使用 Microsoft Graph 的Microsoft Entra ID 治理概述
借助 Microsoft Entra ID 治理,你可以通过正确的流程和可见性平衡组织对安全性和员工工作效率的需求。 它提供的功能可确保正确的主体在正确的时间对正确的资源具有正确的访问权限。
可以控制其访问权限的 (或标识) 主体包括用户、组和应用程序 (或服务主体) 。 用户可以是你的员工、业务合作伙伴、供应商或承包商。 可以控制访问权限的资源包括组、访问包和特权角色。
可以在 Microsoft Graph 中使用以下 API 以编程方式管理Microsoft Entra ID 治理功能。
有关Microsoft Entra ID 治理的详细信息,请参阅什么是Microsoft Entra ID 治理?。
管理组织中用户的生命周期
组织在员工生命周期的至少三个阶段(加入组织时、在组织内部移动以及离开组织时)执行流程。 此类过程可能包括根据需要预配和取消预配访问权限和资源。
Microsoft Graph 中的 生命周期工作流 API 允许自动执行组织中用户的基本生命周期流程。 这些生命周期流程使组织及其用户能够高效、安全或合规。
自动用户对资源的访问
组织中的员工可能需要访问各种资源才能执行其工作。 合作伙伴和供应商可能还需要访问你的资源。 在复杂的组织中,用户可能很难确定他们需要哪些访问权限、如何请求访问权限,以及应向其授予访问权限的人员。
Microsoft Graph 中 的权利管理 API 允许自动执行访问请求工作流、访问分配、评审和过期。
证明主体对资源的访问权限
当主体有权访问组织中的资源时,请务必定期验证主体是否仍需要访问权限。 使用 访问评审 API 以编程方式验证访问权限。
例如,假设组织自动执行员工对特定业务敏感资源的访问。 对于来宾,你已通过组向他们授予了对资源的访问权限。 请务必定期确认来宾仍需要访问组,并按扩展访问资源。
访问评审是审核组织内部控制有效性的一种形式。 有关详细信息,请参阅 访问评审概述。
管理对特权角色的访问权限
每个组织都有需要特权管理角色才能履行职责的员工。 在 Microsoft Entra ID 中,可以通过Microsoft Entra内置角色授予此类特权分配。 由于这些角色允许的权限类型,因此必须降低过度、不必要的或滥用特权角色的风险。
Microsoft Graph 中的特权标识管理 API 允许以编程方式管理租户中特权Microsoft Entra角色的生命周期。
对资源强制实施使用条款
每个组织都有其条款和条件,用户可能需要遵守这些条款和条件,然后才能访问组织的资源。 可以通过Microsoft Entra使用条款来定义并强制实施这些条款和条件。
使用条款可以是组织中所有用户的常规公司策略;或针对单个用户(如来宾和承包商)的条款;或用户在租户中使用敏感应用之前必须同意的条款。
Microsoft Graph 中的 使用条款 API 允许你配置用户可能需要接受并同意的条款和条件,然后才能访问你的资源。
零信任
此功能可帮助组织使其租户与零信任体系结构的三个指导原则保持一致:
- 显式验证
- 使用最低特权
- 假定漏洞
若要详细了解零信任和其他使组织符合指导原则的方法,请参阅零信任指导中心。
授权
Microsoft Entra ID 治理功能作为Microsoft Entra许可证的不同套件的一部分提供。 若要了解每个许可证可用的许可证类型和 ID 治理功能,请参阅Microsoft Entra ID 治理许可基础知识。