Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Управление Microsoft Entra ID — это решение для управления удостоверениями, которое позволяет организациям повысить производительность, укрепить безопасность и упростить соответствие требованиям и нормативным требованиям. Управление Microsoft Entra ID использует аналитические сведения на основе искусственного интеллекта, чтобы помочь организациям автоматически обеспечить правильный доступ к правильным ресурсам. Это достигается благодаря автоматизации процессов идентификации и доступа, делегированию бизнес-группам и повышению видимости. С помощью функций в Управление Microsoft Entra ID и связанных Microsoft продуктах вы можете снизить риски идентификации и доступа, защищая, отслеживая и проверяя доступ к критически важным ресурсам.
В частности, Управление Microsoft Entra ID помогает организациям решать эти четыре ключевых вопроса для доступа к службам и приложениям как в локальной среде, так и в облаках:
- Какие идентичности должны иметь доступ к каким ресурсам?
- Что эти идентичности делают с этим доступом?
- Существуют ли организационные элементы управления доступом?
- Могут ли аудиторы проверить, работает ли контроль эффективно?
С помощью Управление Microsoft Entra ID можно реализовать следующие сценарии для сотрудников, деловых партнеров и поставщиков:
- Управление жизненным циклом удостоверений
- Управление жизненным циклом доступа
- обеспечение безопасного привилегированного доступа для администрирования.
Жизненный цикл идентичности
Служба Identity Governance помогает организациям найти нужный баланс между показателями производительности (скорость, с которой сотрудник получает доступ к нужным ресурсам, например при начале работы в организации) и безопасности (динамика изменения уровня доступа со временем, например при изменении роли пользователя в организации). Управление жизненным циклом удостоверений — базовый процесс службы Identity Governance. Чтобы обеспечить эффективность управления в масштабе всей организации, необходимо модернизировать инфраструктуру управления жизненным циклом удостоверений для приложений.
Для многих организаций жизненный цикл идентификации для сотрудников и других работников связан с представлением этого человека в HCM (управление персоналом) или системе кадров. Организациям необходимо автоматизировать процесс создания удостоверения для нового сотрудника, основанного на сигнале от этой системы, чтобы сотрудник был продуктивным в день 1. И организациям необходимо обеспечить удаление учётных данных и прав доступа, когда сотрудник покидает организацию.
В Управление Microsoft Entra ID можно автоматизировать жизненный цикл удостоверения для этих лиц:
- входящее обеспечение из источников отдела кадров вашей организации, включая получение данных из Workday и SuccessFactors, для автоматического поддержания идентификаторов пользователей в Active Directory и Microsoft Entra ID.
- Рабочие процессы жизненного цикла для автоматизации задач, которые выполняются при определенных ключевых событиях, таких как накануне начала работы нового сотрудника в организации, при изменении его статуса в течение работы и при его уходе из организации. Например, рабочий процесс можно настроить для отправки электронной почты с временным доступом к руководителю нового пользователя или приветственному сообщению электронной почты пользователю в первый день.
- автоматические политики назначения в управлении правами для добавления и удаления членства в группах пользователя, ролей приложений и ролей сайта SharePoint на основе изменений атрибутов пользователя.
- Подготовка пользователей для создания, обновления и удаления учетных записей пользователей в других приложениях с соединителями для сотен облачных и локальных приложений через SCIM, LDAP и SQL.
Организации также нуждаются в дополнительных удостоверениях для партнеров, поставщиков и других гостей, чтобы они могли сотрудничать или иметь доступ к ресурсам.
В Управление Microsoft Entra ID можно настроить бизнес-группы, чтобы определить, какие из этих гостей могут получить доступ, а также на какой срок, используя:
- Управление правами доступа, в котором можно указать другие организации, чьи удостоверения имеют разрешение запрашивать доступ к ресурсам вашей организации. При утверждении одного из запросов удостоверений, управление доступом автоматически добавляет их как гостя B2B в каталог вашей организации. Затем им назначен соответствующий доступ. Управление правами автоматически удаляет гостевого пользователя B2B из каталога вашей организации при истечении срока действия или отмене прав доступа.
- Проверки доступа, автоматизирующие регулярные обзоры существующих гостей, уже добавленных в каталог вашей организации, и удаляющие эти учетные записи из каталога, если доступ больше не требуется. Предложения, на основе искусственного интеллекта, помогают рецензентам принимать более обоснованные решения.
Дополнительные сведения см. в разделе "Управление жизненным циклом сотрудников и гостей".
