Jak Microsoft Entra ID zajišťuje cloudovou správu místních úloh

  • Článek

Microsoft Entra ID je komplexní řešení identity jako služby (IDaaS) používané miliony organizací, které pokrývají všechny aspekty identity, správy přístupu a zabezpečení. Microsoft Entra ID obsahuje více než miliardu identit uživatelů a pomáhá uživatelům při přihlašování a bezpečném přístupu k oběma:

  • Externí zdroje, jako je Microsoft 365, centrum pro správu Microsoft Entra a tisíce dalších aplikací SaaS (Software jako služba).
  • Interní prostředky, jako jsou aplikace v podnikové síti a intranetu organizace, spolu se všemi cloudovými aplikacemi vyvinutými touto organizací.

Organizace můžou Microsoft Entra ID použít, pokud jsou čistě cloudové, nebo jako hybridní nasazení, pokud mají místní úlohy. Hybridní nasazení Microsoft Entra ID může být součástí strategie pro organizaci, aby migrovala prostředky IT do cloudu nebo aby nadále integrovala stávající místní infrastrukturu společně s novými cloudovými službami.

Hybridní organizace v minulosti vnímaly id Microsoft Entra jako rozšíření své stávající místní infrastruktury. V těchto nasazeních jsou řídicími body místní správa zásad správného řízení identit, Windows Server Active Directory nebo jiné interní adresářové systémy a uživatelé a skupiny se z těchto systémů synchronizují do cloudového adresáře, jako je id Microsoft Entra. Jakmile jsou tyto identity v cloudu, můžete je zpřístupnit microsoftu 365, Azure a dalším aplikacím.

Životní cyklus identity

S tím, jak organizace přesouvají větší část své IT infrastruktury spolu se svými aplikacemi do cloudu, mnoho z nich hledá vylepšené zabezpečení a zjednodušené možnosti správy identit jako služby. Cloudové funkce IDaaS v Microsoft Entra ID urychlují přechod na správu řízenou cloudem tím, že poskytují řešení a možnosti, které organizacím umožňují rychle přijmout a přesunout větší část správy identit z tradičních místních systémů na Microsoft Entra ID a zároveň nadále podporovat stávající i nové aplikace.

Tento dokument popisuje strategii Microsoftu pro hybridní IDaaS a popisuje, jak můžou organizace používat Microsoft Entra ID pro své stávající aplikace.

Přístup Microsoft Entra ID ke správě cloudových identit

Když organizace přecházejí do cloudu, potřebují mít jistotu, že mají kontrolu nad kompletním prostředím – větší zabezpečení a větší přehled o aktivitách, podporované automatizací, a proaktivní přehledy. "Správa řízená cloudem" popisuje, jak organizace spravují a řídí své uživatele, aplikace, skupiny a zařízení z cloudu.

V tomto moderním světě musí být organizace schopné efektivně spravovat ve velkém, a to kvůli rostoucímu počtu aplikací SaaS a rostoucí roli spolupráce a externích identit. Nová riziková oblast cloudu znamená, že organizace musí lépe reagovat – aktér se zlými úmysly, který napadá uživatele cloudu, by mohl ovlivnit cloudové a místní aplikace.

Hybridní organizace musí být zejména schopné delegovat a automatizovat úlohy, což v minulosti IT dělalo ručně. K automatizaci úkolů potřebují rozhraní API a procesy, které orchestrují životní cyklus různých prostředků souvisejících s identitami (uživatelů, skupin, aplikací, zařízení), aby mohli každodenní správu těchto prostředků delegovat na další osoby mimo hlavní pracovníky IT. Microsoft Entra ID řeší tyto požadavky prostřednictvím správy uživatelských účtů a nativního ověřování pro uživatele bez nutnosti místní infrastruktury identit. Nevytvořit místní infrastrukturu může být přínosem pro organizace, které mají nové komunity uživatelů, jako jsou obchodní partneři, které nepochází z jejich místního adresáře, ale jejichž správa přístupu je pro dosažení obchodních výsledků důležitá.

Správa navíc není úplná bez --- zásad správného řízení a zásady správného řízení v tomto novém světě jsou integrovanou součástí systému identit, nikoli doplňkem. Zásady správného řízení identit poskytují organizacím možnost spravovat životní cyklus identit a přístupu napříč zaměstnanci, obchodními partnery a dodavateli, službami a aplikacemi.

