Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Azure Active Directory теперь Microsoft Entra ID, которая обеспечивает защиту вашей организации с помощью облачного управления удостоверениями и доступом. Решение подключает сотрудников, клиентов и партнеров к своим приложениям, устройствам и данным.
Используйте инструкции из этой статьи, чтобы создать план для развертывания Microsoft Entra ID. Узнайте о основах планирования, а затем используйте следующие разделы для развертывания проверки подлинности, приложений и устройств, гибридных сценариев, удостоверения пользователя и многое другое.
Подсказка
Ищете схемы архитектуры и эталонные архитектуры? Подробные схемы архитектуры, гибридные идентификационные топологии и рекомендации по проектированию см. в следующих статьях.
- Обзор архитектуры Microsoft Entra — проектирование служб, масштабируемость и доступность
- Создание устойчивости в гибридной архитектуре — схемы архитектуры для PHS, PTA и федерации
- Выбор правильного метода проверки подлинности — дерево принятия решений проверки подлинности
- Архитектура идентификации и управления доступом в Azure — эталонные архитектуры, базовые реализации и рекомендации по проектированию
- Варианты размещения данных и суверенных облачных решений — местоположения хранения данных и ограничения среды
Заинтересованные лица и роли
При запуске планов развертывания включите ключевых заинтересованных лиц. Определение и документирование заинтересованных лиц, затронутых ролей и областей владения и обязанностей, которые обеспечивают эффективное развертывание. Названия и роли отличаются от одной организации к другой, однако области владения похожи. В следующей таблице приведены общие и влиятельные роли, влияющие на любой план развертывания.
| Роль | Обязанности |
|---|---|
| Спонсор | Старший руководитель предприятия с полномочиями утвердить или назначить бюджет и ресурсы. Спонсором является связь между менеджерами и исполнительной командой. |
| Конечные пользователи | Люди, для которых реализована служба. Пользователи могут участвовать в пилотной программе. |
| Менеджер по ИТ-поддержке | Предоставляет входные данные о поддержке предлагаемых изменений |
| Архитектор удостоверений | Определяет, как изменение соответствует инфраструктуре управления удостоверениями |
| Владелец бизнеса приложения | Владеет затронутыми приложениями, которые могут включать управление доступом. Предоставляет отзывы о пользовательском опыте. |
| Владелец системы безопасности | Подтверждает, что план изменений соответствует требованиям безопасности |
| Диспетчер соответствия | Обеспечивает соответствие корпоративным, отраслевым или государственным требованиям |
RACI
Ответственные, подотчетные, консультируемые и информированные (ответственные/подотчетные/консультируемые/информированные (RACI)) — это модель участия различных ролей для выполнения задач или поставок для проекта или бизнес-процесса. Используйте эту модель, чтобы убедиться, что роли в вашей организации понимают обязанности по развертыванию.
-
Ответственный — люди, ответственные за правильное завершение задачи.
- Существует по крайней мере одна ответственная роль, хотя вы можете делегировать другие роли для помощи в выполнении работы.
- Подотчетный — тот, кто несет конечную ответственность за правильность и завершение результата выполнения или задачи. Роль, обеспечивающая ответственность, гарантирует выполнение предварительных требований к задачам и поручает работу ответственным ролям. Роль "Ответственный" утверждает работу, которую предоставляет Исполнитель. Назначьте одного ответственного за каждую задачу или результат.
- Консультирующий - Роль Консультирующего предоставляет рекомендации, обычно это эксперт по предметной области (SME).
- Информировано - люди информировались о прогрессе, как правило, по завершении задачи или поставки.
Развертывание аутентификации
Используйте следующий список для планирования развертывания проверки подлинности.
Microsoft Entra многофакторной проверки подлинности (MFA) - При использовании методов проверки подлинности, утвержденных администратором, многофакторная проверка подлинности помогает защитить доступ к вашим данным и приложениям, одновременно удовлетворяя требования к простоте входа.
Условный доступ . Реализация автоматизированных решений по управлению доступом для пользователей для доступа к облачным приложениям на основе условий:
Microsoft Entra для самостоятельного сброса пароля (SSPR) — помогает пользователям сбросить пароль без вмешательства администратора:
См. метод проверки подлинности Passkeys (FIDO2) в Microsoft Entra ID
См. раздел Планирование развертывания функции самообслуживания сброса пароля в Microsoft Entra
Passwordless authentication — реализуйте проверку подлинности без пароля с помощью ключей безопасности Microsoft Authenticator или FIDO2 Security:
Приложения и устройства
Используйте следующий список, чтобы помочь развернуть приложения и устройства.
