產品資訊
發表時間:2024-06-20
本文可協助架構設計人員、Microsoft 合作夥伴和 IT 專業人員,使其了解解決其組織或與其合作之組織中身分識別佈建需求的資訊。 內容著重於自動化使用者佈建,以存取跨組織中所有系統的應用程式。
組織中的員工依賴許多應用程式來執行其工作。 這些應用程式通常需要 IT 管理員或應用程式擁有者先佈建帳戶,員工才能開始進行存取。 組織也需要管理這些帳戶的生命週期,並隨時掌握最新資訊,以及在使用者不再需要這些帳戶時移除帳戶。
Microsoft Entra 佈建服務會自動化您的身分識別生命週期,使身分識別跨信任來源系統 (例如 HR 系統) 與使用者需要存取的應用程式保持同步。 這可讓您將使用者帶入 Microsoft Entra ID,然後將使用者佈建到所需的各種應用程式。 佈建功能是啟用豐富治理和生命週期工作流程的基礎建置組塊。 若是混合式案例,Microsoft Entra 代理程式模型會連線至內部部署或基礎結構即服務 (IaaS) 系統,並加入 Microsoft Entra 佈建代理程式、Microsoft Identity Manager (MIM) 和 Microsoft Entra Connect 這類元件。
若是佈建案例,有數千個組織正在執行 Microsoft Entra 雲端託管服務,其混合式元件會透過內部部署提供。 Microsoft 致力發展雲端託管和內部部署功能 (包括 MIM 和 Microsoft Entra Connect 同步),協助組織在其連線系統和應用程式中佈建使用者。 本文著重於組織如何使用 Microsoft Entra ID 解決其佈建需求,並釐清最適合每個案例的技術。
使用下表來尋找案例特有的內容。 舉例來說,如果您想要管理從 HR 系統到 Active Directory Domain Services (AD DS) 或 Microsoft Entra ID 的員工和承包商身分識別,請遵循連結以「將身分識別與您的記錄系統連線」。
| 問題為何 | 從 | 至 | 參閱 |
|---|---|---|---|
| 員工和約聘員工 | HR 系統 | Microsoft Windows Server Active Directory 和 Microsoft Entra ID | 將身分識別與您的記錄系統連線 |
| Microsoft Windows Server Active Directory 現有使用者和群組 | AD DS | Microsoft Entra ID | 同步 Microsoft Entra ID 與 Active Directory 之間的身分識別 |
| 使用者、群組 | Microsoft Entra ID | 軟體即服務 (SaaS) 和內部部署應用程式 | 將佈建自動化至非 Microsoft 應用程式 |
| 存取權限 | Microsoft Entra ID 控管 | SaaS 和內部部署應用程式 | 權利管理 |
| 現有使用者和群組 | Microsoft Windows Server Active Directory、SaaS 和內部部署應用程式 | 身分識別治理 (以進行檢閱) | Microsoft Entra 存取權檢閱 |
| 非員工使用者 (含核准) | 其他雲端目錄 | SaaS 和內部部署應用程式 | 已連線組織 |
| 使用者、群組 | Microsoft Entra ID | Microsoft Windows Server Active Directory 受控網域 | Microsoft Entra Domain Services |
範例拓撲
組織在依賴以執行其業務的應用程式和基礎結構中有很大的差異。 有些組織具有其在雲端中的所有基礎結構,並且完全依賴 SaaS 應用程式,而其他組織已深入投資數年的內部部署基礎結構。 下列三個拓撲說明 Microsoft 如何符合僅限雲端客戶的需求、具有基本佈建需求的混合式客戶,以及具有進階佈建需求的混合式客戶。
僅限雲端
在此範例中,組織具有 Workday 或 SuccessFactors 這類雲端 HR 系統、使用 Microsoft 365 進行共同作業,以及 ServiceNow 和 Zoom 這類 SaaS 應用程式。
-
Microsoft Entra 佈建服務從雲端 HR 系統匯入使用者,根據組織所定義的商務規則在 Microsoft Entra ID 中建立帳戶。
-
使用者透過臨時存取密碼來完成設定適合的驗證方法 (例如驗證器應用程式、Fast Identity Online 2 (FIDO2)/Windows Hello 企業版 (WHfB) 金鑰),然後登入 Teams。 此臨時存取密碼是透過 Microsoft Entra 生命週期工作流程自動為使用者所產生。
-
Microsoft Entra 佈建服務在使用者所需的各種應用程式 (例如 ServiceNow 和 Zoom) 中建立帳戶。 使用者可以要求所需的必要裝置,並開始與其小組交談。
Hybrid-basic
在此範例中,組織混合使用雲端和內部部署基礎結構。 除了上方所提及的系統之外,組織還依賴 SaaS 應用程式和內部部署應用程式,這些應用程式有些已與 Windows Server Active Directory 整合,有些未與 Microsoft Windows Server Active Directory 整合。
-
Microsoft Entra 佈建服務從 Workday 匯入使用者,並在 AD DS 中建立帳戶,讓使用者能夠存取與 Microsoft Windows Server Active Directory 整合的應用程式。
-
Microsoft Entra Connect 雲端同步將使用者佈建至 Microsoft Entra ID,讓使用者能夠存取 Microsoft 365 的 SharePoint 及其 OneDrive 檔案。
-
Microsoft Entra 佈建服務會偵測已在 Microsoft Entra ID 中建立的新帳戶。 其接著會在使用者需要存取的 SaaS 和內部部署應用程式中建立帳戶。
Hybrid-advanced
在此範例中,組織會將使用者分散到多個內部部署 HR 系統和雲端 HR。 其具有大型群組和裝置同步需求。
-
MIM 會從每個 HR 主幹匯入使用者資訊。 MIM 會決定不同目錄中這些員工所需的使用者。 MIM 會在 AD DS 中佈建這些身分識別。
-
Microsoft Entra Connect 同步接著會將這些使用者和群組同步至 Microsoft Entra ID,並為使用者提供其資源的存取權。
下一步
