Mi az a Microsoft Entra ID-kezelés?
Microsoft Entra ID-kezelés egy identitásszabályozási megoldás, amely lehetővé teszi a szervezetek számára a termelékenység javítását, a biztonság megerősítését és a megfelelőség és a szabályozási követelmények egyszerűbb teljesítését. A Microsoft Entra ID-kezelés használatával automatikusan biztosíthatja, hogy a megfelelő személyek megfelelő hozzáféréssel rendelkezzenek a megfelelő erőforrásokhoz, az identitás- és hozzáférés-folyamat automatizálásával, az üzleti csoportokhoz való delegálással és a nagyobb láthatósággal. A Microsoft Entra ID-kezelés funkcióival, valamint a kapcsolódó Microsoft Entra-, Microsoft Security- és Microsoft Azure-termékek szolgáltatásaival a kritikus fontosságú objektumokhoz való hozzáférés védelmével, monitorozásával és naplózásával csökkentheti az identitás- és hozzáférési kockázatokat.
Pontosabban a Microsoft Entra ID-kezelés segít a szervezeteknek a négy fő kérdés megoldásában, a helyszíni és a felhőbeli szolgáltatások és alkalmazások közötti hozzáféréssel kapcsolatban:
- Mely felhasználóknak kell hozzáféréssel rendelkezniük ahhoz, hogy mely erőforrásokhoz férhessenek hozzá?
- Mit csinálnak a felhasználók ezzel a hozzáféréssel?
- Vannak-e szervezeti vezérlők a hozzáférés kezeléséhez?
- Ellenőrizhetik az auditorok, hogy a vezérlők hatékonyan működnek-e?
A Microsoft Entra ID-kezelés az alábbi forgatókönyveket valósíthatja meg az alkalmazottak, üzleti partnerek és szállítók számára:
- Az identitás-életciklus irányítása
- A hozzáférési életciklus szabályozása
- Biztonságos emelt szintű hozzáférés felügyelethez
Identitás életciklusa
Az identitásszabályozás segít a szervezeteknek egyensúlyt teremteni a termelékenység között – Milyen gyorsan férhet hozzá egy személy a szükséges erőforrásokhoz, például amikor csatlakoznak a szervezethez? Biztonság – Hogyan változzon a hozzáférésük az idő múlásával, például az adott személy foglalkoztatási állapotának változása miatt? Az identitás-életciklus-kezelés az identitásszabályozás alapja, és a hatékony, nagy léptékű szabályozáshoz modernizálni kell az identitás életciklus-felügyeleti infrastruktúrát az alkalmazásokhoz.
Számos szervezet esetében az alkalmazottak és más munkavállalók identitáséletciklusa az adott személy HCM-ben (humántőke-kezelési) vagy HR-rendszerben való megjelenítéséhez van kötve. A szervezeteknek automatizálni kell az identitás létrehozásának folyamatát egy új alkalmazott számára, amely a rendszer jelén alapul, hogy az alkalmazott az 1. napon hatékony legyen. A szervezeteknek pedig gondoskodniuk kell arról, hogy ezek az identitások és hozzáférések törlődjenek, amikor az alkalmazott elhagyja a szervezetet.
A Microsoft Entra ID-kezelés automatizálhatja az identitás életciklusát az alábbi eszközökkel:
- bejövő kiépítés a szervezet HR-forrásaiból, beleértve a Workdayből és a SuccessFactorsből való lekérést is, hogy a felhasználói identitások automatikusan megmaradjanak az Active Directoryban és a Microsoft Entra-azonosítóban is.
- életciklus-munkafolyamatok , amelyek automatizálják a bizonyos kulcsfontosságú eseményeken futó munkafolyamat-feladatokat, például mielőtt egy új alkalmazott a szervezetnél kezdené a munkát, mivel a szervezetnél töltött ideje alatt és a szervezet elhagyásakor megváltozik az állapotuk. Egy munkafolyamat például úgy konfigurálható, hogy az első napon ideiglenes hozzáférési jogosultsággal rendelkező e-mailt küldjön egy új felhasználó felettesének, vagy egy üdvözlő e-mailt a felhasználónak.
- automatikus hozzárendelési szabályzatok a jogosultságkezelésben a felhasználó csoporttagságainak, alkalmazásszerepköreinek és SharePoint-webhelyszerepköreinek hozzáadásához és eltávolításához a felhasználó attribútumainak módosítása alapján.