Začlenění zásad správného řízení identit usnadňuje organizaci přechod na správu řízenou cloudem, umožňuje škálování IT, řeší nové výzvy s hosty a poskytuje hlubší přehledy a automatizaci, než měli zákazníci s místní infrastrukturou. Zásady správného řízení v tomto novém světě znamenají pro organizaci možnost mít transparentnost, viditelnost a správnou kontrolu přístupu k prostředkům v rámci organizace. S ID Microsoft Entra mají týmy pro operace zabezpečení a audit přehled o tom, kdo má --- a kdo by měl mít – přístup k jakým prostředkům v organizaci (na jakých zařízeních), co tito uživatelé s tímto přístupem dělají a jestli organizace má a používá odpovídající ovládací prvky k odebrání nebo omezení přístupu v souladu se zásadami společnosti nebo právních předpisů.

Nový model správy přináší výhody organizacím, které mají jak SaaS, tak obchodní aplikace, protože můžou snadněji spravovat a zabezpečit přístup k těmto aplikacím. Díky integraci aplikací s ID Microsoft Entra budou organizace moct používat a spravovat přístup napříč cloudovými i místními identitami, které vznikly konzistentně. Správa životního cyklu aplikací se stává automatizovanější a Microsoft Entra ID poskytuje bohaté přehledy o využití aplikací, které nebylo snadné dosáhnout v místní správě identit. Prostřednictvím id Microsoft Entra, skupin Microsoftu 365 a samoobslužných funkcí Teams můžou organizace snadno vytvářet skupiny pro správu přístupu a spolupráci a přidávat nebo odebírat uživatele v cloudu, aby byly splněny požadavky na spolupráci a správu přístupu.

Výběr správných Microsoft Entra funkcí pro cloudovou správu závisí na aplikacích, které se mají použít, a na tom, jak budou tyto aplikace integrovány s id Microsoft Entra. Následující části popisují přístupy k aplikacím integrovaným se službou AD a aplikacím, které používají federační protokoly (například SAML, OAuth nebo OpenID Connect).

Správa aplikací integrovaných s AD řízená cloudem

Microsoft Entra ID zlepšuje správu místní Active Directory integrovaných aplikací organizace prostřednictvím zabezpečeného vzdáleného přístupu a podmíněného přístupu k těmto aplikacím. Kromě toho Microsoft Entra ID také poskytuje správu životního cyklu účtu a správu přihlašovacích údajů pro stávající účty AD uživatele, včetně následujících:

  • Zabezpečení vzdáleného přístupu a podmíněného přístupu pro místní aplikace

Pro mnoho organizací je prvním krokem při správě přístupu z cloudu pro místní webové a vzdálené desktopové aplikace integrované s AD nasazení proxy aplikací před tyto aplikace, aby byl zajištěn zabezpečený vzdálený přístup.

Po jednotném přihlášení k Microsoft Entra ID můžou uživatelé přistupovat ke cloudovým i místním aplikacím prostřednictvím externí adresy URL nebo interního portálu aplikací. Proxy aplikací například poskytuje vzdálený přístup a jednotné přihlašování ke Vzdálené ploše, SharePointu, aplikacím, jako jsou Tableau a Qlik, a obchodním aplikacím. Zásady podmíněného přístupu můžou kromě toho zahrnovat zobrazení podmínek použití a zajištění, aby s nimi uživatel před přístupem k aplikaci souhlasil.

Architektura proxy aplikací

  • Automatická správa životního cyklu pro účty Služby Active Directory

Zásady správného řízení identit pomáhají organizacím dosáhnout rovnováhy mezi produktivitou --- jak rychle může mít uživatel přístup k prostředkům, které potřebuje, například když se připojí k organizaci? --- a bezpečnostní ---, jak by se měl jejich přístup v průběhu času měnit, například když se změní stav zaměstnání této osoby? Správa životního cyklu identit je základem zásad správného řízení identit a efektivní zásady správného řízení ve velkém měřítku vyžadují modernizaci infrastruktury správy životního cyklu identit pro aplikace.

