什么是 Microsoft Entra ID 治理?

Microsoft Entra ID 治理是一种标识治理解决方案,能够让组织提高工作效率、增强安全性并更轻松地遵守合规性和法规要求。 可以使用 Microsoft Entra ID 治理自动确保合适的人员对正确的资源具有正确的访问权限,实现标识和访问过程自动化、委派到业务组并提高可见性。 借助 Microsoft Entra ID Governance 中包含的功能以及相关 Microsoft Entra、Microsoft 安全和 Azure 产品中的功能,可以通过保护、监视和审核对关键资产的访问来缓解标识和访问风险。

具体而言,Microsoft Entra ID 治理可帮助组织解决以下四个关键问题,以便在本地和云中跨服务和应用程序进行访问:

  • 哪些用户应该有权访问哪些资源?
  • 这些用户使用该访问权限做些什么?
  • 是否存在适当的组织控制措施可用于管理访问权限?
  • 审核员能否验证控制措施是否有效实施?

借助 Microsoft Entra ID 治理,可以为员工、业务合作伙伴和供应商实现以下方案:

  • 监管标识生命周期
  • 监管访问生命周期
  • 保护特权访问以进行管理

标识生命周期

Identity Governance 可帮助组织在以下需求之间实现平衡:工作效率 - 用户可以多快地访问所需的资源(例如在刚入职时)? 安全性 - 用户的访问权限会不断发生怎样的变化(例如,由于该用户的雇佣状态发生变化)? 标识生命周期管理是 Identity Governance 的基石,大规模的有效监管需要将应用程序的标识生命周期管理基础结构现代化。

Identity lifecycle

对于许多组织而言,员工和其他工作人员的标识生命周期与该人员在 HCM(人力资本管理)或 HR 系统中的表示形式密切相关。 组织需要根据来自该系统的信号自动为新员工创建身份,以便该员工在第 1 天就能够高效工作。 员工离开组织时,组织需要确保删除这些标识和访问权限。

在 Microsoft Entra ID 治理中,可以使用以下项自动执行这些个人的标识生命周期:

组织还需要为合作伙伴、供应商和其他来宾提供额外标识,以便他们能够协作或有权访问资源。

在 Microsoft Entra ID 治理中,可以使用以下项让业务组确定哪些来宾应具有访问权限以及其访问时长:

  • 权利管理,可在其中指定允许其用户请求访问组织资源的其他组织。 当其中一个用户的请求获得批准时,权利管理会自动将其作为 B2B 来宾添加到组织的目录中,并为其分配适当的访问权限。 B2B 来宾用户的访问权限过期或被撤销时,权利管理会自动从组织的目录中删除该用户。
  • 访问评审,可对组织中已存在的现有来宾进行定期评审,并在这些用户不再需要访问权限时将其从组织的目录中删除。

访问生命周期

组织需要使用一个流程来管理最初在创建用户标识时未为用户预配的访问权限。 此外,企业组织需要能够有效缩放,以便持续制定和实施访问策略与控制措施。

Access lifecycle

借助 Microsoft Entra ID 治理,IT 部门可以确定用户对各种资源的访问权限,以及需要执行哪些强制检查(例如职责分离或工作变动时的访问权限删除)。 Microsoft Entra ID 具有数百个云和本地应用程序的连接器,你可以集成组织依赖于 AD 组的其他应用。 例如,条件访问策略可以显示使用条款,并确保用户在访问应用程序之前同意这些条款

可以根据属性更改自动执行跨应用和组的访问更改。 Microsoft Entra 权利管理会自动将用户添加到组或访问包中,以便更新对应用程序和资源的访问。 当用户在组织内的条件更改为不同的组时,还可以移动用户,甚至可以完全从所有组或访问包中删除用户。

