Microsoft Entra ID การจัดการข้อมูลประจำตัวแบบรวมและการสอนการนำเข้าผู้ใช้

ในสถาปัตยกรรมไอทีขององค์กรมีปัญหาที่เรียกได้ว่าเป็นฝันร้ายทั่วไปสำหรับผู้จัดการเครือข่ายและผู้นำด้านความปลอดภัยทั้งหมด:

สถานะของพนักงานกระจัดกระจาย

เมื่อพนักงานใหม่เข้าทำงานพวกเขาจะต้องสร้างบัญชีด้วยตนเองในระบบเจ็ดหรือแปดระบบซึ่งรวมถึง OA อีเมลการเงินและแพลตฟอร์มคลาวด์เมื่อพนักงานลาออกเมื่อบัญชีของระบบใดถูกละเว้นก็เท่ากับเป็นการทิ้งบริษัทที่อาจถูกแฮ็กได้ทุกเมื่อระเบิดที่อาจจุดชนวนไม่ต้องพูดถึงว่าพนักงานจำรหัสผ่านไม่ได้มากกว่าหนึ่งโหลและเรียกร้องให้ไอทีรีเซ็ตรหัสผ่านทุกวัน

เพื่อยุติความวุ่นวายนี้โดยสิ้นเชิงคุณต้องมีศูนย์การจัดการข้อมูลประจำตัวที่เป็นหนึ่งเดียวที่ทรงพลังวันนี้เราจะมาพูดถึงแกนหลักที่แน่นอนภายใต้ Microsoft Cloud Ecosystem-

Microsoft Entra ID (รุ่นก่อนคือ Azure Active Directory ที่รู้จักกันดีเรียกว่า Azure AD)

。

บทช่วยสอนนี้ไม่ใช้รูปแบบการเขียนแบบไลฟ์แอ็กชันที่ลงสู่พื้นดินมากที่สุดจะช่วยให้คุณแยกแยะโครงสร้างหลักของ Entra ID และสอนวิธีนำเข้าบัญชีของพนักงานหลายร้อยคนสู่ระบบคลาวด์อย่างมีประสิทธิภาพและปลอดภัย

1.แนวคิดหลัก: Entra ID Unified Identity Management คืออะไร?

หลายคนเข้าใจเพียงว่า Entra ID เป็น "สมุดที่อยู่บนคลาวด์" ซึ่งประเมินต่ำไปโดยสิ้นเชิง Entra ID คือระบบนิเวศคลาวด์ขององค์กรทั้งหมด

"หน่วยงานออกบัตรประจำตัวยาม"

。

ตรรกะหลักของมันคือ

การลงชื่อเพียงครั้งเดียว (SSO,Single Sign-On)

และ

การกำกับดูแลตัวตนแบบรวมศูนย์

:

┌────────> [Azure/Microsoft Cloud Resources]

│

[บัญชีเดียวสำหรับพนักงาน] ──────────────────────────────────────────────────────────────────────────────────────────────────────────────────────The

(Entra ID โฮสต์) │

├─────────> [ระบบพัฒนาตนเองขององค์กร/SaaS ภายนอก (เช่น Salesforce)]

│

└ ─ (นโยบายความปลอดภัย) ─> [ทริกเกอร์ MFA การยืนยันสองขั้นตอน/การปิดกั้นการเข้าสู่ระบบที่ผิดปกติ]

เมื่อพนักงานมีบัญชี Entra ID เขาจะต้องเข้าสู่ระบบเพียงครั้งเดียวเพื่อเข้าถึงระบบทั้งหมดที่ได้รับอนุญาตจากบริษัทอย่างราบรื่นผู้ดูแลระบบไอทีจะต้องอยู่ในพื้นหลังของ Entra ID เพื่อระงับสิทธิ์การเข้าถึงทั้งหมดของพนักงานที่ลาออกด้วยคลิกเดียวและบรรลุ "ชายคนหนึ่งอยู่ในความรับผิดชอบและไม่มีใครสามารถเปิดได้" อย่างแท้จริง

2.การเตรียมการต่อสู้จริง: ประเภทผู้ใช้และการวางแผน Entra ID

ก่อนที่จะย้ายพนักงานทั้งหมดไปยังระบบคลาวด์เราจำเป็นต้องแบ่งผู้ใช้ออกเป็นสองประเภทตามสถานการณ์ทางธุรกิจ:

