安全防線已經從網路演變為身份。現在,安全不再僅僅關注保護我們的網絡,更重要的是保護我們的數據、應用程式和用戶。自動化身份識別流程可以減輕 IT 團隊的負擔。通過集中和自動化的身份識別管理方案,我們可以快速部署標準流程,以實現規模化管理。我們還可以管理用戶訪問,包括員工、承包商、合作夥伴和供應商,對所有資源、應用程式和數據進行控制,並採取控制措施以維持合規性並自動化 IT 任務以提高運營效率並降低成本。
在 Azure AD 中,身份是我們的控制平台,我們可以解鎖各種新的治理能力,例如自動帳戶設置和解除設置、條件訪問控制、訪問審查、權利管理和合規性政策、與合作夥伴進行安全協作等等。
用戶的生命週期
每個組織都需要確保能快速讓用戶、合作夥伴或供應商加入,並為他們提供合法訪問資源的資格以提高生產力。但是,在不影響必要要求以外的系統訪問權限的情況下實現這一點同樣重要。為平衡安全和生產力要求,IT 需要在用戶身份的整個生命周期中跟踪其身份。根據用戶在組織中的角色和狀態,用戶身份可能會隨時間而變化。例如,一名用戶或合作夥伴可能被聘請為承包商,然後成為全職員工,最後離開組織。在所有這些階段中,組織的身份應得到更新。即使在退休後,帳戶的記錄也應存在於審計目的。手動管理此身份生命周期情境的流程在規模上是不夠有效的。IT 應該自動化生命周期和設置流程,以確保在用戶社區、應用程式和業務需求發生變化時依然保持準確。
使用 Microsoft Azure 簡化使用者身份生命周期
Azure 提供 Azure AD 商業對商業 (B2B) 協作,同時不失去對企業數據的控制。Azure AD B2B 功能簡化了其他公司的用戶,包括合作夥伴、承包商和供應商,訪問組織資源的方式。員工可以邀請訪客用戶進行協作,或者訪客用戶可以通過工作流程申請訪問權限並得到批准。一旦被邀請或批准,訪客用戶可以使用自己的 Azure AD 身份、其所屬組織的身份提供者或社交帳戶登錄,這意味著他們不需要記住和維護另一個密碼。
根據組織的安全策略,Azure AD 管理員還可以為訪客用戶設置多因素身份驗證 (MFA) 政策,並啟用從另一個非Azure AD 租戶使用聯合登錄的自助式訪客用戶自動配額。用戶可以在應用程式、團隊和站點之間自動配置,同時定期審查訪問權限。這有助於確保協作保持有效,並在不再需要訪問時從目錄中刪除不活動的訪客用戶。
Azure AD 提供了動態群組等工具,允許 IT 管理員根據使用者資料自動授權、修改和刪除其對連接應用程式和系統的訪問權限。這不僅確保使用者擁有正確的權限,還可以重新評估使用者資料的變更。
使用 Azure AD,我們可以實施自動存取控制決策的策略,基於各種條件,例如登錄風險、網絡位置等。Azure AD 條件式存取策略可以包括向最終使用者顯示使用條款,並確保使用者在能夠訪問應用程式和數據之前已同意這些條款。這種方法確保使用者看到符合法律或合規要求的相關免責聲明。
透過 Azure AD 的存取審查功能,組織可以確保只有需要訪問的用戶才能訪問。IT 管理員可以啟用定期或一次性的存取審查活動,針對需要持續訪問群組、企業應用和管理角色分配的訪客和員工。審查可以委派給資源擁有者或特定人員,甚至允許使用者自行認證他們需要訪問權限。此外,審查人員會收到AI推薦,以決定是否批准或拒絕用戶。
Azure AD 特權身份管理 (PIM) 可協助管理和控制 Azure AD 和 Azure 資源中的特權管理角色。它提供 Just-in-Time 存取的解決方案,例如限制特權存取操作的時間,讓使用者在執行特權任務時獲得臨時權限。PIM 強制執行特權角色的請求批准工作流程,並完全整合存取審查,以便在特權角色中可能發生的潛在惡意活動在實時中被識別、揭示和防止。
Comments are closed, but trackbacks and pingbacks are open.