此外,IT 部门可以将访问管理决策委托给业务决策者。 例如,想要访问欧洲公司营销应用程序中机密客户数据的员工可能需要其经理、部门领导或资源所有者以及安全风险官的批准。 使用权利管理可以定义用户如何跨组和团队成员身份的包、应用角色以及 SharePoint Online 角色请求访问权限,并对访问请求强制执行职责分离检查。

组织还可以控制哪些来宾用户有访问权限。 然后,可以使用 Microsoft Entra 访问评审定期评审这些访问权限,以进行访问权限重新认证。

特权访问权限生命周期

监管特权访问权限是新式 Identity Governance 的关键部分,特别是考虑到与管理员权限相关的滥用可能对组织造成的影响。 拥有管理权限的员工、供应商与承包商需要就其帐户和特权访问权限接受监管。

Privileged access lifecycle

Microsoft Entra Privileged Identity Management (PIM) 提供用于保护 Microsoft Entra、Azure、其他 Microsoft Online Services 和其他应用程序中的资源访问权限的其他定制控制措施。 Microsoft Entra PIM 提供的实时访问和角色更改警报功能,以及多重身份验证和条件访问,共同提供了一套综合性的监管控制措施,可帮助保护公司的资源(目录、Microsoft 365 和 Azure 资源角色)。 与处理其他形式的访问权限一样,组织可以使用访问评审来针对充当特权管理员角色的所有用户配置定期的访问权限重新认证。

许可要求

使用此功能需要 Microsoft Entra ID Governance 许可证。 如需查找符合要求的许可证,请参阅《Microsoft Entra ID 治理许可基础知识》。

使用入门

请先查看先决条件,然后再配置 Microsoft Entra ID 进行标识治理。 然后,访问 Microsoft Entra 管理中心 的治理仪表板,以便开始使用权利管理、访问评审和 Privileged Identity Management。

还有一些教程用于在权利管理中管理对资源的访问通过批准流程将外部用户加入 Microsoft Entra ID

虽然每个组织可能具有自己的独特要求,但以下配置指南还提供了 Microsoft 建议遵循的基线策略,以确保建立更安全且更高效的员工团队。

通过自动化简化标识治理任务

开始使用这些标识治理功能后,即可轻松自动执行常见的标识治理方案。 下表显示了如何针对每个方案开始使用自动化:

要自动化的方案 自动化指南
根据成员用户特性的更改更新组的成员身份 创建动态组
分配许可证 基于组的许可
根据对用户属性的更改情况,添加和删除用户的组成员身份、应用程序角色和 SharePoint 站点角色 在权利管理中为访问包配置自动分配策略
在特定日期添加和删除用户的组成员身份、应用程序角色和 SharePoint 网站角色 在权利管理中配置访问包的生命周期设置
在用户请求或接收访问权限或移除访问权限时运行自定义工作流 在权利管理中触发逻辑应用
定期审查 Microsoft 组和 Teams 中来宾的成员身份,并删除遭拒绝的来宾成员身份 创建访问评审
删除遭到审查者拒绝的来宾帐户 查看并删除不再具有资源访问权限的外部用户
删除没有访问包分配的来宾帐户 管理外部用户的生命周期
其他计划任务 通过 Microsoft.Graph.Identity.Governance PowerShell 模块使用 Azure 自动化和 Microsoft Graph 自动执行标识治理任务

附录 - 在 Identity Governance 功能中进行管理所需的最低特权角色

最佳做法是使用最低特权角色在 Identity Governance 中执行管理任务。 建议使用 Microsoft Entra PIM 激活执行这些任务所需的角色。 以下是用于配置标识治理功能的最小特权目录角色

Feature 最小特权角色
权利管理 Identity Governance 管理员
访问评审 用户管理员(Azure 或 Microsoft Entra 角色的访问评审除外,这需要特权角色管理员)
Privileged Identity Management 特权角色管理员
使用条款 安全管理员或条件访问管理员

注意

权利管理的最低特权角色已从“用户管理员”角色更改为“标识治理管理员”角色。

后续步骤