2026 年在 Microsoft Entra ID 通过 AI 实现身份治理自动化

2026 年在 Microsoft Entra ID 通过 AI 实现身份治理自动化

2026 年 3 月 25 日

简介:身份管理规模的挑战

到 2026 年,身份和访问管理 (IAM) 已成为一项规模巨大的任务。随着远程用户、外部协作者以及越来越多的自主人工智能代理的激增,组织现在管理着数百万个身份和数十亿个权限。基于手动和定期访问审查的传统身份治理模型从根本上无法跟上这些环境的动态性和复杂性[1]。

手动访问审查通常会出现“审批疲劳”,即管理者在没有仔细考虑的情况下批准权限,只是为了清理任务队列。这会导致过多特权的积累(特权蔓延),从而产生可被攻击者利用进行横向移动的严重漏洞。为了解决这一挑战,Microsoft 于 2026 年在 Microsoft Entra ID 中推出了 AI-Powered Identity Governance,该解决方案使用人工智能来自动化和优化身份及其访问的生命周期 [2]。

2026 年的 Microsoft Entra ID 治理不仅有利于管理,而且可以积极主动地采取行动。它使用机器学习模型来分析访问模式、识别异常并建议撤销不再需要的权限。此外,该解决方案现在还包括对人工智能代理治理(Agent 365)的原生支持,确保这些新的“数字工作者”仅拥有其角色所必需的访问权限。这篇技术和教育文章将指导身份管理员实施人工智能自动化治理 [3]。

什么是人工智能自动身份治理?

Microsoft Entra ID Governance 是一个全面的解决方案,可为访问管理带来智能。 2026年其主要特点包括:

  • 人工智能辅助访问审核:系统分析权限的真实使用情况,并根据历史和行为数据向管理者提供“批准”或“拒绝”建议。

  • 身份生命周期管理(生命周期工作流程):根据 HR 系统触发器或目录更改自动创建、更新和删除用户帐户(加入者、移动者、离开者)。

  • 特权访问管理 (PIM):提供对关键功能的“即时”(JIT) 和“恰到好处的管理”(JEA) 访问,减少高权限帐户的暴露。

  • 代理治理:管理自主代理身份和权限的新功能,确保它们遵循与人类相同的安全策略。

  • 授权管理:通过访问包自动执行访问请求和分配,确保用户快速、安全地获得正确的权限。

  • 过多权限检测:识别拥有从未使用过的权限的用户,建议将其删除以减少攻击面。

人工智能身份治理的好处

实施自动化治理可以为组织提供战略优势:

  • 大幅降低安全风险:通过消除过多的权限并确保只有授权用户才能访问敏感资源。

  • 提高运营效率:自动执行重复的 IAM 任务,使 IT 团队能够腾出时间来执行更具战略性的项目。

  • 合规性的改进:促进审计报告的生成,并确保以严格和记录的方式进行访问审查。

  • 增强的用户体验:使用户能够通过自助服务工作流程快速请求和接收访问权限。

  • 可扩展性:无论组织如何发展,您都可以一致、安全地管理数百万个身份和权限。

分步指南:在 Entra ID 中配置自动化治理

让我们分解一下实施智能访问审核和生命周期工作流程的步骤。

第 1 步:在 Access Reviews 中启用 AI 建议

  1. AC这是 Microsoft Entra 管理中心:导航到“entra.microsoft.com”。

  2. 转到 Identity Governance:从导航菜单中,选择 Identity Governance > 访问评论

  3. 创建新的访问审核:单击“新访问审核”

  4. 启用 AI 建议:在设置部分中,启用选项 “决策助手” 并选择 “基于用户活动的审阅者建议”

  5. 定义范围和审核者:选择要审核的组或应用程序以及负责审批的人员(例如用户经理)。

  6. 开始审核:审核者现在将看到诸如“我们建议拒绝,因为用户已在 90 天内未使用此访问权限”之类的建议。

步骤 2:配置 HR 自动化的生命周期工作流程

  1. 转到生命周期工作流程:在 Identity Governance 菜单中,选择 生命周期工作流程

  2. 创建新工作流程:选择模型(例如:“入职预聘员工”“离职员工”)。

  3. 配置触发器:定义何时执行工作流程(例如,招聘日期前 7 天或工作最后一天)。

  4. 添加任务:配置自动操作,例如:

  5. 将用户添加到安全组。

  6. 分配 Microsoft 365 许可证。

  7. 发送欢迎电子邮件。

  8. 在出发当天停用帐户并从群组中删除。

  9. 激活工作流程:系统现在将以完全自动化的方式管理用户生命周期。

步骤 3:实施 AI 代理治理(代理 365)

  1. 访问代理部分:在 Identity Governance 中,查找新选项卡 “AI Agent Governance”

  2. 识别代理:系统将列出环境中注册的所有自主AI代理。

  3. 分配代理访问包:为代理创建特定的访问包,限制仅访问其任务所需的 API 和数据。

  4. 配置代理的访问审核:安排自动审核以确保代理权限不会随着时间的推移而不受控制地扩展。

步骤 4:审核和权限监控

  1. 使用治理报告:访问“见解”选项卡以查看组织中治理的一般状态。

  2. 识别“惰性账户”:找到长期未使用的账户并自动停用。

  3. 监控 PIM 警报:跟踪所有提升的权限激活以检测可疑或滥用行为。

结论

2026年,身份治理不再是一项可以纯粹手动执行的任务。现代环境的复杂性和规模需要人工智能实现智能和自动化。 Microsoft Entra ID 治理提供了所需的工具,以确保每个身份(无论是人类身份还是数字身份)在正确的时间、出于正确的原因拥有正确的访问权限。通过实施自动化治理策略,组织不仅可以增强安全性和合规性,还可以获得在不断变化的数字世界中蓬勃发展所需的敏捷性。

参考文献

[1] Microsoft 进入 ID 治理。 “帮助保护、监控和审核对重要资产的访问。”网址:https://www.microsoft.com/en-us/security/business/identity-access/microsoft-entra-id-governance [2] 微软技术社区。 “使用 Microsoft Entra 和 Agent 365 管理 AI 代理。”网址:[https://techcommunity.microsoft.com/discussions/microsoft365copilot/governance-of-ai-agents-with-microsoft-entra--agent-365/4505522] (https://techcommunity.microsoft.com/discussions/microsoft365copilot/governance-of-ai-agents-with-microsoft-entra--agent-365/4505522) [3] 微软安全博客。 “2026 年人工智能驱动的身份和网络访问安全的四个优先事项。”网址:[https://www.microsoft.com/en-us/security/blog/2026/01/20/four-priorities-for-ai-powered-identity-and-network-access-security-in-2026/] (https://www.microsoft.com/en-us/security/blog/2026/01/20/four-priorities-for-ai-powered-identity-and-network-access-security-in-2026/)