Microsoft Entra 部署計劃
Azure Active Directory 現在是 Microsoft Entra 識別碼,可透過雲端身分識別和存取管理保護您的組織。 解決方案會將員工、客戶和合作夥伴連線到其應用程式、裝置和數據。
使用本文的指引來協助建置您的計劃,以部署 Microsoft Entra ID。 了解規劃建置基本概念,然後使用下列各節進行驗證部署、應用程式和裝置、混合式案例、使用者身分識別等等。
項目關係人和角色
開始部署計劃時,請包含您的主要項目關係人。 識別並記錄項目關係人、受影響的角色,以及啟用有效部署的擁有權和責任領域。 標題和角色與一個組織不同,但擁有權區域很類似。 如需影響任何部署計劃的常見和有影響力的角色,請參閱下表。
角色 | 責任 |
---|---|
贊助者 | 有權核准或指派預算和資源的企業資深領導者。 贊助者是經理與執行小組之間的聯繫。 |
終端使用者 | 服務實作的人員。 用戶可以參與試驗計劃。 |
IT 支援管理員 | 提供建議變更支援性的輸入 |
身分識別架構師或 Azure Global 管理員 istrator | 定義變更如何與身分識別管理基礎結構保持一致 |
應用程式商務擁有者 | 擁有受影響的應用程式,這可能包括存取管理。 提供用戶體驗的輸入。 |
安全性擁有者 | 確認變更計劃符合安全性需求 |
合規性管理員 | 確保符合公司、產業或政府需求 |
RACI
負責任、責任、諮詢和通知(負責/責任/諮詢/知情/通知(RACI)是各種角色參與的模型,可完成專案或商務程式的工作或交付專案。 使用此模型可協助確保組織中的角色瞭解部署責任。
- 負責 - 負責正確完成工作的人員。
- 至少有一個「負責任」角色,不過您可以委派其他人來協助提供工作。
- 責任 - 最終可回答交付專案或工作的正確性和完成情況。 責任角色可確保符合工作必要條件,並將工作委派給負責任的角色。 責任角色會核准負責提供的工作。 為每個工作或可傳送作業指派一個責任。
- 諮詢 - 諮詢的角色提供指導,通常是主題專家(SME)。
- 通知 - 人員在完成工作或交付專案時,一般會保持最新進度。
驗證部署
使用下列清單來規劃驗證部署。
Microsoft Entra 多重要素驗證 (MFA) - 使用系統管理員核准的驗證方法,多重要素驗證有助於保護對數據和應用程式的存取,同時滿足輕鬆登入的需求:
條件式存取 - 根據條件,實作自動化訪問控制決策,讓使用者存取雲端應用程式:
Microsoft Entra 自助式密碼重設 (SSPR) - 協助使用者重設密碼,而不需要系統管理員介入:
無密碼驗證 - 使用 Microsoft Authenticator 應用程式或 FIDO2 安全性金鑰實作無密碼驗證:
應用程式和裝置
使用下列清單來協助部署應用程式和裝置。
- 單一登錄 (SSO) - 讓使用者能夠使用單一登錄存取應用程式和資源,而不需要重新輸入認證:
- 我的應用程式 入口網站 - 探索和存取應用程式。 使用自助啟用用戶生產力,例如要求存取群組,或代表其他人管理資源的存取權。
- 請參閱 我的應用程式 入口網站概觀
- 裝置 - 使用 Microsoft Entra ID 評估裝置整合方法、選擇實作計劃等等。
混合式案例
下列清單描述混合式案例中的功能和服務。
- Active Directory 同盟服務 (AD FS) - 使用傳遞驗證或密碼哈希同步,將使用者驗證從同盟移轉至雲端:
- 請參閱什麼是 與 Microsoft Entra 識別碼的同盟?
- 請參閱從 同盟遷移至雲端驗證
- Microsoft Entra 應用程式 Proxy - 讓員工能夠從裝置提高生產力。 瞭解雲端中的軟體即服務 (SaaS) 應用程式,以及內部部署的公司應用程式。 Microsoft Entra 應用程式 Proxy 可讓您在沒有虛擬專用網或非軍事區域(DMZ) 的情況下存取:
- 無縫單一登錄 (無縫 SSO) - 在連線到公司網路的公司裝置上使用無縫 SSO 進行使用者登入。 使用者不需要密碼來登入 Microsoft Entra ID,而且通常不需要輸入使用者名稱。 授權的使用者不需要額外的內部部署元件即可存取雲端式應用程式:
使用者
- 使用者身分識別 - 瞭解自動化,以在雲端應用程式中建立、維護和移除使用者身分識別,例如Dropbox、Salesforce、ServiceNow 等等。
- Microsoft Entra ID 控管 - 建立身分識別治理,並增強依賴身分識別數據的商務程式。 使用 Workday 或 Successfactors 等 HR 產品,使用規則管理員工和員工身分識別生命週期。 這些規則會將 Joiner-Mover-Leaver (JLM) 程式對應至 IT 動作,例如「新增員工」、「終止」、「轉移」等 IT 動作,例如「建立」、「啟用」、「停用」。 如需詳細資訊,請參閱下一節。
- Microsoft Entra B2B 共同作業 - 使用安全存取應用程式來改善外部使用者共同作業:
身分識別治理和報告
Microsoft Entra ID 控管 可讓組織提升生產力、加強安全性,並更輕鬆地符合合規性和法規需求。 使用 Microsoft Entra ID 控管 來確保正確的人員有權存取正確的資源。 改善身分識別和存取程式自動化、委派商務群組,以及提高可見度。 使用下列清單來瞭解身分識別治理和報告。
深入了解:
Privileged Identity Management (PIM) - 管理跨 Microsoft Entra ID、Azure 資源和其他 Microsoft 線上服務 的特殊許可權系統管理角色。 將它用於 Just-In-Time 存取 (JIT) 存取 (JIT)、要求核准工作流程,以及整合式存取權檢閱,以協助防止惡意活動:
報告和監視 - Microsoft Entra 報告和監視解決方案設計具有相依性和條件約束:法律、安全性、作業、環境和程式。
存取權檢閱 - 瞭解和管理資源的存取權:
試驗的最佳做法
對較大的群組或每個人進行變更之前,請先使用試驗來測試小型群組。 請確定組織中每個使用案例都經過測試。
試驗:階段 1
在您的第一個階段中,以IT、可用性,以及可測試並提供意見反應的其他用戶為目標。 使用此意見反應來深入瞭解支持人員的潛在問題,以及開發傳送給所有用戶的通訊和指示。
試驗:階段 2
使用動態成員資格,或手動將使用者新增至目標群組,將試驗範圍擴大為較大的使用者群組。