Жизненный цикл доступа
Организациям нужен процесс для управления доступом, превышающим изначально предоставленные права, когда создавалась учетная запись пользователя. Более того, им важно иметь возможность эффективного масштабирования для разработки и применения политик доступа и элементов управления в непрерывном цикле.
С помощью Управление Microsoft Entra ID ИТ-отделы могут установить, какие удостоверения прав доступа должны иметь в разных ресурсах. Они также могут определить необходимые проверки обеспечения соблюдения, такие как разделение обязанностей или удаление доступа при изменении должности. Microsoft Entra ID имеет соединители для сотен облачных и локальных приложений. Вы можете интегрировать другие приложения вашей организации, использующиегруппы AD
Доступ к изменениям между приложениями и группами можно автоматизировать на основе изменений атрибутов. Microsoft Entra рабочие процессы жизненного цикла и Microsoft Entra управление правами доступа автоматически добавляют и удаляют удостоверения в группы или пакеты доступа, так чтобы доступ к приложениям и ресурсам обновлялся. Удостоверения также можно перемещать, когда их статус в организации изменяется и они переносятся в другие группы, и даже полностью удалять из всех групп или пакетов доступа.
Организации, которые ранее использовали локальный продукт управления удостоверениями, могут перенести свою организационную модель ролей в Управление Microsoft Entra ID.
Кроме того, ИТ-подразделение может делегировать решения по управлению доступом лицам, принимающим бизнес-решения. Например, сотрудники, желающие получить доступ к конфиденциальным данным клиентов в маркетинговом приложении компании в Европе, могут потребовать одобрения от своего руководителя, руководителя отдела или владельца ресурсов и сотрудника по вопросам безопасности. Entitlement management позволяет определить, как удостоверения запрашивают доступ в пакетах членства в группах и командах, ролях приложений и SharePoint Online, и обеспечивает проверку разделения обязанностей при запросах доступа. Пакеты доступа могут требовать регулярных проверок доступа и другие права доступа, такие как членство в группах, также можно регулярно проверять с помощью регулярных отчётов о доступе Microsoft Entra для повторной сертификации доступа, включая ИИ-определяемые одиночные выбросы, которые могут требовать более высокого контроля.
Организации также могут контролировать, к каким ресурсам имеют доступ гостевые учётные записи, включая локальные приложения.
Жизненный цикл привилегированного доступа
Управление привилегированным доступом является ключевой частью современной системы управления удостоверениями, особенно учитывая риск неправильного использования, связанный с правами администратора, который может причинить вред организации. Сотрудники, поставщики и подрядчики, которые получают административные права, должны иметь свои учетные записи и привилегированные права доступа, которые необходимо управлять.
Microsoft Entra управление привилегированными пользователями (PIM) предоставляет дополнительные элементы управления, предназначенные для защиты прав доступа к ресурсам в Microsoft Entra, Azure, других Microsoft веб-служб и других приложений. Доступ по запросу и возможности уведомления об изменении ролей, предоставляемые Microsoft Entra PIM, в дополнение к многофакторной аутентификации и условному доступу, обеспечивают комплексный набор средств управления для защиты ресурсов вашей организации (роли каталогов, роли Microsoft 365, роли ресурсов Azure и членство в группах). Как и в случае других форм доступа, организации могут использовать проверки доступа для настройки периодической повторной сертификации доступа всех учетных данных, касающихся привилегированных ролей администратора.
Требования к лицензиям
Для использования этой функции требуются лицензии Управление Microsoft Entra ID или Microsoft Entra Suite. Чтобы найти подходящую лицензию для ваших требований, ознакомьтесь с основами лицензирования Управление Microsoft Entra ID.
Начало работы
Ознакомьтесь с Prerequisites, прежде чем настраивать Microsoft Entra ID для управления удостоверениями. Затем посетите панель мониторинга Governance в Центр администрирования Microsoft Entra, чтобы начать использовать управление правами, проверки доступа, рабочие процессы жизненного цикла и управление привилегированными пользователями.
Существуют также руководства по управлению доступом к ресурсам в управлении правами, подключению внешних пользователей к Microsoft Entra ID через процесс утверждения, управлению доступом к вашим приложениям и существующим пользователям приложения.
Хотя каждая организация может иметь собственные уникальные требования, приведенные ниже руководства по настройке также предоставляют базовые политики, Microsoft рекомендует следовать, чтобы обеспечить более безопасную и эффективную рабочую силу.