- Единый вход (SSO) — предоставьте пользователям доступ к приложениям и ресурсам с помощью одного входа без повторного ввода учетных данных.
- портал Мои приложения — обнаружение и доступ к приложениям. Включите производительность пользователей с помощью самообслуживания, например запрашивать доступ к группам или управлять доступом к ресурсам от имени других пользователей.
- Обзор портала Мои приложения
- Devices — оцените методы интеграции устройств с Microsoft Entra ID, выберите план реализации и многое другое.
Гибридные сценарии
Схемы архитектуры и шаблоны устойчивости для развертываний гибридных удостоверений см. в статье "Создание устойчивости в гибридной архитектуре". Для получения полных эталонных архитектур со скачиваемыми схемами Visio см. раздел Интеграция локальной Active Directory с Microsoft Entra ID.
В следующем списке описаны функции и службы в гибридных сценариях.
- службы федерации Active Directory (AD FS) (AD FS) — перенос проверки подлинности пользователей из федерации в облако с сквозной проверкой подлинности или синхронизацией хэша паролей:
- Прокси-сервер приложения Microsoft Entra — позволяет сотрудникам быть продуктивными на устройстве. Узнайте о приложениях saaS в облаке и корпоративных приложениях в локальной среде. Microsoft Entra прокси приложения обеспечивает доступ без виртуальных частных сетей (VPN) или демилитаризованных зон (DMZ):
- Безшовный единый вход (Seamless SSO) — используйте Безшовный единый вход для авторизации пользователей на корпоративных устройствах, подключенных к корпоративной сети. Пользователям не нужны пароли для входа в Microsoft Entra ID, и обычно не нужно вводить имена пользователей. Авторизованные пользователи получают доступ к облачным приложениям без дополнительных локальных компонентов:
Пользователи
- Идентичности пользователей - Узнайте об автоматизации процесса создания, обслуживания и удаления идентичностей пользователей в облачных приложениях, таких как Dropbox, Salesforce, ServiceNow и других.
- Управление Microsoft Entra ID — создание системы управления удостоверениями и улучшение бизнес-процессов, основанных на данных удостоверений. С помощью HR-продуктов, таких как Workday или Successfactors, управляйте жизненным циклом идентификаций сотрудников и временного персонала с помощью правил. Эти правила сопоставляют процессы Joiner-Mover-Leaver (JLM), такие как принятие на работу, увольнение, перевод, с ИТ-действиями, например создание, включение, отключение. Дополнительные сведения см. в следующем разделе.
- B2B совместная работа Microsoft Entra — улучшите совместную работу внешних пользователей с безопасным доступом к приложениям:
Управление идентификацией и отчетность
Управление Microsoft Entra ID позволяет организациям повысить производительность, укрепить безопасность и упростить соответствие требованиям и нормативным требованиям. Используйте Управление Microsoft Entra ID, чтобы обеспечить правильный доступ к нужным ресурсам. Улучшение автоматизации процессов идентификации и доступа, делегирование бизнес-группам и повышение видимости. Используйте следующий список, чтобы узнать об управлении удостоверениями и отчетах.
Подробнее:
Представляем Microsoft Entra — безопасный доступ для подключенного мира
управление привилегированными пользователями (PIM) — управление привилегированными административными ролями в Microsoft Entra ID, ресурсах Azure и других онлайн-сервисах Майкрософт. Используйте его для доступа по требованию (JIT), процессов утверждения запросов и интегрированных проверок доступа, чтобы предотвратить злонамеренные действия:
Reporting and monitoring . Проект решения для создания отчетов и мониторинга Microsoft Entra имеет зависимости и ограничения: юридические, безопасность, операции, среда и процессы.
Проверки доступа. Общие сведения о доступе к ресурсам и управление ими:
Рекомендации по пилотным проектам
Прежде чем вносить изменения для больших групп или всех, используйте пилотные проекты для тестирования с небольшой группой. Убедитесь, что каждый вариант использования в вашей организации тестируется.
Пилотный проект: этап 1
На первом этапе нацеливайтесь на ИТ, удобство использования и других пользователей, которые могут тестировать и предоставлять отзывы. Используйте этот отзыв, чтобы получить аналитические сведения о потенциальных проблемах для сотрудников службы поддержки, а также для разработки сообщений и инструкций, которые вы отправляете всем пользователям.
Пилотный проект: этап 2
Расширяйте пилотный проект до более крупных групп пользователей с помощью динамического членства или вручную добавляя пользователей в целевые группы.
Дополнительные сведения: правила динамического членства для групп в Microsoft Entra ID