Tutorial pengurusan identiti bersatu Microsoft Entra ID dan import pengguna
Dalam seni bina IT perusahaan, ada masalah yang dapat disebut mimpi buruk umum semua pengurus rangkaian dan pemimpin keselamatan:
Identiti pekerja rosak.
Pekerja baru mesti membuat akaun secara manual di tujuh atau lapan sistem seperti OA, e-mel, kewangan, dan platform awan; apabila pekerja meninggalkan pekerjaan mereka, setelah akaun sistem hilang dan dihapus, ia sama dengan meninggalkan syarikat yang mungkin diretas pada bila-bila masa. Bom berpotensi meletup. Belum lagi bahawa pekerja tidak dapat mengingat selusin set kata laluan, dan mereka mendesak IT untuk menetapkan semula kata laluan setiap hari.
Untuk mengakhiri kekacauan ini sepenuhnya, anda memerlukan pusat pengurusan identiti bersatu yang kuat. Hari ini kita akan membincangkan mengenai teras mutlak ekosistem awan Microsoft --
Microsoft Entra ID (pendahulunya adalah Azure Active Directory yang terkenal, disebut sebagai Azure AD)
。
Tutorial ini tidak berpusing-pusing, menggunakan gaya penulisan kehidupan sebenar yang paling rendah. Ini akan membawa anda untuk menjelaskan seni bina teras Entra ID, dan mengajar anda cara mengimport akaun beratus-ratus pekerja ke awan dengan cekap dan selamat.
1. Konsep teras: Apakah pengurusan identiti bersatu Entra ID?
Ramai orang hanya memahami Entra ID sebagai "buku alamat awan", yang benar-benar memandang rendah. Entra ID adalah keseluruhan ekosistem awan perusahaan
"Agensi Penerbit Kad Pengenalan Penjaga Pintu"
。
Logik utamanya ialah
Log masuk tunggal (SSO,Single Sign-On)
Dan
Tadbir urus identiti terpusat
:
・ ───────> [Sumber Awan Azure/Microsoft]
│
[Akaun tunggal pekerja] ─────── (SSO)─> [Perisian Pejabat (O365 / Teams)]
(Hosting Entra ID) │
├────────> [Sistem Penyelidikan Sendiri Perusahaan/SaaS Luaran (seperti Salesforce)]
│
└ ─ (Dasar Keselamatan) ─> [Mencetuskan pengesahan dua langkah MFA/menyekat log masuk yang tidak normal]
Apabila pekerja mempunyai akaun Entra ID, dia hanya perlu log masuk sekali untuk mengakses semua sistem yang dibenarkan oleh syarikat dengan lancar. Pentadbir IT hanya perlu berada di latar belakang Entra ID untuk membekukan semua hak akses pekerja yang mengundurkan diri dengan satu klik, dan benar-benar mencapai "satu orang harus menjadi penghalang, dan tidak ada yang dapat dibuka."
2. Persediaan pertempuran sebenar: jenis pengguna dan perancangan Entra ID
Sebelum memindahkan keseluruhan buku pekerja ke awan, kita perlu membahagikan pengguna kepada dua kategori mengikut senario perniagaan:
Pengguna dalaman (Member): Pekerja rasmi syarikat anda. Mereka memiliki syarikat
Peti mel nama domain (seperti [email protected]) dapat mengakses sumber dan aplikasi teras dalaman.
Pengguna luar (Tetamu/tetamu): pembekal syarikat, rakan kongsi atau perunding luar. Mereka menggunakan peti mel awam mereka sendiri (seperti Gmail atau peti mel syarikat lain). Anda boleh meminta mereka untuk bergabung buat sementara waktu melalui "jemputan". Mereka hanya dapat mengakses fail atau item tertentu, dan izin mereka sangat terhad.
Hari ini, fokus kami adalah untuk menyelesaikan masalah bagaimana mengimport sebilangan besar "pekerja formal dalaman" secara berkumpulan ketika pekerja baru memasuki pekerjaan atau di bilik komputer.