- felhasználói kiépítés más alkalmazások felhasználói fiókjainak létrehozásához, frissítéséhez és eltávolításához , összekötőkkel több száz felhőbeli és helyszíni alkalmazáshoz SCIM, LDAP és SQL használatával.
A szervezeteknek további identitásokra is szükségük van a partnerek, a beszállítók és más vendégek számára az együttműködéshez vagy az erőforrásokhoz való hozzáféréshez.
A Microsoft Entra ID-kezelés lehetővé teheti, hogy az üzleti csoportok meghatározzák, hogy a vendégek közül melyiknek kell hozzáféréssel rendelkeznie, és mennyi ideig az alábbiakat használva:
- jogosultságkezelés , amelyben megadhatja azokat a szervezeteket, amelyek felhasználói hozzáférést kérhetnek a szervezet erőforrásaihoz. A felhasználók egyik kérésének jóváhagyásakor a jogosultságkezelés automatikusan hozzáadja őket B2B-vendégként a szervezet címtárához, és megfelelő hozzáférést kapnak. A jogosultságkezelés pedig automatikusan eltávolítja a B2B-vendégfelhasználót a szervezet címtárából, amikor lejárnak vagy visszavonják a hozzáférési jogosultságukat.
- hozzáférés-felülvizsgálatok , amelyek automatizálják a szervezet címtárában már meglévő vendégek ismétlődő felülvizsgálatát, és eltávolítja ezeket a felhasználókat a szervezet címtárából, ha már nincs szükségük hozzáférésre.
További információ: Mi az identitás életciklusának kezelése?
Hozzáférési életciklus
A szervezeteknek olyan folyamatra van szükségük, amely a felhasználó identitásának létrehozásakor eredetileg kiosztott hozzáférésen túl kezeli a hozzáférést. Emellett a vállalati szervezeteknek hatékonyan kell skálázniuk ahhoz, hogy folyamatosan fejleszthessék és kényszeríthessék a hozzáférési szabályzatokat és ellenőrzéseket.
A Microsoft Entra ID-kezelés az informatikai részlegek megállapíthatják, hogy a felhasználóknak milyen hozzáférési jogosultságokkal kell rendelkezniük a különböző erőforrások között, és milyen kényszerítési ellenőrzésekre van szükség, például a feladatok elkülönítésére vagy a hozzáférés-eltávolításra a feladat módosításakor. A Microsoft Entra ID több száz felhőbeli és helyszíni alkalmazás összekötőivel rendelkezik, és integrálhatja a szervezet egyéb olyan alkalmazásait, amelyek AD-csoportokra, egyéb helyszíni címtárakra vagy adatbázisokra támaszkodnak, amelyek RENDELKEZNEK SOAP- vagy REST API-val, beleértve az SAP-t, vagy olyan szabványokat implementálnak, mint az SCIM, az SAML vagy az OpenID Csatlakozás. Amikor egy felhasználó megpróbál bejelentkezni valamelyik alkalmazásba, a Microsoft Entra ID feltételes hozzáférési szabályzatokat kényszerít ki. A feltételes hozzáférési szabályzatok tartalmazhatják például a használati feltételek megjelenítését, és annak biztosítását, hogy a felhasználó elfogadta ezeket a feltételeket , mielőtt hozzáférhet egy alkalmazáshoz. További információ: az alkalmazásokhoz való hozzáférés szabályozása a környezetben, beleértve az alkalmazásokhoz való hozzáférés szabályozására, az alkalmazások integrálására és a szabályzatok üzembe helyezésére vonatkozó szervezeti szabályzatok definiálását.
Az alkalmazások és csoportok hozzáférésének változásai az attribútumváltozások alapján automatizálhatók. A Microsoft Entra életciklus-munkafolyamatai és a Microsoft Entra jogosultságkezelése automatikusan hozzáadja és eltávolítja a felhasználókat csoportokba vagy hozzáférési csomagokba, hogy az alkalmazásokhoz és erőforrásokhoz való hozzáférés frissüljön. A felhasználók akkor is áthelyezhetők, ha a szervezeten belüli állapotuk különböző csoportokra változik, és akár teljesen eltávolítható az összes csoportból vagy hozzáférési csomagból.
Azok a szervezetek, amelyek korábban helyszíni identitásszabályozási terméket használtak, áttelepíthetik szervezeti szerepkörmodelljüket Microsoft Entra ID-kezelés.