V mnoha organizacích je životní cyklus identit zaměstnanců vázán na reprezentaci daného uživatele v systému správy lidského kapitálu (HCM). U organizací, které používají Workday jako svůj systém HCM, může id Microsoft Entra zajistit, aby se uživatelské účty ve službě AD automaticky zřídily a zruší zřízení pro pracovní procesy v Workday. Tím se zlepší produktivita uživatelů prostřednictvím automatizace účtů s přímou identitou a zajistí se tím, že se přístup k aplikacím automaticky aktualizuje, když uživatel změní role nebo opustí organizaci. Plán nasazení zřizování uživatelů řízený aplikací Workday je podrobný průvodce, který organizace provede implementací osvědčených postupů z Workday do řešení zřizování uživatelů active directory v pěti krocích.

Microsoft Entra ID P1 nebo P2 zahrnuje také Microsoft Identity Manager, které můžou importovat záznamy z jiných místních systémů HCM, včetně SAP, Oracle eBusiness a Oracle PeopleSoft.

Spolupráce mezi firmami stále více vyžaduje udělení přístupu lidem mimo vaši organizaci. Microsoft Entra spolupráce B2B umožňuje organizacím bezpečně sdílet své aplikace a služby s uživateli typu host a externími partnery při zachování kontroly nad vlastními podnikovými daty.

Microsoft Entra ID může podle potřeby automaticky vytvářet účty ve službě AD pro uživatele typu host, což umožňuje firemním hostům přístup k místním aplikacím integrovaným s AD bez nutnosti dalšího hesla. Organizace můžou pro uživatele typu host nastavit zásady vícefaktorového ověřování, aby se během ověřování proxy aplikací prováděly kontroly vícefaktorového ověřování. Všechny kontroly přístupu , které se provádějí u cloudových uživatelů B2B, se také vztahují na místní uživatele. Pokud je například uživatel cloudu odstraněn prostřednictvím zásad správy životního cyklu, odstraní se také místní uživatel.

Správa přihlašovacích údajů pro účty Služby Active Directory

Samoobslužné resetování hesla v Microsoft Entra ID umožňuje uživatelům, kteří zapomněli hesla, znovu ověření a resetování hesel, přičemž změněná hesla se zapisují do místní Active Directory. Proces resetování hesla může také používat zásady místní Active Directory hesel: Když si uživatel resetuje heslo, zkontroluje se, jestli splňuje zásady místní Active Directory, než ho potvrdí do tohoto adresáře. Plán nasazení samoobslužného resetování hesla popisuje osvědčené postupy pro zavedení samoobslužného resetování hesla pro uživatele prostřednictvím webového prostředí a integrovaného prostředí Windows.

Microsoft Entra architektura SSPR

A konečně pro organizace, které uživatelům umožňují měnit hesla ve službě AD, je možné službu AD nakonfigurovat tak, aby používala stejné zásady hesel, které organizace používá ve Microsoft Entra ID, prostřednictvím funkce ochrany Microsoft Entra heslem, která je v současné době ve verzi Public Preview.

Když je organizace připravená přesunout aplikaci integrovanou se službou AD do cloudu přesunem operačního systému hostujícího aplikaci do Azure, Microsoft Entra Domain Services poskytuje doménové služby kompatibilní s AD (například připojení k doméně, zásady skupiny, ověřování LDAP a Kerberos/NTLM). Microsoft Entra Domain Services se integruje se stávajícím tenantem Microsoft Entra organizace, což uživatelům umožňuje přihlásit se pomocí firemních přihlašovacích údajů. Stávající skupiny a uživatelské účty je navíc možné použít k zabezpečení přístupu k prostředkům a zajistit plynulejší "lift-and-shift" místních prostředků na služby infrastruktury Azure.

Microsoft Entra Domain Services

Cloudově řízená správa místních federačních aplikací

Pro organizaci, která už používá místního zprostředkovatele identity, umožňuje přesun aplikací na Microsoft Entra ID bezpečnější přístup a jednodušší správu správy federace. Microsoft Entra ID umožňuje konfigurovat podrobné řízení přístupu pro jednotlivé aplikace, včetně Microsoft Entra vícefaktorového ověřování, pomocí Microsoft Entra podmíněného přístupu. Microsoft Entra ID podporuje více možností, včetně podpisových certifikátů tokenů specifických pro aplikaci a konfigurovatelných dat vypršení platnosti certifikátů. Tyto funkce, nástroje a pokyny umožňují organizacím vyřadit místní zprostředkovatele identit. Například vlastní IT oddělení microsoftu přesunulo 17 987 aplikací z interního Active Directory Federation Services (AD FS) Microsoftu (AD FS) na Microsoft Entra ID.