3. Pertempuran teras: dua helah untuk mengimport pengguna secara berkumpulan
Menghadapi ratusan pengguna, mengklik "pengguna baru" satu persatu di konsol jelas akan membuat orang mati secara sosial. Kami memberi tumpuan kepada dua kaedah import kumpulan yang paling biasa digunakan dalam persekitaran pengeluaran.
Kaedah A: Gunakan templat CSV untuk import kumpulan satu klik (paling sesuai untuk perusahaan kecil dan sederhana)
Sekiranya syarikat anda menggunakan jadual Excel untuk menguruskan senarai pekerja, atau baru sahaja mengeksport daftar dari sistem khusus lain, import kumpulan dengan CSV adalah cara terpantas dan paling intuitif.
Langkah 1: Muat turun Templat Standard Rasmi
Log masuk ke Pusat Pengurusan Microsoft Entra (atau antara muka Entra ID portal Azure).
Klik "Pengguna"-> "Semua Pengguna" dalam menu di sebelah kiri.
Klik "Operasi pukal"-> "Pembuatan pukal" di bahagian atas.
Di bar sisi pop timbul, klik butang "Download" untuk mendapatkan rasmi. Fail templat csv.
Langkah 2: Isi matriks CSV dengan tepat (panduan untuk mengelakkan lubang)
Buka fail CSV yang dimuat turun dengan Excel atau editor teks. Anda akan melihat bahawa beberapa baris pertama adalah arahan dan contoh yang disertakan dengan Microsoft,
Jangan hapus dua baris pertama baris tajuk, jika tidak, pengecaman sistem akan melaporkan ralat!
Isi data pekerja anda dari baris ketiga:
Nama [DisplayName] (diperlukan): Nama pekerja, seperti Zhang San atau San Zhang.
Nama subjek pengguna [UserPrincipalName] (diperlukan): Ini adalah akaun log masuk awan pekerja, yang mestilah dalam format peti mel. Contohnya [email protected] (jika anda mengikat nama domain bebas syarikat, itu adalah [email protected]).
Kata laluan awal [Password] (diperlukan): Tetapkan kata laluan awal untuk pekerja (mesti memenuhi syarat kerumitan). Sangat disarankan untuk memeriksa "Pengguna mesti mengubah kata laluan ketika log masuk lain kali" dalam tetapan berikutnya untuk memastikan keselamatan awal.
Log masuk terlindung [B
LockSignin] (diperlukan): Masukkan No (jika anda memasukkan Ya, akaun yang dibina oleh pekerja dibekukan dan tidak dapat log masuk).
Langkah 3: Muat naik dan Pengesahan
Setelah mengisi, simpan fail sebagai
UTF-8
Format CSV yang dikodkan (untuk mengelakkan nama Cina rosak). Kembali ke halaman muat naik Entra ID, seret fail masuk, klik
"Penyerahan (Submit)"
。
Tunggu sebentar dan klik "Hasil Operasi Batch". Sekiranya semuanya adalah tanda centang hijau, ini bermakna import berjaya. Pekerja kini boleh log masuk ke sumber Microsoft 365 atau Azure dengan akaun yang anda berikan.
Kaedah B: Permainan peringkat tinggi awan hibrid-penyegerakan Entra Connect (paling sesuai untuk perusahaan tradisional besar)
Sekiranya syarikat anda mempunyai sejarah yang panjang, pada awalnya terdapat satu set bilik komputer tempatan yang telah beroperasi selama bertahun-tahun
Windows Server AD (Pelayan Domain Direktori Aktif)
, Penyelenggaraan tempatan oleh HR atau pengurusan rangkaian setiap hari, jadi jangan gunakan CSV untuk mengimport berulang kali.