Az informatikai részleg emellett a hozzáférés-kezelési döntéseket az üzleti döntéshozóknak is delegálhatja. Például azoknak az alkalmazottaknak, akik bizalmas ügyféladatokhoz szeretnének hozzáférni egy vállalat európai marketingalkalmazásában, szükségük lehet a felettesük, egy részlegvezető vagy erőforrástulajdonos jóváhagyására, valamint egy biztonsági kockázati tisztviselőre. A jogosultságkezelés lehetővé teszi annak meghatározását, hogy a felhasználók hogyan kérnek hozzáférést a csoport- és csoporttagságok, alkalmazásszerepkörök és SharePoint Online-szerepkörök csomagjaihoz, és hogyan kényszeríthetik a jogosultságok elkülönítését a hozzáférési kérelmeken.
A szervezetek azt is szabályozhatják, hogy mely vendégfelhasználók férhetnek hozzá, például a helyszíni alkalmazásokhoz. Ezeket a hozzáférési jogosultságokat ezután rendszeres időközönként áttekintheti a Microsoft Entra hozzáférési felülvizsgálatokkal a hozzáférés újraengedélyezéséhez.
Emelt szintű hozzáférési életciklus
A kiemelt hozzáférés szabályozása kulcsfontosságú része a modern identitásszabályozásnak, különösen azért, mert a rendszergazdai jogosultságokkal kapcsolatos visszaélések a szervezet számára okozhatnak visszaéléseket. A rendszergazdai jogokat átvállaló alkalmazottaknak, szállítóknak és alvállalkozóknak rendelkezniük kell a fiókjukkal és a kiemelt hozzáférési jogosultságokkal.
A Microsoft Entra Privileged Identity Management (PIM) további vezérlőket biztosít, amelyek a Microsoft Entra, az Azure, a Microsoft Online Services és más alkalmazások hozzáférési jogosultságainak védelmére vannak szabva. A Microsoft Entra PIM által biztosított igény szerinti hozzáférés és szerepkörváltozás riasztási képességei a többtényezős hitelesítés és a feltételes hozzáférés mellett átfogó szabályozási vezérlőket biztosítanak a szervezet erőforrásainak (címtárszerepkörök, Microsoft 365-szerepkörök, Azure-erőforrás-szerepkörök és csoporttagságok) védelméhez. Más hozzáférési formákhoz hasonlóan a szervezetek hozzáférési felülvizsgálatokkal is konfigurálhatják az ismétlődő hozzáférési újratanúsítást a kiemelt rendszergazdai szerepkörökben lévő összes felhasználó számára.
Licenckövetelmények
A funkció használatához Microsoft Entra ID-kezelés licencek szükségesek. A követelményeknek megfelelő licenc megtalálásához tekintse meg Microsoft Entra ID-kezelés licencelési alapjait.
Első lépések
Tekintse meg az előfeltételeket, mielőtt konfigurálja a Microsoft Entra-azonosítót az identitásszabályozáshoz. Ezután látogasson el a Microsoft Entra Felügyeleti központ Irányítási irányítópultjára , ahol jogosultságkezelést, hozzáférési felülvizsgálatokat, életciklus-munkafolyamatokat és Privileged Identity Managementet használhat.
A jogosultságkezelésben az erőforrásokhoz való hozzáférés kezelésére, a külső felhasználók Microsoft Entra-azonosítóhoz való előkészítésére vonatkozó oktatóanyagok is elérhetők egy jóváhagyási folyamaton keresztül, amely szabályozza az alkalmazásokhoz és az alkalmazás meglévő felhasználóihoz való hozzáférést.
Bár minden szervezet saját egyedi követelményekkel rendelkezhet, az alábbi konfigurációs útmutatók a Microsoft által javasolt alapszintű szabályzatokat is biztosítják a biztonságosabb és hatékonyabb munkaerő biztosítása érdekében.
- Hozzáférési felülvizsgálatok üzembe helyezésének megtervezése az erőforrás-hozzáférési életciklus kezeléséhez
- Teljes felügyelet identitás- és eszközelérési konfigurációk
- Emelt szintű hozzáférés biztonsága
Emellett érdemes kapcsolatba lépnie a Microsoft egyik szolgáltatásával és integrációs partnerével , hogy megtervezze az üzembe helyezést, vagy integrálható legyen a környezetében lévő alkalmazásokkal és más rendszerekkel.