Microsoft Entra vývoj

Pokud chcete zahájit migraci federovaných aplikací na Microsoft Entra ID jako zprostředkovatele identity, projděte si https://aka.ms/migrateapps odkazy na:

  • Dokument white paper Migrace aplikací na id Microsoft Entra, který představuje výhody migrace a popisuje, jak naplánovat migraci ve čtyřech jasně nastíněných fázích: zjišťování, klasifikace, migrace a průběžná správa. Provede vás, jak nad procesem přemýšlet a rozdělit projekt na snadno použitelné části. V celém dokumentu jsou odkazy na důležité zdroje, které vám pomůžou na cestě.

  • Průvodce řešením Migrace ověřování aplikací z Active Directory Federation Services (AD FS) na Microsoft Entra ID podrobněji zkoumá stejné čtyři fáze plánování a provádění projektu migrace aplikací. V této příručce se dozvíte, jak tyto fáze použít ke konkrétnímu cíli přesunu aplikace z Active Directory Federation Services (AD FS) (AD FS) na Microsoft Entra ID.

  • Skript připravenosti migrace Active Directory Federation Services (AD FS) je možné spustit na existujících serverech služby AD FS (místní Active Directory Federation Services) a určit připravenost aplikací na migraci na Microsoft Entra ID.

Průběžná správa přístupu napříč cloudovými a místními aplikacemi

Organizace potřebují proces správy přístupu, který je škálovatelný. Uživatelé dál shromažďují přístupová práva a končí nad rámec toho, co jim bylo původně zřízeno. Kromě toho musí být podnikové organizace schopné efektivně škálovat, aby mohly průběžně vyvíjet a vynucovat zásady přístupu a kontroly.

IT obvykle deleguje rozhodnutí o schválení přístupu na osoby s rozhodovací pravomocí. Kromě toho může IT zapojit i samotné uživatele. Například uživatelé, kteří mají přístup k důvěrným zákaznickým datům v marketingové aplikaci společnosti v Evropě, potřebují znát zásady společnosti. Uživatelé typu host také nemusí vědět o požadavcích na zpracování dat v organizaci, do které byli pozváni.

Organizace můžou proces životního cyklu přístupu automatizovat prostřednictvím technologií, jako jsou dynamické skupiny ve spojení se zřizováním uživatelů pro aplikace SaaS nebo aplikace integrované pomocí standardu System for Cross-Domain Identity Management (SCIM). Organizace také můžou řídit, kteří uživatelé typu host mají přístup k místním aplikacím. Tato přístupová práva je pak možné pravidelně kontrolovat pomocí opakovaných kontrol přístupu Microsoft Entra.

Budoucí směry

V hybridních prostředích je strategií Microsoftu povolit nasazení, ve kterých je cloud řídicí rovinou pro identitu, a cílem zřizování uživatelů s přístupem jsou místní adresáře a další systémy identit, jako je Active Directory a další místní aplikace. Tato strategie bude i nadále zajišťovat práva, identity a přístup v aplikacích a úlohách, které na nich závisejí. V tomto koncovém stavu budou organizace schopny dosáhnout produktivity koncových uživatelů zcela z cloudu.

Microsoft Entra architektura

Další kroky

Další informace o tom, jak na této cestě začít, najdete v tématu Microsoft Entra plány nasazení. Tyto plány poskytují ucelené pokyny k nasazení Microsoft Entra funkcí. Každý plán vysvětluje obchodní hodnotu, aspekty plánování, návrh a provozní postupy potřebné k úspěšnému zavedení běžných Microsoft Entra funkcí. Microsoft průběžně aktualizuje plány nasazení o osvědčené postupy získané z nasazení ze strany zákazníků a další zpětnou vazbu, když přidáváme nové možnosti správy z cloudu s Microsoft Entra ID.