本文帮助架构师、Microsoft合作伙伴和IT专业人员获取信息,以解决他们组织或合作组织中的标识预配需求。 内容侧重于自动执行用户预配,以便访问组织中所有系统中的应用程序。
组织中的员工依赖于许多应用程序来执行其工作。 这些应用程序通常需要 IT 管理员或应用程序所有者预配帐户,然后员工才能开始访问这些帐户。 组织还需要管理这些帐户的生命周期,并在用户不再需要它们时随时了解最新信息并删除帐户。
Microsoft Entra 预配服务可自动执行标识生命周期,并使标识在受信任的源系统(如 HR 系统)和用户需要访问的应用程序之间保持同步。 它能够将用户引入 Microsoft Entra ID,并将他们配置到所需的各种应用程序中。 预配功能是支持丰富治理和生命周期工作流的基础构建基块。 对于 混合 方案,Microsoft Entra 代理模型连接到本地或基础结构即服务(IaaS)系统,并包括Microsoft Entra 预配代理、Microsoft标识管理器(MIM)和Microsoft Entra Connect 等组件。
成千上万的组织正在运行 Microsoft Entra 云托管服务,其混合组件在本地交付,用于预配方案。 Microsoft 通过投资云端和本地功能(包括 MIM 和 Microsoft Entra Connect Sync),帮助组织在其互连的系统和应用程序中预配用户。 本文重点介绍组织如何使用 Microsoft Entra ID 来满足其预配需求,并明确每个方案最适合哪种技术。
使用下表查找特定于情景的内容。 例如,若要将员工和承包商的标识从 HR 系统管理到 Active Directory 域服务(AD DS)或 Microsoft Entra ID,请按链接 将标识与您的记录系统连接。
| 对象 | 来自 | 到 | 阅读 |
|---|---|---|---|
| 员工和承包商 | HR 系统 | Microsoft Windows Server Active Directory 和 Microsoft Entra ID | 将身份与您的记录系统连接 |
| 现有Microsoft Windows Server Active Directory 用户和组 | AD DS | Microsoft Entra ID | 在 Microsoft Entra ID 与 Active Directory 之间同步标识 |
| 用户、组 | Microsoft Entra ID | 软件即服务(SaaS)和本地应用 | 自动预配到非Microsoft应用程序 |
| 访问权限 | Microsoft Entra ID 治理 | SaaS 和本地应用 | 权利管理 |
| 现有用户和组 | Microsoft Windows Server Active Directory、SaaS 和本地应用 | 身份治理(以便我能审核它们) | Microsoft Entra 访问评审 |
| 非员工用户(经批准) | 其他云目录 | SaaS 和本地应用 | 连接的组织 |
| 用户、组 | Microsoft Entra ID | 托管Microsoft Windows Server Active Directory 域 | Microsoft Entra 域名服务 |
示例拓扑
组织在运行业务时所依赖的应用程序和基础结构中存在很大差异。 一些组织在云中拥有其所有基础结构,仅依赖于 SaaS 应用程序,而另一些组织则几年来深入地投资于本地基础结构。 下面的三种拓扑描述了Microsoft如何满足仅限云的客户的需求、具有基本预配要求的混合客户,以及具有高级预配要求的混合客户。
仅限云
在此示例中,组织有一个云 HR 系统,使用 Microsoft 365 进行协作,以及 ServiceNow 和 Zoom 等 SaaS 应用。
Microsoft Entra 预配服务从云 HR 系统导入用户,并根据组织定义的业务规则在 Microsoft Entra ID 中创建帐户。
用户完成设置适当的身份验证方法,例如验证器应用、Windows Hello 企业版(WHfB)密钥,通过 临时访问密码 ,然后登录到 Teams。 此临时访问通行证是通过 Microsoft Entra 生命周期工作流自动为用户生成的。
Microsoft Entra 预配服务在用户所需的各种应用程序中创建帐户,例如 ServiceNow 和 Zoom。 用户可以请求所需的设备,并开始与其团队聊天。
混合基本
在此示例中,组织混合使用云和本地基础结构。 除了上述系统之外,组织还依赖于Microsoft Windows Server Active Directory 集成和非Microsoft Windows Server Active Directory 集成的 SaaS 应用程序和本地应用程序。
Microsoft Entra 预配服务从 Workday 导入用户并在 AD DS 中创建帐户,使用户能够访问与 Windows Server Active Directory 集成的应用程序Microsoft。
Microsoft Entra Connect 云同步会将用户预配到 Microsoft Entra ID 中,这使用户能够在 Microsoft 365 及其 OneDrive 文件中访问 SharePoint。
Microsoft Entra 预配服务检测到在 Microsoft Entra ID 中创建了一个新帐户。 然后,它会在 SaaS 和用户需要访问的本地应用程序中创建帐户。
混合高级
在此示例中,组织的用户分布在多个本地 HR 系统和云 HR 中。 他们有大型团队并且需要设备同步。
MIM 从每个 HR 系统导入用户信息。 MIM 确定在不同目录中需要哪些用户来支持那些员工。 MIM 在 AD DS 中配置这些身份。
Microsoft Entra Connect Sync 然后将这些用户和组同步到 Microsoft Entra ID,并为用户提供对其资源的访问权限。