Справочник по операциям управления удостоверениями и доступом Microsoft Entra

В этом разделе руководства по операциям Microsoft Entra описаны проверки и действия, которые следует учитывать для защиты жизненного цикла удостоверений и их назначений.

Ключевые операционные процессы

Назначьте владельцев на ключевые задачи

Для управления идентификатором Microsoft Entra id требуется непрерывное выполнение ключевых операционных задач и процессов, которые не могут быть частью проекта развертывания. Эти задачи по-прежнему важны для поддержания среды. Ключевые задачи и их рекомендуемые владельцы включают в себя следующее:

При просмотре списка вам может потребоваться назначить владельца для задач, которые отсутствуют владельцу или настроить владение для задач с владельцами, которые не соответствуют предоставленным рекомендациям.

Назначение владельцев рекомендованного чтения

• Назначение ролей администратора в Microsoft Entra ID

Локальная синхронизация удостоверений

Выявление и устранение проблем синхронизации

Майкрософт рекомендует иметь хорошую основу и понимание проблем в вашей локальной среде, которые могут привести к проблемам синхронизации с облаком. Так как автоматизированные средства, такие как IdFix и Microsoft Entra Connect Health, могут создавать большое количество ложных срабатываний, рекомендуется выявлять ошибки синхронизации, которые еще не устранены в течение более чем 100 дней путем очистки этих объектов в ошибке. Долговременные неразрешенные ошибки синхронизации могут привести к возникновению проблем со службой поддержки. Устранение ошибок во время синхронизации дает обзор различных типов ошибок синхронизации, некоторых возможных сценариев, вызывающих эти ошибки, и возможных способов их исправления.

Конфигурация синхронизации Microsoft Entra Connect

Чтобы включить все гибридные возможности, состояние безопасности на основе устройств и интеграцию с идентификатором Microsoft Entra, необходимо синхронизировать учетные записи пользователей, которые ваши сотрудники используют для входа на свои рабочие столы.

Если вы не синхронизируете вход пользователей леса, вам следует изменить синхронизацию, чтобы она происходила из правильного леса.

Область синхронизации и фильтрация объектов

Удаление известных сегментов объектов, которые не требуется синхронизировать, дает следующие операционные преимущества:

• Меньше источников ошибок синхронизации
• Более быстрые циклы синхронизации
• Меньше "мусора" для переноса из локальной среды, например загрязнения глобального списка адресов для локальных учетных записей служб, которые не актуальны в облаке

Примеры исключаемых объектов:

• Учетные записи служб, которые не используются для облачных приложений
• Группы, которые не предназначены для использования в облачных сценариях, например те, которые используются для предоставления доступа к ресурсам
• Пользователи или контакты, которые являются внешними удостоверениями, которые должны быть представлены в Microsoft Entra Совместная работа B2B
• Учетные записи компьютеров, сотрудники которых не предназначены для доступа к облачным приложениям, например с серверов

В идеале необходимо достичь баланса между сокращением количества объектов для синхронизации и сложности в правилах. Как правило, комбинация фильтрации OU/контейнера и простого сопоставления атрибута с атрибутом cloudFiltered является эффективной комбинацией фильтрации.

Синхронизация аварийного переключения или аварийного восстановления

Microsoft Entra Connect играет ключевую роль в процессе подготовки. Если сервер синхронизации выходит в автономный режим по какой-либо причине, изменения в локальной среде не могут быть обновлены в облаке и могут привести к проблемам с доступом для пользователей. Поэтому важно определить стратегию отработки отказа, которая позволяет администраторам быстро возобновить синхронизацию после перехода сервера синхронизации в автономный режим. Такие стратегии могут быть разделены на следующие категории:

• Развертывание серверов Microsoft Entra Connect в промежуточном режиме позволяет администратору "повысить уровень" промежуточного сервера до рабочей среды с помощью простого коммутатора конфигурации.
• Используйте Виртуализацию . Если Microsoft Entra Connect развернута на виртуальной машине, администраторы могут применить стек виртуализации для динамической, миграции или быстро развернуть виртуальную машину и, следовательно, возобновить синхронизацию.

Если вашей организации не хватает стратегии аварийного восстановления и отработки отказа для синхронизации, вам не следует стесняться развертывать Microsoft Entra Connect в промежуточном режиме. Аналогичным образом, если между рабочей и промежуточной конфигурацией имеется несоответствие, необходимо перенаправить промежуточный режим Microsoft Entra Connect, чтобы соответствовать рабочей конфигурации, включая версии программного обеспечения и конфигурации.

