Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Управление Microsoft Entra ID — это решение для управления удостоверениями, которое позволяет организациям повысить производительность, укрепить безопасность и упростить соответствие требованиям и нормативным требованиям. Управление Microsoft Entra ID использует аналитические сведения на основе искусственного интеллекта, чтобы помочь организациям автоматически обеспечить правильный доступ к правильным ресурсам. Это достигается благодаря автоматизации процессов идентификации и доступа, делегированию бизнес-группам и повышению видимости. С помощью функций в Управление Microsoft Entra ID и связанных Майкрософт продуктах вы можете снизить риски идентификации и доступа, защищая, отслеживая и проверяя доступ к критически важным ресурсам.
В частности, Управление Microsoft Entra ID помогает организациям решать эти четыре ключевых вопроса для доступа к службам и приложениям как в локальной среде, так и в облаках:
- Какие идентичности должны иметь доступ к каким ресурсам?
- Что эти идентичности делают с этим доступом?
- Существуют ли организационные элементы управления доступом?
- Могут ли аудиторы проверить, работает ли контроль эффективно?
С помощью Управление Microsoft Entra ID можно реализовать следующие сценарии для сотрудников, деловых партнеров и поставщиков:
- Управление жизненным циклом удостоверений
- Управление жизненным циклом доступа
- обеспечение безопасного привилегированного доступа для администрирования.
Жизненный цикл идентичности
Служба Identity Governance помогает организациям найти нужный баланс между показателями производительности (скорость, с которой сотрудник получает доступ к нужным ресурсам, например при начале работы в организации) и безопасности (динамика изменения уровня доступа со временем, например при изменении роли пользователя в организации). Управление жизненным циклом удостоверений — базовый процесс службы Identity Governance. Чтобы обеспечить эффективность управления в масштабе всей организации, необходимо модернизировать инфраструктуру управления жизненным циклом удостоверений для приложений.
Для многих организаций жизненный цикл идентификации для сотрудников и других работников связан с представлением этого человека в HCM (управление персоналом) или системе кадров. Организациям необходимо автоматизировать процесс создания удостоверения для нового сотрудника, основанного на сигнале от этой системы, чтобы сотрудник был продуктивным в день 1. И организациям необходимо обеспечить удаление учётных данных и прав доступа, когда сотрудник покидает организацию.
В Управление Microsoft Entra ID можно автоматизировать жизненный цикл удостоверения для этих лиц:
- входящее обеспечение из источников отдела кадров вашей организации, включая получение данных из Workday и SuccessFactors, для автоматического поддержания идентификаторов пользователей в Active Directory и Microsoft Entra ID.
- Рабочие процессы жизненного цикла для автоматизации задач, которые выполняются при определенных ключевых событиях, таких как накануне начала работы нового сотрудника в организации, при изменении его статуса в течение работы и при его уходе из организации. Например, рабочий процесс можно настроить для отправки электронной почты с временным доступом к руководителю нового пользователя или приветственному сообщению электронной почты пользователю в первый день.
- автоматические политики назначения в управлении правами для добавления и удаления членства в группах пользователя, ролей приложений и ролей сайта SharePoint на основе изменений атрибутов пользователя.
- Подготовка пользователей для создания, обновления и удаления учетных записей пользователей в других приложениях с соединителями для сотен облачных и локальных приложений через SCIM, LDAP и SQL.
Организации также нуждаются в дополнительных удостоверениях для партнеров, поставщиков и других гостей, чтобы они могли сотрудничать или иметь доступ к ресурсам.
В Управление Microsoft Entra ID можно настроить бизнес-группы, чтобы определить, какие из этих гостей могут получить доступ, а также на какой срок, используя:
- Управление правами доступа, в котором можно указать другие организации, чьи удостоверения имеют разрешение запрашивать доступ к ресурсам вашей организации. При утверждении одного из запросов удостоверений, управление доступом автоматически добавляет их как гостя B2B в каталог вашей организации. Затем им назначен соответствующий доступ. Управление правами автоматически удаляет гостевого пользователя B2B из каталога вашей организации при истечении срока действия или отмене прав доступа.