ผู้ใช้ภายใน (สมาชิก): พนักงานอย่างเป็นทางการของบริษัทของคุณพวกเขาเป็นเจ้าของบริษัท

กล่องจดหมายของชื่อโดเมน (เช่น [email protected]) สามารถเข้าถึงทรัพยากรหลักภายในและแอปพลิเคชัน

ผู้ใช้ภายนอก (Guest/Guest): ซัพพลายเออร์ของบริษัทคู่ค้าหรือที่ปรึกษาภายนอกพวกเขาใช้กล่องจดหมายสาธารณะของตนเอง (เช่น Gmail หรือกล่องจดหมายของบริษัทอื่นๆ) คุณให้พวกเขาเข้าร่วมชั่วคราวผ่าน "คำเชิญ" และสามารถเข้าถึงได้เฉพาะไฟล์หรือรายการที่ระบุเท่านั้นสิทธิ์จะถูกจำกัดอย่างเคร่งครัด

วันนี้เรามุ่งเน้นไปที่วิธีการแนะนำ "พนักงานประจำภายใน" จำนวนมากเป็นชุดเมื่อพนักงานใหม่ของบริษัทเข้ามาหรือห้องคอมพิวเตอร์ไปที่ระบบคลาวด์

3.การต่อสู้หลัก: สองเทคนิคสำหรับการนำเข้าผู้ใช้เป็นกลุ่ม

เมื่อเผชิญกับผู้ใช้หลายร้อยคนการคลิก "ผู้ใช้ใหม่" ทีละคนบนคอนโซลจะทำให้ผู้คนเสียชีวิตทางสังคมอย่างเห็นได้ชัดเรามุ่งเน้นไปที่วิธีการนำเข้าแบทช์ที่ใช้กันมากที่สุดในสองสภาพแวดล้อมการผลิต

วิธี A: ใช้เทมเพลต CSV สำหรับการนำเข้าแบทช์ด้วยคลิกเดียว (เหมาะสำหรับองค์กรขนาดเล็กและขนาดกลาง)

หากปัจจุบันบริษัทของคุณใช้ตาราง Excel เพื่อจัดการรายชื่อพนักงานหรือเพิ่งส่งออกบัญชีรายชื่อจากระบบเฉพาะกลุ่มอื่นๆการนำเข้าชุด CSV เป็นวิธีที่เร็วและง่ายที่สุด

ขั้นตอนที่1: ดาวน์โหลดเทมเพลตมาตรฐานอย่างเป็นทางการ

ลงชื่อเข้าใช้ศูนย์การจัดการ Microsoft Entra (หรืออินเทอร์เฟซ Entra ID ของพอร์ทัล Azure)

ในเมนูด้านซ้ายให้คลิก "ผู้ใช้ (ผู้ใช้)"-> "ผู้ใช้ทั้งหมด (ผู้ใช้ทั้งหมด)"

คลิก "Bulk operations"-> "Bulk create" ที่ด้านบน

ในแถบด้านข้างป๊อปอัพให้คลิกที่ “ดาวน์โหลด” ปุ่มเพื่อรับอย่างเป็นทางการ. ไฟล์แม่แบบ csv

ขั้นตอนที่2: กรอกข้อมูลในเมทริกซ์ CSV อย่างถูกต้อง (คู่มือการหลีกเลี่ยงหลุม)

เปิดไฟล์ CSV ที่ดาวน์โหลดมาอย่างดีด้วย Excel หรือตัวแก้ไขข้อความคุณจะเห็นว่าสองสามบรรทัดแรกเป็นคำอธิบายและตัวอย่างที่มาพร้อมกับ Microsoft

อย่าลบบรรทัดหัวเรื่องของสองบรรทัดแรกมิฉะนั้นระบบจะรายงานข้อผิดพลาด!