Ha visszajelzést szeretne küldeni az identitásszabályozási funkciókról, válassza a Visszajelzés kérése lehetőséget a Microsoft Entra felügyeleti központban a visszajelzés elküldéséhez. A csapat rendszeresen áttekinti visszajelzéseit.
Az identitásszabályozási feladatok egyszerűsítése automatizálással
Miután használatba vette ezeket az identitásszabályozási funkciókat, egyszerűen automatizálhatja a gyakori identitásszabályozási forgatókönyveket. Az alábbi táblázat bemutatja, hogyan kezdheti el az automatizálást az egyes forgatókönyvek esetében:
| Automatizálandó forgatókönyv | Automatizálási útmutató |
|---|---|
| AD- és Microsoft Entra-felhasználói fiókok automatikus létrehozása, frissítése és törlése az alkalmazottak számára | Felhőbeli HR megtervezése a Microsoft Entra felhasználói kiépítésére |
| Csoporttagság frissítése a tagfelhasználó attribútumainak módosítása alapján | Dinamikus csoport létrehozása |
| Licencek hozzárendelése | csoportalapú licencelés |
| Felhasználó csoporttagságainak, alkalmazásszerepköreinek és SharePoint-webhelyszerepköreinek hozzáadása és eltávolítása a felhasználó attribútumainak módosítása alapján | Automatikus hozzárendelési szabályzat konfigurálása hozzáférési csomaghoz a jogosultságkezelésben |
| Felhasználó csoporttagságainak, alkalmazásszerepköreinek és SharePoint-webhelyszerepköreinek hozzáadása és eltávolítása egy adott napon | Hozzáférési csomag életciklus-beállításainak konfigurálása a jogosultságkezelésben |
| Egyéni munkafolyamatok futtatása, amikor egy felhasználó hozzáférést kér vagy kap, vagy a hozzáférés el lesz távolítva | Logic Apps aktiválása a jogosultságkezelésben |
| A Microsoft-csoportokban és a Teamsben lévő vendégtagságok rendszeres ellenőrzése és a megtagadott vendégtagságok eltávolítása | Hozzáférési felülvizsgálat létrehozása |
| A véleményező által elutasított vendégfiókok eltávolítása | Az erőforrás-hozzáféréssel már nem rendelkező külső felhasználók áttekintése és eltávolítása |
| Hozzáférési csomag-hozzárendeléssel nem rendelkező vendégfiókok eltávolítása | Külső felhasználók életciklusának kezelése |
| Felhasználók üzembe helyezése saját könyvtárakkal vagy adatbázisokkal rendelkező helyszíni és felhőalapú alkalmazásokba | Automatikus felhasználói kiépítés konfigurálása felhasználói hozzárendelésekkel vagy hatókörszűrőkkel |
| Egyéb ütemezett tevékenységek | Identitásszabályozási feladatok automatizálása az Azure Automation és a Microsoft Graph használatával a Microsoft.Graph.Identity.Governance PowerShell modulon keresztül |
Függelék – a legkevésbé kiemelt szerepkörök az identitásszabályozási funkciók kezeléséhez
Ajánlott eljárás a legkevésbé kiemelt szerepkör használata rendszergazdai feladatok végrehajtásához az identitásszabályozásban. Javasoljuk, hogy a Microsoft Entra PIM használatával aktiváljon egy szerepkört a feladatok elvégzéséhez. Az identitásszabályozási funkciók konfigurálásához a legkevésbé kiemelt címtárszerepkörök a következők:
| Szolgáltatás | Legalacsonyabb jogosultság |
|---|---|
| Jogosultságkezelés | Identitásszabályozási Rendszergazda istrator |
| Hozzáférési felülvizsgálatok | Felhasználói Rendszergazda istrator (kivéve az Azure- vagy Microsoft Entra-szerepkörök hozzáférési felülvizsgálatát, amelyekhez kiemelt szerepkörre van szükség Rendszergazda istrator) |
| Privileged Identity Management | Kiemelt szerepkörű rendszergazda |
| Használati feltételek | Biztonsági Rendszergazda istrator vagy feltételes hozzáférés Rendszergazda istrator |
Feljegyzés
A jogosultságkezelés legkevésbé kiemelt szerepköre a Felhasználói Rendszergazda istrator szerepkörről az Identitásirányítási Rendszergazda istrator szerepkörre változott.