Последние новости

Корпорация Майкрософт регулярно обновляет Microsoft Entra Connect. Будьте в курсе событий, чтобы воспользоваться преимуществами повышения производительности, исправления ошибок и новых возможностей, которые предоставляет каждая новая версия.

Если версия Microsoft Entra Connect превышает шесть месяцев, необходимо обновить до последней версии.

Привязка к источнику

Использование ms-DS-consistencyguid в качестве привязки к источнику позволяет упростить миграцию объектов между лесами и доменами, что является обычным делом при консолидации/очистке доменов AD, слияниях, поглощениях и разделениях.

Если вы в настоящее время используете ObjectGuid в качестве привязки к источнику, мы рекомендуем вам переключиться на использование ms-DS-ConsistencyGuid.

Настраиваемые правила

Пользовательские правила Microsoft Entra Connect позволяют управлять потоком атрибутов между локальными объектами и облачными объектами. Однако чрезмерное или неправильное использование пользовательских правил может привести к следующим рискам:

• Сложность устранения неполадок
• Снижение производительности при выполнении сложных операций над объектами
• Более высокая вероятность расхождения конфигурации между производственным сервером и промежуточным сервером
• Дополнительные издержки при обновлении Microsoft Entra Connect, если пользовательские правила создаются в пределах приоритета больше 100 (используется встроенными правилами)

Если вы используете слишком сложные правила, следует изучить причины сложности и найти возможности для упрощения. Аналогичным образом, если вы создали пользовательские правила со значением приоритета более 100, следует исправить правила, чтобы они не были подвержены риску или конфликтуют с набором по умолчанию.

Примеры неправильного использования пользовательских правил:

• Компенсируйте грязные данные в каталоге. В этом случае рекомендуется работать с владельцами команды AD и очищать данные в каталоге в качестве задачи исправления и настраивать процессы, чтобы избежать повторного введения плохих данных.
• Одноразовая исправление отдельных пользователей — обычно часто можно найти правила, которые изливает особый случай, как правило, из-за проблемы с конкретным пользователем.
• Чрезмерно усложненный "CloudFiltering" — при снижении количества объектов рекомендуется создать слишком много правил синхронизации. Если вы используете сложную логику для включения и исключения объектов за пределами процесса фильтрации подразделений, рекомендуется обрабатывать эту логику за пределами синхронизации. Для этого можно пометить объекты с помощью простого атрибута CloudFiltered, который может выполняться с помощью простого правила синхронизации.

Документатор конфигурации Microsoft Entra Connect

Документатор конфигурации Microsoft Entra Connect — это средство создания документации по установке Microsoft Entra Connect. Это средство дает лучшее представление о конфигурации синхронизации и помогает обеспечить уверенность в правильности работы. Средство также сообщает о том, какие изменения произошли при применении новой сборки или конфигурации Microsoft Entra Connect, а также о том, какие пользовательские правила синхронизации были добавлены или обновлены.

Текущие возможности инструмента включают:

• Документация по полной конфигурации Microsoft Entra Connects Sync.
• Документация по любым изменениям в конфигурации двух серверов синхронизации Microsoft Entra Connect или изменений из заданной базовой конфигурации.
• Создание сценария развертывания PowerShell для переноса различий в правилах синхронизации или настроек с одного сервера на другой.

Назначение приложениям и ресурсам

Групповое лицензирование облачных сервисов Майкрософт

Идентификатор Microsoft Entra упрощает управление лицензиями с помощью группового лицензирования для облачных служб Майкрософт. Таким образом, IAM предоставляет инфраструктуру группы и делегирует управление этими группами соответствующим командам в организациях. Существует несколько способов настройки членства в группах в идентификаторе Microsoft Entra ID, в том числе:

• Синхронизация из локальной среды — группы могут поступать из локальных каталогов, которые могут быть хорошим подходом для организаций, которые установили процессы управления группами, которые могут быть расширены для назначения лицензий в Microsoft 365.

• Динамические группы членства . Группы на основе атрибутов можно создавать в облаке на основе выражения на основе атрибутов пользователей, например, Отдел равен "продажам". Идентификатор Microsoft Entra поддерживает члены группы, сохраняя его в соответствии с определенным выражением. Использование динамических групп членства для назначения лицензий позволяет назначать лицензии на основе атрибутов, что хорошо подходит для организаций с высоким качеством данных в их каталоге.

