Zoho 目录 2.0 中的新增功能
Zoho 刚刚发布了 Directory 2.0,这是其员工身份管理平台的重大升级。作为一名为数十个组织实施身份解决方案的 Zoho 顾问,我对这些更新感到特别兴奋,因为它们解决了我每天在该领域看到的真正痛点。
此次更新带来了八项主要功能,可简化身份管理,同时增强安全性。给我印象最深的是 Zoho 专注于 消除基础设施依赖 - 不再需要维护 RADIUS 服务器或 LDAP 实例。现在一切都是云原生的。
1. 云RADIUS:无需硬件的WiFi安全
这解决的问题
传统 WiFi 安全需要维护物理 RADIUS 服务器。当员工离开时,您将面临共享密码或手动证书吊销的困境。我见过一些公司在 RADIUS 基础设施上花费数千美元只是为了保护他们的访客 WiFi。
云 RADIUS 完全消除了这一点。 它将网络访问直接链接到 Zoho 目录中的用户身份,提供:
- 基于身份的认证: WiFi 访问与员工帐户绑定,而不是共享密码
- 零基础设施: 无需维护、修补或备份服务器
- 即时访问撤销: 禁用用户帐户,立即失去 WiFi 访问权限
- 证书自动化: 自动颁发和更新用户证书
现场实施技巧
首先从会议室和宾客 WiFi 开始。这使您可以在不中断主网络的情况下测试系统。稳定后,逐个部门向员工网络推广。我发现每个部门为期两周的试点期效果很好。
2. 智能群组:一劳永逸的用户管理
这是我经常看到的一个场景:人力资源部在伦敦办事处雇用某人作为销售经理。 IT 人员手动将它们添加到:
- 伦敦办公集团
- 销售团队组
- GMT时区组
- 管理员权限组
智能组完全自动化了这一过程。 设置条件一次,系统会根据用户的属性自动添加/删除用户。
手动组(旧方式)
- ❌ 管理员手动添加每个用户
- ❌ 容易忘记会员资格
- ❌ 随着角色的变化,组会过时
- ❌ 没有变更的审计追踪
智能群组(新方式)
- ✅ 根据用户属性自动
- ✅ 始终准确且最新
- ✅ 当用户改变角色时自我维护
- ✅ 完整的自动化审核日志
我与客户一起使用的条件示例
- 电子邮件域名: 汽车集团承包商 (@contractor.company.com) 与员工
- 地点: 区域访问政策(欧盟用户获得不同的应用程序访问权限)
- 部门: 销售人员获得 CRM 访问权限,财务人员获得图书访问权限
- 职位名称: 管理者自动获得审批权限
3. 条件访问策略:上下文感知安全
这就是 Zoho Directory 2.0 在企业安全方面真正发挥作用的地方。条件访问根据以下条件评估每次登录尝试 上下文,而不仅仅是凭证。
评估什么
- 地点: 阻止来自受制裁国家/地区的登录或要求从新位置进行 2FA
- 时间: 限制工作时间的访问或标记异常登录时间
- IP地址: 将办公室 IP 列入白名单,阻止已知的 VPN/代理范围
- 设备类型: 敏感应用需要托管设备
- 平台: 允许 iOS/Android 但阻止越狱设备
现实世界的政策示例
对于金融服务客户,我配置了:
财务部 IF 用户
并访问 Zoho Books
并且地点不在[美国、加拿大、英国]
然后需要 2FA + 经理批准
IF 时间为当地时间晚上 11 点至凌晨 5 点
然后阻止访问 + 提醒安全团队
攻击发生后 2 小时内就发现了一个被盗的帐户 - 攻击者于美国东部时间凌晨 3 点从东欧登录。系统阻止访问并自动向其安全团队发出警报。
4. 路由策略:强制认证方法
不同的团队需要不同的身份验证方法。路由策略允许您根据用户组或应用程序强制执行特定的登录方法。
常见的路由模式
- 行政人员: 仅无密码(生物识别或硬件密钥)
- 开发商: SSO + 2FA 与 TOTP
- 普通员工: 密码+短信2FA
- 承包商: 具有受限应用程序访问权限的社交登录(Google/Microsoft)
推出策略
不要在第一天就强制每个人都使用无密码。从高管和 IT 团队开始证明这个概念。一旦他们感到满意,就扩展到处理敏感数据的部门(财务、人力资源)。让组织的其他成员自愿选择加入 2-3 个月,然后再强制执行。
5. 自带密钥 (BYOK):终极数据控制
对于受监管的行业(医疗保健、金融、政府),数据加密密钥至关重要。自带设备意味着 您控制加密密钥 保护 Zoho 目录中的数据。
为什么这很重要
使用 BYOK,Zoho 在没有您的密钥的情况下无法访问您的加密数据。如果您撤销密钥访问权限,您的数据将立即变得不可读 - 甚至 Zoho 本身也不可读。这对于以下方面至关重要:
- HIPAA 合规性(医疗保健)
- GDPR“被遗忘权”执行
- 金融服务监管要求
- 政府/国防承包商
谁需要这个: 如果您的合规官员曾经问过“加密密钥存储在哪里?” - 你需要 BYOK。
6. Cloud LDAP:无需服务器的目录服务
与 Cloud RADIUS 类似,Cloud LDAP 将传统的 LDAP 身份验证移至云端。对于拥有需要 LDAP 但不想维护 Active Directory 或 OpenLDAP 服务器的遗留应用程序的组织来说,这是巨大的。
我部署的用例
- VPN 身份验证: OpenVPN/WireGuard 根据 Zoho 目录进行身份验证
- 网络设备: 使用 LDAP 进行管理员访问的交换机、路由器、防火墙
- 旧版应用程序: 仅支持 LDAP 身份验证的旧 Java 应用程序
- Linux 服务器: 通过 LDAP 进行 SSH 身份验证,无需维护本地目录
7 & 8.审核日志+异常检测
这两个功能共同提供 完整的可见性和自动威胁检测.
