与Microsoft合作的Capstone项目

Question

我想看看是否有人能帮我做我的顶点项目。我选择了访问控制和身份验证。我需要帮助有问题的公司员工能够在公司网络上打开重要的文件。我正在使用Microsoft来尝试解决这个问题。我试图概述在Windows环境中使用虚拟机(1 X域控制器、1 x客户端、4用户)创建更好的访问控制系统所需做的事情。我想看看如何实现DAC，RBAC，MAC或组合，以帮助保护基本信息。有谁能把我该做的一步步地分解一下吗？我需要虚拟网络并建立一个拓扑。我在考虑集线器到辐式拓扑，但如果使用更好的东西，它可能会改变。2018年，我最后一次与Azure和访问控制一起工作，我觉得我在跳来跳去，错过了一些地方。

Answer 1

·我建议你首先创建一套基于不同办公地点、或员工指定位置的虚拟网络。用于这些虚拟网络的地址空间也应该是不同的，而不是重叠的，避免策略和访问应用程序到其他网络。完成后，将相应地为相关员工配置虚拟机，并为他们配置连接解决方案，即通过RDP或Bastion主机配置虚拟机。

·然后，确保根据员工访问部署的Azure资源的要求创建用户in，即资源可能是Azure文件共享、blob存储、创建的任何Web应用程序或密钥库中的任何证书。然后通过RBAC (Access )向有关用户提供对该的访问权，通过根据该资源所需访问级别分配角色来提供相关用户所需的访问权限。

·此外，如果每个用户使用Azure上的资源，请确保为他们分配了一个Azure角色分配。在这种情况下，可以创建具有该Azure角色所需的权限、操作和数据操作的自定义角色。在进行此操作时，您还将注册Office 365服务的用户，以适当访问在线办公软件和邮箱。在此期间，您将需要选择Azure信息保护许可证，以便即使文档、邮件等在离开组织的域(即客户端系统)之后也受到保护。此外，您还需要Azure AD Premium P2和企业移动+安全(EMS) E5许可证。

因此，通过这种方式，您可以在Azure中设置组织的基础设施，并提供安全和适当的访问。有关特定功能配置的更多信息，请查找以下链接：-

https://learn.microsoft.com/en-us/azure/active-directory/governance/entitlement-management-access-package-first

上面的链接描述了Azure中访问包的使用和配置，以及如何使用它们创建审批工作流和为Azure中的特定项目分配所需资源的请求。同样，关于Azure信息保护的实现，请参阅下面的文档链接了解配置和更多细节：

https://learn.microsoft.com/en-in/previous-versions/azure/information-protection/infoprotect-quick-start-tutorial

https://learn.microsoft.com/en-us/azure/information-protection/faqs