- Планирование развертывания проверок доступа для управления жизненным циклом доступа к ресурсам
- конфигурации "Никому не доверяй" для идентификации и доступа к устройствам
- Защита привилегированного доступа
Вы также можете взаимодействовать с одним из Microsoft служб и партнеров по интеграции для планирования развертывания или интеграции с приложениями и другими системами в вашей среде.
Если у вас есть отзывы о функциях управления удостоверениями, нажмите Есть отзыв? в центре администрирования Microsoft Entra, чтобы отправить ваш отзыв. Наши специалисты регулярно проверяют ваши отзывы.
Упрощение задач управления идентификатором с помощью автоматизации
Начав использовать эти функции управления идентификатором, вы сможете легко автоматизировать распространенные сценарии управления идентификатором. В следующей таблице показано, как приступить к работе с автоматизацией для каждого сценария:
| Сценарий для автоматизации | Руководство по автоматизации |
|---|---|
| Создание, обновление и удаление учетных записей пользователей Active Directory и Microsoft Entra для сотрудников автоматически | Планирование облачных HR-систем для подготовки пользователей Microsoft Entra |
| Обновление членства в группе на основе изменений атрибутов зарегистрированного пользователя | Создание динамической группы |
| Назначение лицензий | Групповое лицензирование |
| Добавление и удаление членства в группах пользователя, ролей приложений и ролей сайтов SharePoint на основе изменений атрибутов пользователя | Настройка политики автоматического назначения для пакета доступа в управлении правами доступа |
| Добавление и удаление членства пользователя в группах, ролях приложений и ролях сайтов SharePoint на конкретную дату | Настройка параметров жизненного цикла для пакета для доступа в управлении правами |
| Запуск настраиваемых рабочих процессов, когда пользователь запрашивает доступ, получает его или доступ удаляется | Активация Logic Apps в управлении правами |
| Регулярно пересматриваются гостевые членства в группах Microsoft и Teams, и удаляются те гостевые членства, которые отклонены. | Создание проверки доступа |
| Удаление гостевых учетных записей, которые были отклонены рецензентом | Проверка и удаление внешних пользователей, у которых больше нет доступа к ресурсам |
| Удаление гостевых учетных записей, у которых нет назначений пакета для доступа | Управление жизненным циклом внешних пользователей |
| Подготовка пользователей к работе в локальных и облачных приложениях, имеющих собственные каталоги или базы данных | Настройка автоматической подготовки пользователей к работе с помощью назначений пользователей или фильтров масштабирования |
| Другие запланированные задачи | Автоматизируйте задачи управления удостоверениями с помощью Cлужба автоматизации Azure и Microsoft Graph через модуль PowerShell Microsoft.Graph.Identity.Governance |
| Обнаружение потерянных или локальных учетных записей в приложениях | Обнаружение существующих пользователей в приложениях. |
Управление удостоверениями для агентов (предварительная версия)
С добавлением платформы идентификации агента Microsoft управление удостоверением и доступом агента наравне с людьми так же важно в управленческом жизненном цикле вашей организации. Microsoft Entra ID для агентов представляет идентичности агентов — специально созданные конструкты удостоверений для агентов ИИ — с элементами управления, которые решают уникальные проблемы автономных и полуавтономных агентов, работающих в масштабе предприятия.
Каждое удостоверение агента требует наличия куратора, который отвечает за назначение агента, принятие решений по жизненному циклу и проверку доступа. Если спонсор покидает организацию, спонсорство автоматически передается своему руководителю, обеспечивая непрерывный контроль над человеком. Схемы удостоверений агента служат централизованными шаблонами, которые позволяют организациям один раз применять правила условного доступа, права доступа и элементы управления, после чего все текущие и будущие экземпляры агента автоматически наследуют их. Эта модель схемы позволяет администраторам управлять, отключать или отменять разрешения для всего класса агентов в одной операции.
Идентификаторы агентов управляются с использованием тех же пакетов управления полномочиями, которые доступны для идентификаторов людей, обеспечивая доступ с ограниченным сроком действия, который может быть проверен и требует утверждения через рабочие процессы. Спонсоры получают уведомления об истечении срока действия и могут запрашивать продления или позволить доступу истечь. Рабочие процессы жизненного цикла автоматизируют уведомления о переходе спонсоров при изменении спонсорства. Все идентификации агентов доступны для обнаружения, поиска и запроса с помощью административного центра Microsoft Entra и Microsoft Graph, что дает организациям централизованную видимость для предотвращения неконтролируемого расползания агентов и использования теневого ИИ.
Дополнительные сведения см. в разделе "Управление удостоверениями агента ( предварительная версия)".