Přehled zabezpečení správy identit Azure

Správa identit je proces ověřování a autorizace objektů zabezpečení. Zahrnuje také řízení informací o těchto objektech zabezpečení (identitách). Mezi objekty zabezpečení (identity) můžou patřit služby, aplikace, uživatelé, skupiny atd. Řešení pro správu identit a přístupu Od Microsoftu pomáhají IT chránit přístup k aplikacím a prostředkům v podnikovém datacentru a v cloudu. Tato ochrana umožňuje další úrovně ověřování, jako je vícefaktorové ověřování a zásady podmíněného přístupu. Monitorování podezřelých aktivit prostřednictvím pokročilých sestav zabezpečení, auditování a upozorňování pomáhá zmírnit potenciální problémy se zabezpečením. Microsoft Entra ID P1 nebo P2 poskytuje jednotné přihlašování k tisícům cloudových aplikací jako služby (SaaS) a přístup k webovým aplikacím, které spouštíte místně.

Když využijete výhody zabezpečení pro Microsoft Entra ID, můžete:

• Umožňuje vytvořit a spravovat jednu identitu pro každého uživatele v celém podniku a přitom zajistit synchronizaci uživatelů, skupin a zařízení.
• Poskytovat přístup přes jednotné přihlašování k vašim aplikacím, včetně tisíců předem integrovaných aplikací SaaS.
• Povolte zabezpečení přístupu k aplikacím vynucením vícefaktorového ověřování založeného na pravidlech pro místní i cloudové aplikace.
• Zřiďte zabezpečený vzdálený přístup k místním webovým aplikacím prostřednictvím proxy aplikací Microsoft Entra.

Cílem tohoto článku je poskytnout přehled základních funkcí zabezpečení Azure, které pomáhají se správou identit. Poskytujeme také odkazy na články, které poskytují podrobnosti o jednotlivých funkcích, abyste se mohli dozvědět více.

Tento článek se zaměřuje na následující základní možnosti správy identit Azure:

• Jednotné přihlášení
• Reverzní proxy server
• Vícefaktorové ověřování
• Řízení přístupu na základě role Azure (Azure RBAC)
• Monitorování zabezpečení, výstrahy a sestavy založené na strojovém učení
• Správa identit a přístupu zákazníků
• Registrace zařízení
• Privileged identity management
• Ochrana identit
• Hybridní správa identit / Azure AD Connect
• Kontroly přístupu Microsoft Entra

Jednotné přihlášení

Jednotné přihlašování znamená, že budete mít přístup ke všem aplikacím a prostředkům, které potřebujete pro podnikání, tím, že se přihlásíte jenom jednou pomocí jednoho uživatelského účtu. Po přihlášení máte přístup ke všem aplikacím, které potřebujete, aniž byste museli ověřovat (například zadat heslo) podruhé.

Řada organizací spoléhá na aplikace SaaS, jako je Microsoft 365, Box a Salesforce, pro produktivitu uživatelů. It pracovníci potřebovali v každé aplikaci SaaS jednotlivě vytvářet a aktualizovat uživatelské účty a uživatelé si museli pamatovat heslo pro každou aplikaci SaaS.

Microsoft Entra ID rozšiřuje místní Active Directory prostředí do cloudu a umožňuje uživatelům používat svůj primární účet organizace k přihlášení nejen k zařízením připojeným k doméně a prostředkům společnosti, ale také ke všem webovým aplikacím a aplikacím SaaS, které potřebují pro své úlohy.

Nejen že uživatelé nemusí spravovat více sad uživatelských jmen a hesel, můžete zřizovat nebo zrušit přístup k aplikacím automaticky na základě jejich organizačních skupin a jejich stavu zaměstnanců. Microsoft Entra ID zavádí řízení zásad správného řízení zabezpečení a přístupu, pomocí kterých můžete centrálně spravovat přístup uživatelů napříč aplikacemi SaaS.

Další informace:

• Přehled jednotného přihlašování
• Video o základech ověřování
• Řada Rychlý start pro správu aplikací

Reverzní proxy server

Proxy aplikací Microsoft Entra umožňuje publikovat aplikace v privátní síti, jako jsou sharepointové weby, Outlook Web App a aplikace založené na službě IIS ve vaší privátní síti a poskytuje zabezpečený přístup uživatelům mimo vaši síť. proxy aplikací poskytuje vzdálený přístup a jednotné přihlašování pro mnoho typů místních webových aplikací s tisíci aplikací SaaS, které Microsoft Entra ID podporuje. Zaměstnanci se můžou přihlásit k aplikacím z domova na vlastních zařízeních a ověřovat se prostřednictvím tohoto cloudového proxy serveru.