กรอกข้อมูลพนักงานของคุณจากบรรทัดที่สาม:

ชื่อ [DisplayName] (จำเป็น): ชื่อพนักงานเช่นจางซานหรือซานจาง

ชื่อผู้ใช้ [UserPrincipalName] (จำเป็น): นี่คือบัญชีเข้าสู่ระบบคลาวด์ของพนักงานและต้องอยู่ในรูปแบบอีเมลตัวอย่างเช่น [email protected] (หากคุณผูกชื่อโดเมนอิสระของบริษัทนั่นคือ [email protected])

รหัสผ่านเริ่มต้น [Password] (จำเป็น): ตั้งรหัสผ่านเริ่มต้นสำหรับพนักงาน (ต้องเป็นไปตามข้อกำหนดที่ซับซ้อน) ขอแนะนำอย่างยิ่งให้ตรวจสอบ "ผู้ใช้ต้องเปลี่ยนรหัสผ่านเมื่อเข้าสู่ระบบครั้งต่อไป" ในการตั้งค่าติดตามผลเพื่อความปลอดภัยเริ่มต้น

บล็อกการเข้าสู่ระบบ [B

LockSignin] (จำเป็น): ป้อน No (หากคุณป้อนใช่พนักงานจะถูกระงับหลังจากสร้างบัญชีและไม่สามารถเข้าสู่ระบบได้)

ขั้นตอนที่3: อัปโหลดและตรวจสอบ

หลังจากกรอกข้อมูลแล้วให้บันทึกไฟล์เป็น

UTF-8

รูปแบบ CSV ที่เข้ารหัส (เพื่อป้องกันไม่ให้ชื่อภาษาจีนอ่านไม่ออก) กลับไปที่หน้าอัปโหลด Entra ID ลากไฟล์เข้ามาคลิก

"ส่ง (Submit)"

。

รอสักครู่แล้วคลิก "ผลการดำเนินการแบทช์" หากเป็นเครื่องหมายขีดสีเขียวทั้งหมดแสดงว่าการนำเข้าสำเร็จแล้วพนักงานสามารถลงชื่อเข้าใช้ทรัพยากร Microsoft 365หรือ Azure ด้วยบัญชีที่คุณมอบหมายได้แล้ว

วิธี B: การเล่นเกมระดับไฮเอนด์แบบไฮบริด-การซิงโครไนซ์ Entra Connect (เหมาะที่สุดสำหรับองค์กรแบบดั้งเดิมขนาดใหญ่)

หากบริษัทของคุณมีประวัติอันยาวนานห้องคอมพิวเตอร์ในพื้นที่มีชุดที่เปิดดำเนินการมาหลายปีแล้ว

Windows Server AD (เซิร์ฟเวอร์โดเมน Active Directory)

, การดูแลประจำวันโดย HR หรือผู้ดูแลเว็บในพื้นที่ดังนั้นอย่าใช้ CSV เพื่อนำเข้าซ้ำ

คุณควรใช้เครื่องมือ Microsoft Ace Sync:

Microsoft Entra Connect

。

[ห้องคอมพิวเตอร์ในพื้นที่] [Microsoft Cloud]

┌─────────────────────────────────────────────────────────────────────────────────────────────────────

│ ท้องถิ่น Windows Server ││Microsoft Entra ID│

│ Active Directory ││ (Cloud Identity Center) │

│ (ท้องถิ่น AD) │││

││││ Entra Connect │▲│

│▼││││

│┌─────────────────────││ (การซิงโครไนซ์อัตโนมัติที่เพิ่มขึ้น) │││

││ เครื่องซิงโครไนซ์ Entra Connect │───────────────────────────────────────────────────────────────────────────────────────

───────────││

│└ ──────────────────────────││││

└ ──────────────────────────────────────────────────────────────────────────────────────────────────────

ตรรกะการดำเนินงาน:

ค้นหาเซิร์ฟเวอร์ที่เชื่อมต่อกับอินเทอร์เน็ตในห้องคอมพิวเตอร์ภายในเครื่องดาวน์โหลดและติดตั้งซอฟต์แวร์ Microsoft Entra Connect

ตัวช่วยสร้างการกำหนดค่าจะช่วยให้คุณป้อนข้อมูลประจำตัวของผู้ดูแลระบบ AD ในเครื่องและบัญชีผู้ดูแลระบบส่วนกลางของ Cloud Entra ID

หลังจากสร้างการเชื่อมต่อแล้วซอฟต์แวร์จะทำหน้าที่เป็น "ไมโครโฟน" เพื่อสแกนการเปลี่ยนแปลง AD ในเครื่องโดยอัตโนมัติทุกๆ30นาที

