定義身分識別管理
身分識別管理是指在身分識別的存留期內如何管理身分識別物件。 可以手動或自動管理。 無論如何都必須完成。 以下簡單舉例說明不治理和管理身分識別會怎樣。
故事 - 身分識別的一生
您有名為 Juan 的使用者。 Juan 在您的公司內有帳戶,任職多年。 在那段期間,使用者有管理員存取權可部署應用程式。 後來,Juan 善意離職,但系統中從未移除帳戶。 經理忘記提交書面資料來關閉帳戶。 缺少既有的控管系統,而無法發現該帳戶閒置,而且 Juan 不再列於 HR 系統中。 一年後,Juan 成為網路釣魚電子郵件的犧牲者,個人使用者名稱和密碼遭竊。 就像許多人一樣,Juan 的個人生活和公司帳戶使用相似的密碼。 意外吧,現在您的系統可能被入侵。 攻擊來自看似有效的帳戶!
身分識別管理支援
- 配合商務程序來妥善設定系統
- 依需求而靈活縮放資源
- 透過分散式和自動化管理來節省成本
- 靈活的同步、擴散和變更控制
常見的身分識別管理工作
身分識別管理期間執行許多常見的工作。
身分識別擴散 - 關於在環境內儲存識別物件。 組織的身分識別通常分散各處,例如 Active Directory、其他目錄服務,以及應用程式專用的身分識別存放區。
佈建和取消條款 - 實際上是兩個不同的功能。 佈建是指如何在系統內建立身分識別物件。 取消佈建強調移除身分識別的存取權 (刪除、停用安全性準則或移除存取權)。
身分識別更新 - 關於如何在整個環境中更新身分識別資訊。 目的是不要手動,改為更自動和簡化的方法。
同步 - 確保環境內的身分識別系統隨時取得最新的身分識別資訊。 此資訊通常攸關如何決定存取權。 影響此功能的關鍵在於如何執行同步,可能是手動、定時或由事件驅動。
密碼管理 - 強調在整個身分識別基礎結構中何處和如何設定密碼。 在大部分組織中,服務台仍然是忘記密碼時的聯絡點。
群組管理 - 強調組織如何在其環境內管理群組 (例如,Active Directory 和/或 LDAP)。 決定對資源的存取權限時,群組是最常見的形式之一,管理和操作所費不貲。
應用程式權利管理 - 指如何授與身分識別對應用程式的存取權。 強調提供粗略的應用程式權利,而這些權利當成「授權」要素包含的功能來實施。 反之,細部權利當成身分識別相關的屬性來管理。
使用者介面 - 使用者如何要求或自行更新其身分識別資訊。 在許多環境中,使用者仍舊連絡服務台來更新其身分識別資訊。
變更控制 - 此功能強調變更如何流經環境,無論是否由服務台專業人員手動完成。 不論有無推動變更程序的工作流程,皆可自動化。 有些組織仍傳送電子郵件以完成要求,而有些組織以豐富又成熟的流程來執行變更。
身分識別管理自動化
| PowerShell | 命令列介面 (Command Line Interface, CLI) |
|---|---|
| 跨平台 PowerShell,在 Windows、macOS、Linux 上執行 | 跨平台命令列介面,可在 Windows、macOS、Linux 上安裝 |
| 需要 Windows PowerShell 或 PowerShell | 在 Windows PowerShell、命令提示字元或 Bash 和其他 Unix 殼層中執行 |
| 指令碼語言 | 動作 | Command |
|---|---|---|
| Azure CLI | 建立使用者 | az ad user create --display-name "New User" --password "Password" --user-principal-name NewUser@contoso.com |
| Microsoft Graph | 建立使用者 | New-MgUser -DisplayName "New User" -PasswordProfile Password -UserPrincipalName "NewUser@contoso.com" -AccountEnabled $true -MailNickName "Newuser“ |
挑選正確的工具時,請考慮過去經驗和目前的工作環境。 Azure CLI 語法類似於 Bash 指令碼的語法。 如果您主要使用 Linux 系統,Azure CLI 會讓您感覺更自然。 PowerShell 是 Microsoft 指令碼引擎。 如果您主要使用 Windows 系統,則 PowerShell 自然適合。 命令遵循動詞-名詞命名配置,而資料以物件形式傳回。
Microsoft Graph
Microsoft Graph 公開 REST API 和用戶端程式庫,以存取下列 Microsoft 雲端服務上的資料,例如 Microsoft Entra ID、Microsoft 365、裝置及其他許多服務。
Microsoft Graph API 提供單一端點
https://graph.microsoft.com,以支援存取 Microsoft 雲端上豐富、以人為本的資料和見解,包括Microsoft 365、Windows 10 和 Enterprise Mobility + Security。 您可以使用 REST API 或 SDK 來存取端點,並建立支援 Microsoft 365 情節的應用程式。 存取的範圍涵蓋生產力、共同作業及教育。 Microsoft Graph 也包含一組功能強大的服務,可管理使用者和裝置身分識別。 您可以決定和設定存取、合規性、安全性,並協助保護組織免於資料外洩或遺失。Microsoft Graph 連接器以傳入方向運作,將 Microsoft 雲端外部的資料傳遞至 Microsoft Graph 服務和應用程式,以加強 Microsoft 365 體驗,例如 Microsoft 搜尋。 連接器適用於許多常用的資料來源,例如 Box、Google 雲端硬碟、Jira 和 Salesforce。
Microsoft Graph 資料連線提供一組工具,可簡化將 Microsoft Graph 資料傳遞至常用的 Azure 資料存放區,安全又可調整。 快取資料可作為 Azure 開發工具的資料來源,可用於組建智慧型應用程式。
Microsoft Graph API、連接器和資料連線一起支援 Microsoft 雲端服務平台。 您可以存取 Microsoft Graph 資料和其他資料集,以衍生見解和分析,並建立獨特的智慧型應用程式,以擴充 Azure 和 Microsoft 365。