟管理體驗。 Microsoft Entra ID 可讓您使用 Microsoft Entra 條件式存取來設定細微的個別應用程式存取控制,包括 Microsoft Entra 多重要素驗證。 Microsoft Entra ID 支援更多功能,包括應用程式特定的權杖簽署憑證,以及可設定的憑證到期日。 這些功能、工具和指引可讓組織淘汰其內部部署的識別提供者。 以 Microsoft 自身的 IT 為例,已經將 17987 個應用程式從 Microsoft 的內部 Active Directory 同盟服務 (AD FS) 移至 Microsoft Entra ID。

Microsoft Entra 演進

若要開始將同盟應用程式移轉至 Microsoft Entra ID 作為身分識別提供者,請參閱 https://aka.ms/migrateapps,其中包含下列連結:

  • 白皮書將您的應用程式移轉至 Microsoft Entra ID 可提供移轉的優點,並以下列四個清楚描述的階段,說明如何規劃移轉:探索、分類、移轉和持續管理。 您將會透過逐步引導了解如何思考流程,並將專案細分成容易實踐的片段。 此文件全篇都有在過程中可協助您的重要資源連結。

  • 解決方案指南將應用程式驗證從 Active Directory 同盟服務移轉至 Microsoft Entra ID 會更詳細探索規劃和執行應用程式移轉專案的四個階段。 在此指南中,您將了解如何針對將 Active Directory 同盟服務 (AD FS) 應用程式移至 Microsoft Entra ID 的特定目標套用這些階段。

  • 您可以在現有的內部部署 Active Directory 同盟服務 (AD FS) 伺服器上執行 Active Directory 同盟服務移轉整備指令碼,以判斷要移轉至 Microsoft Entra ID 的應用程式是否已就緒。

跨雲端和內部部署應用程式的持續存取管理

組織需要一個可調整的存取權管理流程。 使用者會繼續累積存取權,並最終超過最初佈建的權限。 此外,企業組織必須能夠有效率地進行調整才能持續開發,並強制執行存取原則和控制項。

一般而言,IT 會將存取核准決策委派給商務決策者。 此外,IT 可能是使用者本身。 例如,存取歐洲境內公司行銷應用程式中的機密客戶資料的使用者需要知道公司的原則。 來賓使用者可能也不知道邀請組織中的資料處理需求。

組織可以透過組動態成員資格群組等技術,將存取生命週期流程自動化,搭配將使用者佈建到 SaaS 應用程式,或使用適用於跨網域身分識別管理系統 (SCIM) 標準整合的應用程式。 組織也可以控制哪些來賓使用者能夠存取內部部署應用程式。 接著可以利用週期性 Microsoft Entra 存取權檢閱,定期檢閱這些存取權限。

未來方向

在混合式環境中,Microsoft 的策略是為了讓部署支援雲端作為身分識別的控制平面,而內部部署目錄和其他身分識別系統 (例如 Active Directory 和其他內部部署應用程式),則是佈建使用者存取的目標。 此策略將繼續確保這些應用程式中的權限、身分識別和存取權,以及這些應用程式和工作負載的存取權都依賴於平台。 最終,組織將能夠完全從雲端推動終端使用者的生產力。

Microsoft Entra 結構

下一步

如需有關如何開始此旅程的詳細資訊,請參閱 Microsoft Entra 部署計劃。 這些計劃提供部署 Microsoft Entra 功能的端對端指引。 每個方案都會說明常見 Microsoft Entra 功能的商業價值、規劃考慮、設計,以及成功推出所需的作業程序。 Microsoft 會持續根據在客戶部署中學習到的最佳做法,以及新增可透過 Microsoft Entra ID 從雲端管理的新功能時收集到的其他意見來更新部署計劃。