Azure 中的 Active Directory 身份和访问管理操作

这些建议截至发布日期为当前，但未来可能会发生变化。随着 Microsoft 的产品和服务不断发展，组织应定期检查其身份识别程序。

主要操作流程

为 Azure 中的关键任务分配所有者

管理 Azure Active Directory 需要持续执行一些关键的操作任务和流程，这些任务和流程并非总是包含在部署过程中。但是，为了保持我们的环境处于良好状态，设置这些任务至关重要。

为没有所有者的活动分配所有者或在检查列表时更改任务的所有者是强制性的。

本地系统的标识同步

同步问题的识别与解决

长期存在的未解决的同步故障可能会导致支持问题。排查同步错误提供了各种同步失败类型的概述，以及一些可能导致这些失败的条件和可能的解决方案。

注意：如果由于旧域迁移、合并或收购，单个用户身份有多个帐户，我们应该只同步用户日常使用的帐户，例如用于登录其计算机的帐户。

理想情况下，我们将在要同步的项目数量与规则的复杂性之间取得平衡。

重要性

如果我们在生产环境中仍在使用组筛选，我们应该切换到不同的筛选方法。

Azure 中的灾难恢复

灾难恢复也称为同步故障转移。配置过程高度依赖 Azure AD Connect。如果 Sync Server 因任何原因停机，本地所做的更改将不会在云中更新，这可能导致用户访问问题。因此，定义一个故障转移计划，允许管理员在同步服务器离线时立即恢复同步至关重要。以下是一些此类策略的示例：

• 以暂存模式部署 Azure AD Connect 服务器 - 管理员可以通过进行微小修改，轻松地将暂存服务器“提升”为生产服务器。
• 使用虚拟化方法 - 如果 Azure AD Connect 安装在虚拟机 (VM) 上，管理员可以使用其虚拟化堆栈进行 VM 的实时迁移或快速重新安装，从而恢复同步。

自定义规则

Azure AD Connect 中的自定义规则允许我们管理本地对象和云对象之间的属性流。过度使用或滥用自定义规则会导致许多风险，这些风险可能对组织非常危险。

它们可能导致：

• 在对项目执行复杂操作时，排查复杂性可能导致性能下降。
  • 生产服务器和暂存服务器（由内置规则使用）之间配置出现偏差的可能性更高。
• 如果自定义规则的优先级设置在 100 以上，则在升级 Azure AD Connect 时会增加额外开销。
  如果我们有极其复杂的规则，我们应该研究它们为何如此复杂，并寻找简化的方法。同样，如果我们编写了优先级值大于 100 的自定义规则，我们应该确保它们不处于危险之中或与默认集发生冲突。
  滥用自定义规则的示例包括：
  • 弥补目录数据脏乱 - 在这种情况下，最好与 AD 团队的所有者合作，将清理目录数据作为一项补救任务，并修改协议以避免重新引入不良数据。
  • 一次性单独修复用户 - 通常会遇到为异常情况设置特殊规则的情况，这通常是由于特定用户的问题造成的。
• 过于复杂的“CloudFiltering” - 虽然减少项目数量是个好主意，但存在通过使用大量同步规则而使同步范围复杂化的风险。如果存在无法通过 OU 筛选涵盖的复杂包含/排除项目逻辑，最好在同步之外进行处理，并使用简单的“cloudFiltered”属性来指定对象，该属性可以通过简单的同步规则触发。

Microsoft 云服务许可（基于组）

使用 Azure Active Directory 的基于组的许可可以简化 Microsoft 云服务的许可。通过这种方式，IAM 提供组基础结构，同时将组管理委托给公司内相应的团队。在 Azure AD 中，我们可以通过多种方式设置组的成员身份，包括：

• 可以从本地目录同步组，这对于已经拥有组管理系统并且可以扩展以分配 Microsoft 365 许可证的企业来说可能是一个合适的选择。
  • 基于属性/动态 - Azure AD 跟踪组的成员，并确保它们匹配短语。当使用这种类型的组进行许可证分配时，可以实现基于属性的许可证分配，这对于目录中数据质量高的企业来说是理想的选择。
  • 委托所有权 - 可以创建组，并且还可以分配所有者。通过这种方式，我们可以允许公司领导者（例如协作或 BI 团队）定义谁应该拥有访问权限。

根据公司中的职位定义应启用的服务计划（许可证组件）是许可证管理的另一个方面。向用户授予其不需要的服务计划的访问权限，可能导致他们在 Office 门户中看到他们未接受过培训或不应使用的工具。在为可能不允许共享内容的员工配置 OneDrive for Business 时，可能会导致帮助台工作量增加、配置浪费，并危及我们的合规性和治理。

要为用户定义服务计划，请遵循以下指南：

• 管理员应根据用户的职位（例如，白领与一线工人）为用户创建服务计划的“包”。
• 将许可证分配给服务计划，并通过群集创建组。

重要性

如果我们发现任何许可错误，应立即调查并纠正任何许可证分配问题。

生命周期管理 IMA

如果我们的当前方法未考虑新员工或离职员工，我们应该实施动态的基于组的许可，并指定组的生命周期。最后，如果我们使用基于组的许可，但本地组没有生命周期管理，请考虑利用云组来提供委托所有权和基于属性的动态成员资格等功能。

分配给“所有用户”组的应用程序

“所有用户”组看起来可能只包含企业员工，但实际上可能同时包含企业员工和来宾。

Azure AD Connect 增量同步周期基线

了解我们业务中的变更量至关重要，同样重要的是确保同步在合理的时间内完成。

增量同步的默认频率设置为 30 分钟。如果增量同步经常需要超过 30 分钟，或者暂存和生产环境的增量同步性能存在显著差异，我们应分析和审查影响 Azure AD Connect 性能的变量。

Azure AD Connect 故障排除推荐阅读

• 使用 IdFix 工具，为与 Microsoft 365 同步准备目录属性
• Azure AD Connect：同步错误故障排除

安全的身份基础结构包含五个组件。此列表将帮助我们快速识别和实施所需的步骤，以保护和管理公司中身份及其权限的生命周期。

• 将关键职责分配给所有者。
• 识别和纠正同步问题。
• 定义灾难恢复故障转移策略。
• 简化许可证和应用程序分配的管理。
• 自动化用户应用程序配置。