Microsoft Entra ID 治理 是一种标识治理解决方案,用于提高工作效率、增强安全性并满足合规性和法规要求。 确保适当的人员有权访问正确的资源。 启用标识和访问流程自动化、委派到业务组以及提高可见性。 缓解标识和访问风险、保护、监视和审核对资产的访问。 详细了解 Microsoft Entra ID 治理 用例 和 文档。
部署方法
为了确保采用全面的方法进行标识治理,可以让阶段与标识生命周期保持一致。 生命周期自动化 是用户载入、角色转换和卸载的自动化过程。 若要 将用户分配到资源 ,需要向用户分配适当的资源,从而集成权利和角色。 安全特权访问 有助于使用访问控制和监视机制保护和管理特权帐户。
根据该方法,本指南包含此简介和四种方案。 使用链接查看每个方案。
虽然大多数服务都处于正式发布 (GA) 状态,但某些功能或服务可能处于公共预览状态,或处于 GA 之前的其他状态。 GA 表示产品和服务可供所有客户公开使用,并由服务级别协议(SLA)保证提供支持。 有关许可信息,请参阅以下部分。
许可
Microsoft Entra ID 治理是Microsoft Entra ID 中的一项功能。 若要进行部署,请查看以下先决条件。
- 若要使用 Microsoft Entra ID 来管理应用访问,请在租户中具有以下许可证组合之一:
- Microsoft Entra ID 管理及其前提条件 Microsoft Entra ID P1
- 适用于 Microsoft Entra ID P2 及其必备组件的 Microsoft Entra ID 治理升级、Microsoft Entra ID P2 或企业移动性 + 安全性 (EMS) E5
- 在租户中,确保每个受管理的非访客用户都有许可证。 包括请求访问应用、批准访问权限或查看应用访问权限的用户。
- 若要管理来宾对应用程序的访问,请将 Microsoft Entra 租户链接到月度活跃用户 (MAU) 计费的订阅
有关详细信息,请参阅Microsoft Entra ID 治理许可基础知识。
参与模型
建议的用于完成任务和可交付成果的角色参与模型:负责、问责、咨询和知情 (RACI)。 使用模型来确保相关角色了解职责和目标。
- 负责 - 完成任务
- 至少分配一个负责的角色,不过他们可以将职责委派给他人。
- 问责 - 对"负责"方所交付工作的正确性和完成情况承担责任
- 责任角色委托任务并确保满足任务先决条件
- 为每个任务或可交付成果分配一个责任角色
- 咨询 - 提供来自行业专家 (SME) 的个人专业知识指导
- 知情 - 接收有关任务或可交付成果完成情况的定期更新
利益干系人
利益相关者既对项目成功感兴趣,又对其产生影响。 下表展示了 Microsoft Entra ID 治理部署中利益相关者的角色和职责示例。
| 角色 | 专业技能 | 职责 |
|---|---|---|
| IT 管理员 | 系统管理 | 管理用户帐户,维护系统运行状况,排查技术问题 |
| 业务分析师 | 要求和分析 | 收集业务需求,分析工作流,确保解决方案满足组织需求 |
| 最终用户 | 系统使用情况 | 按预期使用系统,提供有关性能和可用性的反馈 |
通信计划
通信计划可帮助你主动与利益干系人互动并管理期望。
- 定义与利益干系人的通信用途和频率
- 确定通过信息共享机制创建和分发通信的人员
- 提供有关部署计划和状态的相关信息
- 说明用户体验即将发生的更改以及用户如何获得支持
时间表
在预算和时间限制内实现预期结果时,项目是成功的。 因此,按日期、季度或年份确定结果目标。 与利益干系人合作,就定义结果目标的里程碑达成一致。 阐明每个目标的成功。 由于Microsoft Entra ID Governance 和其他Microsoft服务处于持续开发阶段,因此将要求映射到功能开发阶段。 使用应变计划设置现实预期,以满足关键里程碑:
- 概念验证 (PoC)
- 试点日期
- 启动日期
- 影响送达的日期
- 依赖关系
详细了解 Microsoft Entra ID Governance。
项目计划中包含以下内容:
- 在后续一波波部署基础上的工作分解结构,其中包含日期、依赖关系、关键路径:
- 每个部署波的最大用户数,具体取决于预期的支持负载
- 每个部署波次的期限,例如每周一一个波次
- 每个波次中的用户组数,不得超过最大数量
- 用户需要的应用
- 分配给任务的团队成员
测试和回滚
意外或未经测试的方案可能会对用户产生负面影响。 创建流程以:
- 测试方案
- 使用户能够报告问题
- 回滚部署
- 评估出现问题的地方:
- 确定补救措施
- 与利益干系人沟通
- 测试新配置
评估和发现
在部署 Microsoft Entra ID Governance 之前,评估和发现可以了解标识治理的当前状态。 创建当前标识治理解决方案的清单。 确定差距和效率低下。
- 确定当前状态 - 文档标识治理集成、策略、工作流、数据流和应用。 确定边缘事例或自定义工作流。
- 了解解决方案 - 研究并了解 Microsoft Entra ID 治理体系结构
- 保持利益干系人一致性 - 跨团队确定利益干系人并与其保持一致。 确保就目标和时间线达成一致。
有关评估和发现的详细信息,请参阅 安全部署 Microsoft Entra ID 治理的最佳做法
数据收集
收集当前的标识治理配置数据以建立准确的基线。
- 权利和角色 - 当前资源、权利、角色、其结构和分配
- 访问评审 - 为应用、访问包或组规划用户、组和级别的访问评审方案
- Privileged Identity Management (PIM) - 复制激活规则、审批工作流和角色资格
- 关键应用和集成 - 与当前解决方案集成的应用和系统
- 根据组织需求和风险记录迁移优先级
最佳做法和建议
最佳做法是一种经过测试的方法或技术,可帮助随时间推移提供更高质量的结果。
分配资源访问权限时,请遵循安全协议和准则
使用自动分配策略来简化分配及其移除
- 确保符合 Microsoft Entra 权利管理规则和治理服务限制
若要管理权限,请请求用户访问包分配。 对于审批流程,请选择“强制实施策略审批”以进行管理员直接分配。
若要反映用户角色更改,请评估和更新访问包
载入用户时使用无密码凭据
考虑两个用于 Microsoft Entra ID 治理的选项:
- 大爆炸式:一次性加载所有用户。 组织规模和对象计数会影响处理时间。 此过程可能需要几天时间。
- 分阶段:分批部署用户。 复杂性和关键性会影响处理持续时间。 虽然认为更安全,但此过程可能需要更长的时间。
后续步骤
Microsoft Entra ID Governance 部署指南:
- Microsoft Entra ID 治理部署指南简介
- 方案 1:员工生命周期自动化
- 方案 2:分配员工对资源的访问权限
- 方案 3:管理来宾和合作伙伴访问权限
- 方案 4:控制特权标识及其访问权限