Обзор Управление Microsoft Entra ID с помощью Microsoft Graph
Управление Microsoft Entra ID позволяет сбалансировать потребности вашей организации в безопасности и производительности сотрудников с правильными процессами и видимостью. Она предоставляет вам возможности, позволяющие обеспечить правильный доступ к нужным ресурсам и в нужное время.
Субъекты (или удостоверения), доступом которых можно управлять, включают пользователей, группы и приложения (или субъекты-службы). Пользователи могут быть вашими сотрудниками, деловыми партнерами, поставщиками или подрядчиками. К ресурсам, к которым можно управлять доступом, относятся группы, пакеты доступа и привилегированные роли.
Управление возможностями Управление Microsoft Entra ID выполняется программным путем с помощью следующих API управления удостоверениями в Microsoft Graph.
- Проверки доступа
- Управление правами
- Рабочие процессы жизненного цикла
- Управление привилегированными удостоверениями
- Условия использования
Дополнительные сведения о Управление Microsoft Entra ID см. в статье Что такое Управление Microsoft Entra ID?.
Управление жизненным циклом пользователей в организации
В организациях есть процессы, которые выполняются по крайней мере в течение трех этапов жизненного цикла сотрудника: когда они присоединяются к организации, когда они перемещаются в организацию и когда они покидают организацию. Такие процессы могут включать подготовку и отзыв доступа и ресурсов при необходимости.
API рабочих процессов жизненного цикла в Microsoft Graph позволяют автоматизировать базовые процессы жизненного цикла для пользователей в организации. Эти процессы жизненного цикла позволяют организации и ее пользователям быть эффективными, безопасными или соответствующими требованиям.
Автоматизация доступа пользователей к ресурсам
Сотрудникам в организациях может потребоваться доступ к различным ресурсам для выполнения своих задач. Партнерам и поставщикам также может потребоваться доступ к вашим ресурсам. В сложных организациях пользователям может быть трудно определить, какой доступ им нужен, как запрашивать доступ и кто должен предоставлять им доступ.
API управления правами в Microsoft Graph позволяют автоматизировать рабочие процессы запросов на доступ, назначения доступа, проверки и истечение срока действия.
Засвидетельствовать доступ субъектов к ресурсам
Если у субъекта есть доступ к ресурсам в организации, важно периодически проверять, что субъект по-прежнему требует доступа. Используйте API проверок доступа для программной проверки доступа.
Например, предположим, что ваша организация автоматизирует доступ сотрудников к определенному ресурсу, чувствительному для бизнеса. Для гостей вы предоставили им доступ к ресурсу через группу. Важно периодически подтверждать, что у гостей по-прежнему есть законный потребность в доступе к группе и ресурсу.
Проверки доступа — это форма аудита эффективности внутреннего контроля организации. Дополнительные сведения см. в обзоре проверок доступа.
Управление доступом к привилегированным ролям
В каждой организации есть сотрудники, которым требуются привилегированные административные роли для выполнения своих обязанностей. В Microsoft Entra ID вы можете предоставить такие привилегированные назначения с помощью Microsoft Entra встроенных ролей. Из-за типа разрешений, которые разрешают эти роли, важно снизить риски чрезмерных, ненужных или неправильно используемых привилегированных ролей.
API-интерфейсы управления привилегированными удостоверениями в Microsoft Graph позволяют программно управлять жизненным циклом привилегированных Microsoft Entra ролей в клиенте.
Принудительное применение условий использования ресурсов
Каждая организация имеет свои условия, которые пользователи должны соблюдать, прежде чем они смогут получить доступ к ресурсам организации. Вы можете определить и применить эти условия с помощью Microsoft Entra Условий использования.
Условия использования могут быть общей политикой компании для всех пользователей в вашей организации; или условия для отдельных пользователей, таких как гости и подрядчики; или условия, с которыми пользователи должны согласиться, прежде чем они смогут использовать конфиденциальное приложение в клиенте.
API условий использования в Microsoft Graph позволяют настроить условия, которые пользователям может потребоваться принять и принять, прежде чем они смогут получить доступ к вашим ресурсам.
"Никому не доверяй"
Эта функция помогает организациям согласовать свои удостоверения с тремя руководящими принципами архитектуры "Никому не доверяй":
- Выполняйте проверку явным образом.
- Использование минимальных привилегий
- Предполагайте наличие бреши в системе безопасности
Дополнительные сведения о принципах "Никому не доверяй" и других способах согласования организации с руководящими принципами см. в центре руководства по принципу "Никому не доверяй".
Связанные материалы
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по