Další informace:

• Povolení proxy aplikace Microsoft Entra
• Publikování aplikací pomocí proxy aplikací Microsoft Entra
• Jednotné přihlašování pomocí proxy aplikací
• Práce s podmíněným přístupem

Vícefaktorové ověřování

Vícefaktorové ověřování Microsoft Entra je metoda ověřování, která vyžaduje použití více než jedné metody ověření a přidává kritickou druhou vrstvu zabezpečení k přihlašování a transakcím uživatelů. Vícefaktorové ověřování pomáhá chránit přístup k datům a aplikacím, zatímco splňuje požadavky uživatelů na jednoduchý proces přihlašování. Zajišťuje silné ověřování prostřednictvím řady možností ověřování: telefonní hovory, textové zprávy nebo oznámení mobilních aplikací nebo ověřovací kódy a tokeny OAuth třetích stran.

Další informace: Jak funguje vícefaktorové ověřování Microsoft Entra

Azure RBAC

Azure RBAC je autorizační systém založený na Azure Resource Manageru, který poskytuje podrobnou správu přístupu k prostředkům v Azure. Azure RBAC umožňuje podrobné řízení úrovně přístupu, kterou uživatelé mají. Uživatele můžete například omezit jenom na správu virtuálních sítí a jiného uživatele na správu všech prostředků ve skupině prostředků. Azure obsahuje několik předdefinovaných rolí, které můžete využít. V následujícím seznamu najdete čtyři základní předdefinované role. První tři se vztahují ke všem typům prostředků.

• Vlastník – má plný přístup ke všem prostředkům, včetně práva delegovat přístup na ostatní uživatele.
• Přispěvatel – může vytvářet a spravovat všechny typy prostředků Azure, ale nemůže udělovat přístup ostatním.
• Čtenář – může zobrazit existující prostředky Azure.
• Správce uživatelských přístupů – může spravovat uživatelský přístup k prostředkům Azure.

Další informace:

• Co je řízení přístupu na základě role v Azure (Azure RBAC)?
• Předdefinované role v Azure

Monitorování zabezpečení, výstrahy a sestavy založené na strojovém učení

Monitorování zabezpečení, výstrahy a sestavy založené na strojovém učení, které identifikují nekonzistentní vzory přístupu, vám můžou pomoct chránit vaši firmu. K získání přehledu o integritě a zabezpečení adresáře vaší organizace můžete použít sestavy přístupu a využití Microsoft Entra ID. Díky těmto informacím může správce adresáře lépe určit, kde můžou být možná rizika zabezpečení, aby mohla odpovídajícím způsobem naplánovat zmírnění těchto rizik.

Sestavy na webu Azure Portal spadají do následujících kategorií:

• Sestavy anomálií: Obsahují události přihlášení, které jsme zjistili jako neobvyklé. Naším cílem je uvědomit si o takové aktivitě a umožnit vám zjistit, jestli je událost podezřelá.
• Integrované sestavy aplikací: Poskytuje přehled o tom, jak se cloudové aplikace ve vaší organizaci používají. Microsoft Entra ID nabízí integraci s tisíci cloudových aplikací.
• Chybové zprávy: Značí chyby, ke kterým může dojít při zřizování účtů pro externí aplikace.
• Sestavy specifické pro uživatele: Zobrazení dat aktivit přihlašování zařízení pro konkrétního uživatele
• Protokoly aktivit: Obsahují záznam všech auditovaných událostí za posledních 24 hodin, posledních 7 dnů nebo posledních 30 dnů a změny aktivity skupiny a resetování hesla a aktivity registrace.

Další informace: Průvodce vytvářením sestav v Microsoft Entra ID

Správa identit a přístupu zákazníků

Azure AD B2C je vysoce dostupná globální služba pro správu identit pro aplikace přístupné uživatelům, které se škálují na stovky milionů identit. Dá se integrovat do mobilních i webových platforem. Vaši uživatelé se můžou přihlásit ke všem aplikacím prostřednictvím přizpůsobitelných prostředí pomocí stávajících účtů sociálních sítí nebo vytvořením nových přihlašovacích údajů.