หากคุณสร้างผู้ใช้ใหม่ในห้องคอมพิวเตอร์ในพื้นที่หรือแก้ไขรหัสผ่านของพนักงานภายในครึ่งชั่วโมง Entra ID ในระบบคลาวด์จะได้รับการอัปเดตโดยอัตโนมัติพนักงานยังสามารถใช้รหัสผ่านเดียวกันในการบูตเครื่องและเข้าสู่ระบบคลาวด์ (การซิงโครไนซ์แฮชรหัสผ่านการซิงโครไนซ์รหัสผ่าน)

นี่คือรูปแบบที่ดีที่สุดสำหรับองค์กรขนาดใหญ่ที่จะก้าวไปสู่ระบบคลาวด์แบบไฮบริดและตระหนักถึงการจัดการข้อมูลประจำตัวแบบครบวงจร

ประการที่สี่กฎความปลอดภัยทองคำหลังการแนะนำ: อย่าพลาดขั้นตอนนี้!

ผู้ใช้นำเข้าเป็นชุดและส่งรหัสผ่านในขณะนี้ในฐานะผู้ดูแลระบบงานของคุณเพิ่งเริ่มต้นเพื่อป้องกันไม่ให้พนักงานพยายามบันทึกปัญหาตั้งรหัสผ่านเป็น

12345678

ทำให้เกิดปัญหาทั้งหมดคุณต้องติดตั้งรั้วนิรภัยสองอันทันที:

1.บังคับให้เปิดการเข้าถึงแบบมีเงื่อนไข (Conditional Access) และการตรวจสอบหลายปัจจัย (MFA)

"รหัสผ่านบัญชี" ที่เรียบง่ายเทียบเท่ากับการวิ่งเปล่าในปัจจุบันพบในเมนู Entra ID

"การป้องกัน (Protection)"

->

"การเข้าถึงแบบมีเงื่อนไข (Conditional Access)"

。

สร้างกลยุทธ์: กำหนดให้พนักงานทุกคนต้องทำการยืนยันรอง (MFA) ผ่านแอป Microsoft Authenticator บนโทรศัพท์มือถือเมื่อเข้าสู่ระบบ IP ที่ไม่ใช่อินทราเน็ตของบริษัท

ด้วยวิธีนี้แม้ว่ารหัสผ่านของพนักงานจะรั่วไหลบนอินเทอร์เน็ตแต่แฮกเกอร์ก็ไม่มีโทรศัพท์มือถือของพนักงานและไม่ต้องการก้าวเข้าสู่ระบบ

2.กำหนดค่าการรีเซ็ตรหัสผ่านแบบบริการตนเองอย่างเหมาะสม (SSPR)

อย่าปล่อยให้ทีมไอทีเสียเวลาไปกับเรื่องเล็กน้อยเช่น "ช่วยพนักงานเปลี่ยนรหัสผ่าน"

ในแท็บ "Password reset" ของ Entra ID ให้ตั้งค่า "เปิดใช้งานการรีเซ็ตรหัสผ่านบริการตนเอง" เป็น "ทั้งหมด"

ตราบใดที่พนักงานผูกหมายเลขโทรศัพท์มือถือหรือที่อยู่อีเมลส่วนตัวของเขาและลืมรหัสผ่านในอนาคตเขาสามารถผ่านได้โดยคลิก "ลืมรหัสผ่าน" ในหน้าเข้าสู่ระบบ

ดึงรหัสยืนยันด้วยตัวเองประหยัดเวลาและความพยายาม

สรุป

Microsoft Entra ID ไม่ได้เป็นเพียงฐานข้อมูลผู้ใช้บนคลาวด์แต่เป็นฐานของการเปลี่ยนแปลงทางดิจิทัลขององค์กรและ Zero Trust

ผ่าน

การนำเข้าชุด CSV

องค์กรขนาดเล็กและขนาดกลางสามารถให้พนักงานทุกคนยอมรับสำนักงานคลาวด์ได้อย่างราบรื่นภายในครึ่งชั่วโมง

Entra Connect

องค์กรขนาดใหญ่สามารถเชื่อมโยงทรัพย์สินในท้องถิ่นและแอปพลิเคชันเนทีฟบนคลาวด์ที่ทันสมัยได้อย่างสมบูรณ์แบบทำงานได้ดีในการจัดการข้อมูลประจำตัวที่เป็นเอกภาพปล่อยให้ผู้มีอำนาจไปกับผู้คนและไปกับคุณอย่างปลอดภัยการสร้างดิจิทัลขององค์กรของคุณถือเป็นรากฐานที่มั่นคงที่สุด