• Делегированное владение — группы могут быть созданы в облаке и назначены владельцами. Таким образом, вы можете дать возможность владельцам бизнеса, например команде совместной работы или группе бизнес-аналитики, определять, кто должен иметь доступ.

Если вы используете ручной процесс для назначения лицензий и компонентов пользователям, рекомендуется реализовать групповое лицензирование. Если текущий процесс не отслеживает ошибки лицензирования или определяет, какие лицензии назначены и доступны, необходимо определить улучшения процесса. Убедитесь, что процесс устраняет ошибки лицензирования и отслеживает назначения лицензирования.

Другой аспект управления лицензиями — определение планов обслуживания (компонентов лицензии), которые должны быть включены в зависимости от должностных функций в организации. Предоставление доступа к планам обслуживания, которые не нужны, может привести к тому, что пользователи видят средства на портале Microsoft 365, на которых они еще не были обучены или не должны использоваться. Эти сценарии могут обеспечить дополнительный объем службы технической поддержки, ненужную подготовку и поставить под угрозу соответствие требованиям и управление; Например, при подготовке OneDrive пользователям, которым может быть запрещен общий доступ к содержимому.

Используйте следующие рекомендации для определения планов обслуживания для пользователей.

• Администраторы должны определять "пакеты" планов обслуживания, которые будут предлагаться пользователям на основе их роли; например, белый воротник работник и рабочий пол.
• Создайте группы по кластеру и назначьте лицензию с тарифным планом.
• При желании можно определить атрибут для хранения пакетов для пользователей.

Управление жизненным циклом

Если вы используете в настоящее время средство, например Microsoft Identity Manager или стороннюю систему, которая использует локальную инфраструктуру, рекомендуется выгрузить назначение из существующего средства. Вместо этого следует реализовать групповое лицензирование и определить управление жизненным циклом группы на основе динамических групп членства.

Если существующий процесс не учитывает новых сотрудников или сотрудников, которые покидают организацию, необходимо развернуть групповое лицензирование на основе динамических групп членства и определить их жизненный цикл. Наконец, если лицензирование на основе групп развертывается в локальных группах, которые не имеют управления жизненным циклом, рассмотрите возможность использования облачных групп для включения таких возможностей, как делегированное владение или группы динамического членства на основе атрибутов.

Отнесение приложений к группе "Все пользователи"

Владельцы ресурсов могут поверить, что группа "Все пользователи" содержит только корпоративных сотрудников, если они могут содержать как корпоративных сотрудников, так и гостей. В результате вам следует проявлять особую осторожность при использовании группы Все пользователи для назначения приложений и предоставления доступа к таким ресурсам, как контент или приложения SharePoint.

Автоматическая подготовка пользователей в приложениях

Автоматическая подготовка пользователей для приложений — лучший способ создания согласованной подготовки, отмены подготовки и жизненного цикла удостоверений в нескольких системах.

Если вы в настоящее время подготавливаете приложения в нерегламентированном режиме или используете CSV-файлы, JIT или локальное решение, которое не отвечает управлению жизненным циклом, рекомендуется реализовать подготовку приложений с помощью идентификатора Microsoft Entra. Это решение предоставляет поддерживаемые приложения и определяет согласованный шаблон для приложений, которые еще не поддерживаются идентификатором Microsoft Entra.

Базовый цикл разностной синхронизации Microsoft Entra Connect

Важно понимать объем изменений в организации и убедиться, что это не занимает слишком много времени, чтобы обеспечить прогнозируемое время синхронизации.

Частота по умолчанию дельта-синхронизации составляет 30 минут. Если разностная синхронизация занимает более 30 минут или между производительностью разностной синхронизации промежуточной и рабочей среды требуется исследовать и проверить факторы, влияющие на производительность Microsoft Entra Connect.

Рекомендации по устранению неполадок Microsoft Entra Connect

• Подготовьте атрибуты каталога для синхронизации с Microsoft 365 с помощью инструмента IdFix
• Microsoft Entra Connect: устранение ошибок во время синхронизации

Итоги

Есть пять аспектов безопасной инфраструктуры идентификации. Этот список помогает быстро найти и выполнить необходимые действия для защиты жизненного цикла удостоверений и их прав в организации.

• Назначьте владельцев на ключевые задачи.
• Найдите и устраните проблемы с синхронизацией.
• Определите стратегию аварийного переключения для аварийного восстановления.
• Оптимизируйте управление лицензиями и назначением приложений.
• Автоматизируйте синхронизацию пользователей с приложениями.

Следующие шаги

Начните с проверок и действий управления аутентификацией.