- Проверки доступа, автоматизирующие регулярные обзоры существующих гостей, уже добавленных в каталог вашей организации, и удаляющие эти учетные записи из каталога, если доступ больше не требуется. Предложения, на основе искусственного интеллекта, помогают рецензентам принимать более обоснованные решения.
Дополнительные сведения см. в разделе "Управление жизненным циклом сотрудников и гостей".
Жизненный цикл доступа
Организациям нужен процесс для управления доступом, превышающим изначально предоставленные права, когда создавалась учетная запись пользователя. Более того, им важно иметь возможность эффективного масштабирования для разработки и применения политик доступа и элементов управления в непрерывном цикле.
С помощью Управление Microsoft Entra ID ИТ-отделы могут установить, какие удостоверения прав доступа должны иметь в разных ресурсах. Они также могут определить необходимые проверки обеспечения соблюдения, такие как разделение обязанностей или удаление доступа при изменении должности. Microsoft Entra ID имеет соединители для сотен облачных и локальных приложений. Вы можете интегрировать другие приложения вашей организации, использующиегруппы AD
Доступ к изменениям между приложениями и группами можно автоматизировать на основе изменений атрибутов. Microsoft Entra рабочие процессы жизненного цикла и Microsoft Entra управление правами доступа автоматически добавляют и удаляют удостоверения в группы или пакеты доступа, так чтобы доступ к приложениям и ресурсам обновлялся. Удостоверения также можно перемещать, когда их статус в организации изменяется и они переносятся в другие группы, и даже полностью удалять из всех групп или пакетов доступа.
Организации, которые ранее использовали локальный продукт управления удостоверениями, могут перенести свою организационную модель ролей в Управление Microsoft Entra ID.
Кроме того, ИТ-подразделение может делегировать решения по управлению доступом лицам, принимающим бизнес-решения. Например, сотрудники, желающие получить доступ к конфиденциальным данным клиентов в маркетинговом приложении компании в Европе, могут потребовать одобрения от своего руководителя, руководителя отдела или владельца ресурсов и сотрудника по вопросам безопасности. Entitlement management позволяет определить, как удостоверения запрашивают доступ в пакетах членства в группах и командах, ролях приложений и SharePoint Online, и обеспечивает проверку разделения обязанностей при запросах доступа. Пакеты доступа могут требовать регулярных проверок доступа и другие права доступа, такие как членство в группах, также можно регулярно проверять с помощью регулярных отчётов о доступе Microsoft Entra для повторной сертификации доступа, включая ИИ-определяемые одиночные выбросы, которые могут требовать более высокого контроля.
Организации также могут контролировать, к каким ресурсам имеют доступ гостевые учётные записи, включая локальные приложения.
Жизненный цикл привилегированного доступа
Управление привилегированным доступом является ключевой частью современной системы управления удостоверениями, особенно учитывая риск неправильного использования, связанный с правами администратора, который может причинить вред организации. Сотрудники, поставщики и подрядчики, которые получают административные права, должны иметь свои учетные записи и привилегированные права доступа, которые необходимо управлять.
Microsoft Entra управление привилегированными пользователями (PIM) предоставляет дополнительные элементы управления, предназначенные для защиты прав доступа к ресурсам в Microsoft Entra, Azure, других Майкрософт веб-служб и других приложений. Доступ по запросу и возможности уведомления об изменении ролей, предоставляемые Microsoft Entra PIM, в дополнение к многофакторной аутентификации и условному доступу, обеспечивают комплексный набор средств управления для защиты ресурсов вашей организации (роли каталогов, роли Microsoft 365, роли ресурсов Azure и членство в группах). Как и в случае других форм доступа, организации могут использовать проверки доступа для настройки периодической повторной сертификации доступа всех учетных данных, касающихся привилегированных ролей администратора.
Требования к лицензиям
Для использования этой функции требуются лицензии Управление Microsoft Entra ID или Microsoft Entra Suite. Чтобы найти подходящую лицензию для ваших требований, ознакомьтесь с основами лицензирования Управление Microsoft Entra ID.