审核日志
每个管理操作都会记录为:
- 谁执行了该动作
- 发生了什么变化(之前/之后的值)
- 事情发生的时间(带时区)
- 来自哪个IP地址
这对于合规审计至关重要。我无法告诉您合规团队有多少次询问“证明用户 X 在日期 Z 有权访问系统 Y”——审核日志使此查询只需 30 秒,而不是 3 天的调查。
异常检测
机器学习分析用户行为模式并标记异常活动:
- 在非正常时间从新设备登录
- 文件下载突然激增
- 访问以前从未使用过的应用程序
- 地理不可能的旅行(2小时东京→纽约)
真实事件响应示例
客户的员工的凭据遭到网络钓鱼。异常检测标记:
- 从尼日利亚登录(通常在芝加哥的员工)
- 3 分钟内访问 15 个不同的应用程序(正常:每天 2-3 个应用程序)
- 下载完整的员工目录(以前从未做过)
安全团队在 90 秒内收到警报。帐户在 5 分钟内被锁定。总潜在损害:最小。
实施建议
在为 20 多个组织实施 Zoho Directory 后,我推荐的推出方法如下:
第一阶段:基础(第 1-2 周)
- 立即启用审核日志(您需要历史数据)
- 建立智能群组作为基本组织架构
- 使用保守阈值配置异常检测
第 2 阶段:访问控制(第 3-4 周)
- 首先对高风险应用程序实施条件访问(财务、人力资源系统)
- 与试点小组(IT 团队或高管)一起测试路由策略
- 记录政策例外情况和审批工作流程
第 3 阶段:基础设施更换(第 5-8 周)
- 部署Cloud RADIUS测试网络(会议室WiFi)
- 一次将一个依赖于 LDAP 的应用迁移到 Cloud LDAP
- 在退役旧基础设施之前运行并行系统 2 周
第 4 阶段:高级安全性(第 9 周以上)
- 如果合规性需要,实施 BYOK
- 根据真实数据微调异常检测阈值
- 将条件访问扩展到所有应用程序
- 使用审核日志对团队进行事件响应培训
预算规划
Zoho 目录包含在 Zoho One (所有 45 个以上应用程序为每用户每月 37 美元)。如果您只需要目录,则起价要低得多。投资回报率来自停用 RADIUS/LDAP 服务器 - 我通常会看到每月节省 500-2000 美元的基础设施成本,并减少 IT 管理时间(每周 4-10 小时)。
底线
Zoho Directory 2.0 不仅仅是增量更新 - 它是从“身份管理需要基础设施”到“身份管理纯粹是云原生”的根本性转变。这八个新功能解决了我在几乎每次客户参与中遇到的真正痛点:
- 云 RADIUS 消除 WiFi 安全问题
- 智能组将管理工作量减少 60-80%
- 条件访问可捕获传统 MFA 遗漏的威胁
- 即使是最偏执的合规官员也能满意 BYOK
- 审核日志 + 异常检测提供企业级可见性
如果您当前正在管理 Active Directory、RADIUS 服务器或 LDAP 基础结构,则 Zoho Directory 2.0 值得认真评估。迁移工作是真实存在的,但长期运营成本节省和安全性改进使得大多数组织都值得这样做。
尝试无风险的 Zoho 目录
Zoho 目录包含在 Zoho One 以及 45 多个其他业务应用程序。开始 30 天免费试用以探索本文中讨论的所有功能。
开始免费试用 - Zoho One包括 Zoho 目录 + 45 多个应用程序 • 无需信用卡 • 30 天试用