Microsoft 365 教育版文档和资源 -大型教育机构的架构指导 -设计身份治理

身份治理是跨多个应用程序和服务管理身份和访问权限,以满足安全和监管要求。在Azure的AD身份治理可以让你通过确保合适的人在合适的时间合适的访问正确的资源平衡安全性和生产效率。

Identity Governance 使您能够为本地和云中的服务和应用程序管理以下任务:

  • 管理身份生命周期。自动化用户生命周期事件,例如添加、移动和离开操作,以满足安全性和生产力需求。
  • 管理访问生命周期。通过使用自助服务请求和监控生命周期事件,快速管理对访问权限的更改。
  • 为管理提供安全的特权访问。管理对特权资源的访问,以降低过度、不必要或滥用权利的风险。

身份生命周期

当您的教育组织跨越多个 Azure AD 租户时,您将拥有内部身份(例如教育者和学生)以及外部身份(例如来自其他学校的员工)。

身份生命周期管理有助于为身份治理奠定基础。您将需要管理内部和外部身份的生命周期,以及它们与您的资源的关系。

组织内的每个人都有自己工作所需的资源子集。如果没有定义每个角色对每个项目的需求列表,管理访问是具有挑战性的。随着内部或外部身份加入、移入或离开组织,他们的身份和资源访问权限应随之调整。Azure AD 中的用户自动预配可以通过促进跨应用程序用户身份的创建、维护和最终删除来帮助解决这一挑战,以实现更好的协作。

用户配置

上传 CSV 文件或自定义脚本以同步用户数据等传统配置方法容易出错、不安全且难以管理。

自动配置是指在用户需要访问的云应用程序中创建用户身份和角色。除了创建用户身份之外,自动配置还包括随着状态或角色的变化而维护和删除用户身份。

我们建议大型教育组织使用自动化的 Azure AD 用户预配服务。此服务提供与基于云的人力资源 (HR) 应用程序(例如 Workday 和 SuccessFactors )的集成,并使您能够利用以下优势:

  • 最大限度地提高供应过程的效率和准确性
  • 节省与托管和维护定制开发的供应解决方案和脚本相关的成本
  • 通过在用户离开组织时立即从关键 SaaS 应用程序中删除用户的身份来保护您的组织
  • 轻松地将大量用户配置到特定的 SaaS 应用程序或系统
  • 确定谁被供应以及谁可以登录到应用程序的一致策略

入站用户配置

入站用户预配是用户数据从组织的人力资本管理 (HCM) 应用程序流向 Azure AD 或本地 的过程。当 HCM 应用程序支持SCIM 协议时,集成是可能的。还可以与提供供应 API 连接器的基于云的 HCM 系统集成。

入站用户供应。

若要了解详细信息,请参阅将云 HR 应用程序规划到 Azure Active Directory 用户预配

出站用户配置

出站用户配置或应用程序配置是指在用户必须访问的云软件服务 ( SaaS ) 应用程序中自动创建用户身份和角色。应用程序预配适用于Azure AD SaaS 应用程序库中的预集成应用程序)和支持 SCIM 2.0 的应用程序。

出站用户配置。

要了解更多信息,请参阅规划自动用户供应部署

访问生命周期

您的 EDU 组织将需要一个流程来管理初始创建和配置之外的访问。理想情况下,您还应该能够有效扩展,以便持续制定和实施访问策略和控制。

自助群组管理

如果可能,请使用自助服务组管理来利用以下好处:

安全。管理员可以根据用户属性为在 Azure AD 中创建的组设置规则。这允许成员自动添加到安全组或从安全组中删除。这些动态组可用于提供对应用程序或云资源的访问以及向成员分配许可证。条件访问策略可以通过确保合法用户访问应用程序来进一步增强安全性。例如,您可以选择包含HR应用程序作为云应用程序时的HR部门所有成员的组。

性价比高。通过自助服务组成员身份降低 IT 支持的成本、时间和工作量。自助服务组管理功能使您能够将组管理委派给您的用户。使用此功能,他们可以创建群组并管理他们拥有的群组中的成员资格。

自助服务。将组管理委托给您的用户。自助服务组管理功能使用户能够创建组并管理他们拥有的组中的成员资格。然后可以使用这些组来分配对应用程序的访问权限。例如,如果您想为教职员工分配访问权限以使用五个不同的 SaaS 应用程序,您可以创建一个包含教职员工部门用户的组,然后将该组分配给教职员工需要的这五个 SaaS 应用程序部门。

有关自助服务组管理的详细信息,请下载Azure Active Directory 自助服务组管理白皮书。

权限管理

管理用户对大型 EDU 中资源的访问具有挑战性,当您跨租户同时拥有内部和外部用户时更是如此。权利管理使用户(包括来宾)能够请求访问一个访问包,授予跨组、应用程序和 站点的访问权限。它还使您能够通过自动化访问请求工作流、访问分配、审查和到期来大规模管理身份和访问生命周期。

以下是您可以使用权利管理管理用户访问权限的资源类型:

  • Azure AD 安全组的成员资格
  • Microsoft 365 组和团队的成员资格
  • 分配给 Azure AD 企业应用程序,包括支持联合/单点登录和/或预配的 SaaS 应用程序和自定义集成应用程序
  • Online 网站的成员资格

访问包

权利管理允许定义代表作为一个单元分配给用户的一组资源的访问包、建立有效期、审批工作流等。访问包使您能够一次性设置资源和策略,自动管理访问权限访问包的生命周期。

Access 包必须放在称为目录的容器中。目录定义了您可以添加到访问包中的资源。目录用于委派,以便非管理员可以创建自己的访问包。目录所有者可以将他们拥有的资源添加到目录中。