Начало работы
Ознакомьтесь с Prerequisites, прежде чем настраивать Microsoft Entra ID для управления удостоверениями. Затем посетите панель мониторинга Governance в Центр администрирования Microsoft Entra, чтобы начать использовать управление правами, проверки доступа, рабочие процессы жизненного цикла и управление привилегированными пользователями.
Существуют также руководства по управлению доступом к ресурсам в управлении правами, подключению внешних пользователей к Microsoft Entra ID через процесс утверждения, управлению доступом к вашим приложениям и существующим пользователям приложения.
Хотя каждая организация может иметь собственные уникальные требования, приведенные ниже руководства по настройке также предоставляют базовые политики, Майкрософт рекомендует следовать, чтобы обеспечить более безопасную и эффективную рабочую силу.
- Планирование развертывания проверок доступа для управления жизненным циклом доступа к ресурсам
- конфигурации "Никому не доверяй" для идентификации и доступа к устройствам
- Защита привилегированного доступа
Вы также можете взаимодействовать с одним из Майкрософт служб и партнеров по интеграции для планирования развертывания или интеграции с приложениями и другими системами в вашей среде.
Если у вас есть отзывы о функциях управления удостоверениями, нажмите Есть отзыв? в центре администрирования Microsoft Entra, чтобы отправить ваш отзыв. Наши специалисты регулярно проверяют ваши отзывы.
Упрощение задач управления идентификатором с помощью автоматизации
Начав использовать эти функции управления идентификатором, вы сможете легко автоматизировать распространенные сценарии управления идентификатором. В следующей таблице показано, как приступить к работе с автоматизацией для каждого сценария:
| Сценарий для автоматизации | Руководство по автоматизации |
|---|---|
| Создание, обновление и удаление учетных записей пользователей Active Directory и Microsoft Entra для сотрудников автоматически | Планирование облачных HR-систем для подготовки пользователей Microsoft Entra |
| Обновление членства в группе на основе изменений атрибутов зарегистрированного пользователя | Создание динамической группы |
| Назначение лицензий | Групповое лицензирование |
| Добавление и удаление членства в группах пользователя, ролей приложений и ролей сайтов SharePoint на основе изменений атрибутов пользователя | Настройка политики автоматического назначения для пакета доступа в управлении правами доступа |
| Добавление и удаление членства пользователя в группах, ролях приложений и ролях сайтов SharePoint на конкретную дату | Настройка параметров жизненного цикла для пакета для доступа в управлении правами |
| Запуск настраиваемых рабочих процессов, когда пользователь запрашивает доступ, получает его или доступ удаляется | Активация Logic Apps в управлении правами |
| Регулярно пересматриваются гостевые членства в группах Майкрософт и Teams, и удаляются те гостевые членства, которые отклонены. | Создание проверки доступа |
| Удаление гостевых учетных записей, которые были отклонены рецензентом | Проверка и удаление внешних пользователей, у которых больше нет доступа к ресурсам |
| Удаление гостевых учетных записей, у которых нет назначений пакета для доступа | Управление жизненным циклом внешних пользователей |
| Подготовка пользователей к работе в локальных и облачных приложениях, имеющих собственные каталоги или базы данных | Настройка автоматической подготовки пользователей к работе с помощью назначений пользователей или фильтров масштабирования |
| Другие запланированные задачи | Автоматизируйте задачи управления удостоверениями с помощью Cлужба автоматизации Azure и Microsoft Graph через модуль PowerShell Майкрософт.Graph.Identity.Governance |
| Обнаружение потерянных или локальных учетных записей в приложениях | Обнаружение существующих пользователей в приложениях. |
Управление удостоверениями для агентов (предварительная версия)
Добавление платформы идентификации агентов Майкрософт делает управление удостоверением и доступом агентов столь же важным в жизненном цикле управления вашей организации, как и управление идентичностью сотрудников. Дополнительные сведения см. в разделе "Управление удостоверениями агента (предварительная версия)".