Microsoft Entra 部署計劃

發行項
03/08/2024

Azure Active Directory 現在是 Microsoft Entra 識別碼，可透過雲端身分識別和存取管理保護您的組織。解決方案會將員工、客戶和合作夥伴連線到其應用程式、裝置和數據。

使用本文的指引來協助建置您的計劃，以部署 Microsoft Entra ID。了解規劃建置基本概念，然後使用下列各節進行驗證部署、應用程式和裝置、混合式案例、使用者身分識別等等。

項目關係人和角色

開始部署計劃時，請包含您的主要項目關係人。識別並記錄項目關係人、受影響的角色，以及啟用有效部署的擁有權和責任領域。標題和角色與一個組織不同，但擁有權區域很類似。如需影響任何部署計劃的常見和有影響力的角色，請參閱下表。

角色	責任
贊助者	有權核准或指派預算和資源的企業資深領導者。贊助者是經理與執行小組之間的聯繫。
終端使用者	服務實作的人員。用戶可以參與試驗計劃。
IT 支援管理員	提供建議變更支援性的輸入
身分識別架構師或 Azure Global 管理員 istrator	定義變更如何與身分識別管理基礎結構保持一致
應用程式商務擁有者	擁有受影響的應用程式，這可能包括存取管理。提供用戶體驗的輸入。
安全性擁有者	確認變更計劃符合安全性需求
合規性管理員	確保符合公司、產業或政府需求

RACI

負責任、責任、諮詢和通知（負責/責任/諮詢/知情/通知（RACI）是各種角色參與的模型，可完成專案或商務程式的工作或交付專案。使用此模型可協助確保組織中的角色瞭解部署責任。

負責 - 負責正確完成工作的人員。
- 至少有一個「負責任」角色，不過您可以委派其他人來協助提供工作。
責任 - 最終可回答交付專案或工作的正確性和完成情況。責任角色可確保符合工作必要條件，並將工作委派給負責任的角色。責任角色會核准負責提供的工作。為每個工作或可傳送作業指派一個責任。
諮詢 - 諮詢的角色提供指導，通常是主題專家（SME）。
通知 - 人員在完成工作或交付專案時，一般會保持最新進度。

驗證部署

使用下列清單來規劃驗證部署。

Microsoft Entra 多重要素驗證（MFA） - 使用系統管理員核准的驗證方法，多重要素驗證有助於保護對數據和應用程式的存取，同時滿足輕鬆登入的需求：
- 請參閱影片：如何在租用戶中設定及強制執行多重要素驗證
- 請參閱規劃多重要素驗證部署
條件式存取 - 根據條件，實作自動化訪問控制決策，讓使用者存取雲端應用程式：
- 請參閱什麼是條件式存取？
- 請參閱規劃條件式存取部署
Microsoft Entra 自助式密碼重設（SSPR） - 協助使用者重設密碼，而不需要系統管理員介入：
- 請參閱 Microsoft Entra 識別碼的無密碼驗證選項
- 請參閱規劃 Microsoft Entra 自助式密碼重設部署
無密碼驗證 - 使用 Microsoft Authenticator 應用程式或 FIDO2 安全性金鑰實作無密碼驗證：
- 請參閱使用 Microsoft Authenticator 啟用無密碼登入
- 請參閱在 Microsoft Entra ID 中規劃無密碼驗證部署

應用程式和裝置

使用下列清單來協助部署應用程式和裝置。

單一登錄（SSO） - 讓使用者能夠使用單一登錄存取應用程式和資源，而不需要重新輸入認證：
- 請參閱什麼是 Microsoft Entra ID 中的 SSO？
- 請參閱規劃 SSO 部署
我的應用程式入口網站 - 探索和存取應用程式。使用自助啟用用戶生產力，例如要求存取群組，或代表其他人管理資源的存取權。
- 請參閱我的應用程式入口網站概觀
裝置 - 使用 Microsoft Entra ID 評估裝置整合方法、選擇實作計劃等等。
- 請參閱規劃您的 Microsoft Entra 裝置部署