Anda harus menggunakan alat penyegerakan ace Microsoft:
Microsoft Entra Connect
。
[Bilik Komputer Tempatan] [Microsoft Cloud]
J────────────────────────────────────────────────────────────────────────────────────────────────
│ Pelayan Windows Tempatan │ │ Microsoft Entra ID │
│ Direktori Aktif │ │ (Pusat Identiti Awan) │
│ (AD tempatan) │ │ │
│ │ │ Entra Connect │ ▲ │
│ ▼ │ │ │ │
│ Lain ──────────────────────────── (Penyegerakan automatik tambahan) │ │ │
│ │ Mesin penyegerakan Entra Connect │ ──────────────────────────────
───────────│
│ └ ──────────────────────────│ │
└ ──────────────────────────────────────────────────────────────────────────────────────────────────
Logik operasi:
Cari pelayan yang disambungkan ke Internet di ruang komputer tempatan, muat turun dan pasang perisian Microsoft Entra Connect.
Wizard konfigurasi akan membolehkan anda memasukkan kelayakan pentadbir AD tempatan dan akaun pentadbir global Cloud Entra ID.
Setelah sambungan dibuat, perisian bertindak sebagai "mikrofon", secara automatik mengimbas perubahan AD tempatan setiap 30 minit.
Sekiranya anda membuat pengguna baru di ruang komputer tempatan atau mengubah kata laluan pekerja, Entra ID di awan akan dikemas kini secara automatik dalam masa setengah jam. Pekerja bahkan boleh menggunakan kata laluan yang sama untuk merealisasikan boot dan log masuk tempatan ke awan (kata laluan Hash Synchronization).
Ini adalah bentuk utama bagi perusahaan besar untuk bergerak ke arah awan hibrid dan mewujudkan pengurusan identiti yang bersatu.
4. Undang-undang besi keselamatan emas selepas pengenalan: Jangan terlepas langkah ini!
Pengguna diimport secara berkumpulan, dan kata laluan juga dihantar. Pada masa ini, sebagai pentadbir, kerja anda baru sahaja bermula. Untuk mengelakkan pekerja menyelamatkan masalah, tetapkan kata laluan ke
12345678
Untuk menyebabkan keruntuhan total, anda mesti segera memasang dua pagar keselamatan:
1. Akses Kondisi (Akses Kondisi) dan Pensijilan Pelbagai Faktor (MFA)
"Kata laluan akaun" yang sederhana sama dengan telanjang hari ini. Cari dalam menu Entra ID
"Perlindungan"
->
"Akses Kondisi"
。
Buat strategi: menghendaki semua pekerja melakukan pengesahan sekunder (MFA) di telefon bimbit mereka melalui Aplikasi Microsoft Authenticator ketika log masuk ke IP intranet bukan korporat.
Dengan cara ini, walaupun kata laluan pekerja bocor di Internet, penggodam tidak mempunyai telefon bimbit pekerja dan tidak mahu melangkah ke sistem.
2. Konfigurasi semula kata laluan layan diri (SSPR) dengan betul
Jangan biarkan masa pasukan IT terbuang pada perkara remeh "menolong pekerja menukar kata laluan".
Dalam tab "Reset Kata Laluan" Entra ID, tetapkan "Reset Kata Laluan Layan Diri yang Diaktifkan" ke "Semua".
Selagi pekerja mengikat nombor telefon bimbit atau alamat e-mel peribadinya, dan lupa kata laluan pada masa akan datang, dia boleh mengklik "Lupa Kata Laluan" di halaman log masuk untuk lulus
Kod pengesahan diambil sendiri, menjimatkan masa dan usaha.
Ringkasan
Microsoft Entra ID sama sekali bukan pangkalan data pengguna awan yang murni, ia adalah asas transformasi digital perusahaan dan Zero Trust.
Melalui
Import kumpulan CSV
, Perusahaan kecil dan sederhana dapat membiarkan semua pekerja merangkul pejabat awan dengan lancar dalam setengah jam; melalui
Entra Connect
, Perusahaan besar dapat menghubungkan aset tempatan dengan sempurna dengan aplikasi awan asli moden. Lakukan pekerjaan dengan baik dalam pengurusan identiti yang bersatu, biarkan pihak berkuasa berjalan dengan orang lain, dan perjalanan dengan selamat, bangunan digital syarikat anda dapat dianggap sebagai asas yang paling stabil.