作为教育组织,您应该考虑为每个学校创建一个目录,并为每个年级创建一个访问包,其中包含特定于该年级的资源的策略和访问权限。当学生升入下一个年级或教师转入另一个年级时,他们可以请求访问新年级的访问包,而与之前年级相关的访问权限将过期。

访问包还必须至少具有一项策略。策略指定谁可以请求访问包以及批准和生命周期设置。我们建议您使用权利管理将创建访问包和定义策略的能力委派给非管理员,其中包含用户可以请求的规则、谁必须批准他们的访问以及访问何时到期。

Access 包最适用于以下情况:

  • 用户需要对特定任务进行限时访问。例如,您可以使用基于组的许可和动态组来确保所有员工都有一个 邮箱,然后在用户需要额外访问权限的情况下使用访问包,例如从另一个部门读取部门资源。
  • 访问需要得到用户经理或其他指定人员的批准。
  • 部门希望在没有 IT 参与的情况下管理自己的资源访问策略。
  • 两所或更多学校在一个项目上进行合作,因此,需要通过 Azure AD B2B 引入来自一所学校的多个用户才能访问另一所学校的资源。

有关更多详细信息,请参阅在 Azure AD 权利管理中创建新的访问包

执照要求

使用访问包需要Azure AD Premium P2 许可证,并且需要:

  • 可以请求访问包的成员用户。
  • 请求访问包的成员和访客用户。
  • 批准访问包请求的成员和访客用户。
  • 直接分配给访问包的成员和来宾用户。

以下任务不需要 Azure AD Premium P2 许可证:

  • 具有设置初始目录、访问包和策略并将管理任务委派给其他用户的全局管理员角色的用户。
  • 已被委派管理任务的用户,例如目录创建者、目录所有者和访问包管理器。
  • 可以请求访问包但不请求访问包的客人。

 笔记

对于为成员用户购买的每个付费 Azure AD Premium P2 许可证,你可以使用 Azure AD B2B 邀请最多 5 个来宾用户。这些来宾用户还可以使用 Azure AD Premium P2 功能。有关详细信息,请参阅Azure AD B2B 协作许可指南

访问评论

用户入职后,您将需要一个流程,使您的用户的访问权限随着他们的需求随时间的变化而变化。

考虑以下:

  • 当新用户加入时,您如何确保他们拥有正确的访问权限以提高工作效率?
  • 当人们移动团队或离开学校时,您如何确保移除他们的旧访问权限,尤其是当涉及客人时?
  • 过多的访问权限可能会导致审计结果和妥协,因为它们表明缺乏对访问的控制。
  • 您必须主动与资源所有者互动,以确保他们定期查看谁有权访问其资源。

我们建议使用Azure AD 访问审查来有效地管理组成员身份、对应用程序的访问和角色分配。应定期审查用户的访问权限,以确保只有合适的人才能继续访问。

执照要求

使用 Access Reviews 需要Azure AD Premium P2 许可证,并且需要:

  • 被指定为审阅者的成员和来宾用户。
  • 执行自我审查的会员和访客用户。
  • 执行访问审查的组所有者。
  • 执行访问审查的应用程序所有者。

具有全局管理员或用户管理员角色的用户不需要 Azure AD Premium P2 许可证来设置访问审查、配置设置或应用审查中的决定。

对于分配给您自己组织的用户之一的每个付费 Azure AD Premium P2 许可证,您可以使用 Azure AD 企业对企业 (B2B) 根据外部用户限额邀请最多五个来宾用户。这些来宾用户还可以使用 Azure AD Premium P2 功能。有关详细信息,请参阅Azure AD B2B 协作许可指南

特权访问

身份治理的另一个关键生命周期是用户的特权访问。尽量减少有权访问敏感资源的用户数量有助于维护整体安全环境,但仍有用户需要管理员权限。管理管理员访问以降低过度、不必要或滥用访问权限的风险——无论它们来自您的学校还是其他学校。

特权身份管理

Azure AD特权身份管理 (PIM)提供基于时间和基于批准的角色激活,以降低对 Azure AD、Azure 和其他 Microsoft 在线服务(如 Microsoft 365 或 Microsoft Intune)中资源的过度、不必要或滥用访问权限的风险. 它用于通过降低特权暴露时间并通过报告和警报增加对其使用的可见性来保护特权帐户。

以下是特权身份管理的一些主要功能:

  • 提供对 Azure AD 和 Azure 资源的即时特权访问
  • 使用开始和结束日期分配对资源的限时访问
  • 需要批准才能激活特权角色
  • 强制执行多重身份验证以激活任何角色
  • 使用理由来理解用户激活的原因
  • 激活特权角色时收到通知
  • 进行访问审查以确保用户仍然需要角色
  • 下载内部或外部审计的审计历史记录

我们建议使用 PIM 来管理和控制组织中的以下各项:

  • 启用对特定角色的批准
  • 指定批准者用户或组以批准请求
  • 查看所有特权角色的请求和批准历史记录
  • 批准或拒绝角色提升请求(单一和批量)
  • 提供批准或拒绝的理由
  • 请求激活需要批准的角色

执照要求

使用 PIM 需要Azure AD Premium P2 许可证,并且需要:

  • 分配为符合使用 PIM 管理的 Azure AD 或 Azure 角色的用户。
  • 被分配为合格成员或特权访问组所有者的用户。
  • 用户能够批准或拒绝 PIM 中的激活请求。
  • 分配给访问审查的用户。
  • 执行访问审查的用户。


发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注