混合式案例

下列清單描述混合式案例中的功能和服務。

Active Directory 同盟服務（AD FS） - 使用傳遞驗證或密碼哈希同步，將使用者驗證從同盟移轉至雲端：
- 請參閱什麼是與 Microsoft Entra 識別碼的同盟？
- 請參閱從同盟遷移至雲端驗證
Microsoft Entra 應用程式 Proxy - 讓員工能夠從裝置提高生產力。瞭解雲端中的軟體即服務（SaaS）應用程式，以及內部部署的公司應用程式。 Microsoft Entra 應用程式 Proxy 可讓您在沒有虛擬專用網或非軍事區域（DMZ）的情況下存取：
- 請參閱透過 Microsoft Entra 應用程式 Proxy 遠端存取內部部署應用程式
- 請參閱規劃 Microsoft Entra 應用程式 Proxy 部署
無縫單一登錄（無縫 SSO） - 在連線到公司網路的公司裝置上使用無縫 SSO 進行使用者登入。使用者不需要密碼來登入 Microsoft Entra ID，而且通常不需要輸入使用者名稱。授權的使用者不需要額外的內部部署元件即可存取雲端式應用程式：
- 請參閱 Microsoft Entra SSO：快速入門
- 請參閱 Microsoft Entra 無縫 SSO：技術深入探討

使用者

使用者身分識別 - 瞭解自動化，以在雲端應用程式中建立、維護和移除使用者身分識別，例如Dropbox、Salesforce、ServiceNow 等等。
- 請參閱規劃 Microsoft Entra ID 中的自動使用者布建部署
Microsoft Entra ID 控管 - 建立身分識別治理，並增強依賴身分識別數據的商務程式。使用 Workday 或 Successfactors 等 HR 產品，使用規則管理員工和員工身分識別生命週期。這些規則會將 Joiner-Mover-Leaver （JLM）程式對應至 IT 動作，例如「新增員工」、「終止」、「轉移」等 IT 動作，例如「建立」、「啟用」、「停用」。如需詳細資訊，請參閱下一節。
- 請參閱規劃雲端 HR 應用程式至 Microsoft Entra 使用者布建
Microsoft Entra B2B 共同作業 - 使用安全存取應用程式來改善外部使用者共同作業：
- 請參閱 B2B 共同作業概觀
- 請參閱規劃 Microsoft Entra B2B 共同作業部署

身分識別治理和報告

Microsoft Entra ID 控管可讓組織提升生產力、加強安全性，並更輕鬆地符合合規性和法規需求。使用 Microsoft Entra ID 控管來確保正確的人員有權存取正確的資源。改善身分識別和存取程式自動化、委派商務群組，以及提高可見度。使用下列清單來瞭解身分識別治理和報告。

深入了解：

線上世界的安全存取 — 符合 Microsoft Entra
控管環境中應用程式的存取權
Privileged Identity Management （PIM） - 管理跨 Microsoft Entra ID、Azure 資源和其他 Microsoft 線上服務的特殊許可權系統管理角色。將它用於 Just-In-Time 存取（JIT）存取（JIT）、要求核准工作流程，以及整合式存取權檢閱，以協助防止惡意活動：
- 請參閱開始使用 Privileged Identity Management
- 請參閱規劃 Privileged Identity Management 部署
報告和監視 - Microsoft Entra 報告和監視解決方案設計具有相依性和條件約束：法律、安全性、作業、環境和程式。
- 請參閱 Microsoft Entra 報告和監視部署相依性
存取權檢閱 - 瞭解和管理資源的存取權：
- 請參閱什麼是存取權檢閱？
- 請參閱規劃 Microsoft Entra 存取權檢閱部署

試驗的最佳做法

對較大的群組或每個人進行變更之前，請先使用試驗來測試小型群組。請確定組織中每個使用案例都經過測試。

試驗：階段 1

在您的第一個階段中，以IT、可用性，以及可測試並提供意見反應的其他用戶為目標。使用此意見反應來深入瞭解支持人員的潛在問題，以及開發傳送給所有用戶的通訊和指示。

試驗：階段 2

使用動態成員資格，或手動將使用者新增至目標群組，將試驗範圍擴大為較大的使用者群組。

深入瞭解： Microsoft Entra ID 中群組的動態成員資格規則