V minulosti vývojáři aplikací, kteří chtěli zaregistrovat zákazníky a přihlásit se do svých aplikací, by napsali svůj vlastní kód. A použili by místní databáze nebo systémy k ukládání uživatelských jmen a hesel. Azure AD B2C nabízí vaší organizaci lepší způsob integrace správy identit uživatelů do aplikací pomocí zabezpečené platformy založené na standardech a rozsáhlé sady rozšiřitelných zásad.

Když používáte Azure AD B2C, můžou se uživatelé zaregistrovat k vašim aplikacím pomocí svých stávajících sociálních účtů (Facebook, Google, Amazon, LinkedIn) nebo vytvořením nových přihlašovacích údajů (e-mailová adresa a heslo, uživatelské jméno a heslo).

Další informace:

• Co je Azure Active Directory B2C?
• Azure Active Directory B2C: Typy aplikací

Registrace zařízení

Registrace zařízení Microsoft Entra je základem pro scénáře podmíněného přístupu na základě zařízení. Při registraci zařízení poskytuje registrace zařízení Microsoft Entra identitu, kterou používá k ověření zařízení při přihlášení uživatele. Ověřené zařízení a atributy zařízení je pak možné použít k vynucení zásad podmíněného přístupu pro aplikace hostované v cloudu a místně.

V kombinaci s řešením pro správu mobilních zařízení, jako je Intune, se atributy zařízení v Microsoft Entra ID aktualizují o další informace o zařízení. Pak můžete vytvořit pravidla podmíněného přístupu, která vynucuje přístup ze zařízení, aby splňovala vaše standardy zabezpečení a dodržování předpisů.

Další informace:

• Začínáme s registrací zařízení Microsoft Entra
• Automatická registrace zařízení s Microsoft Entra ID pro zařízení připojená k doméně s Windows

Privileged identity management

Pomocí služby Microsoft Entra Privileged Identity Management můžete spravovat, řídit a monitorovat privilegované identity a přístup k prostředkům v Microsoft Entra ID a také další online služby Microsoftu, jako je Microsoft 365 a Microsoft Intune.

Uživatelé někdy potřebují provádět privilegované operace v prostředcích Azure nebo Microsoft 365 nebo v jiných aplikacích SaaS. To často znamená, že organizace musí uživatelům udělit trvalý privilegovaný přístup v Microsoft Entra ID. Takový přístup je rostoucím rizikem zabezpečení pro prostředky hostované v cloudu, protože organizace nemůžou dostatečně monitorovat, co uživatelé dělají s oprávněními správce. Kromě toho, pokud dojde k ohrožení uživatelského účtu s privilegovaným přístupem, může to mít vliv na celkové cloudové zabezpečení organizace. Microsoft Entra Privileged Identity Management pomáhá zmírnit toto riziko.

Microsoft Entra Privileged Identity Management umožňuje:

• Zjistěte, kteří uživatelé jsou správci Microsoft Entra.
• Povolte přístup pro správu za běhu (JIT) na vyžádání pro služby Microsoft, jako je Microsoft 365 a Intune.
• Získejte sestavy o historii přístupu správce a změnách v přiřazeních správce.
• Získejte upozornění na přístup k privilegované roli.

Další informace:

• Co je Microsoft Entra Privileged Identity Management?
• Přiřazení rolí adresáře Microsoft Entra v PIM

Ochrana identit

Microsoft Entra ID Protection je služba zabezpečení, která poskytuje konsolidovaný pohled na detekce rizik a potenciální ohrožení zabezpečení, která ovlivňují identity vaší organizace. Služba Identity Protection využívá stávající funkce detekce anomálií Microsoft Entra, které jsou dostupné prostřednictvím sestav aktivit Microsoft Entra anomálií. Služba Identity Protection také zavádí nové typy detekce rizik, které můžou detekovat anomálie v reálném čase.

Další informace: Microsoft Entra ID Protection

Hybridní správa identit (Microsoft Entra Připojení)

Řešení identit Microsoftu zahrnují místní a cloudové funkce a vytvářejí jednu identitu uživatele pro ověřování a autorizaci pro všechny prostředky bez ohledu na umístění. Tomu se říká hybridní identita. Microsoft Entra Připojení je nástroj Microsoftu navržený tak, aby splňoval a splnil vaše cíle hybridní identity. To vám umožní poskytnout uživatelům společnou identitu pro aplikace Microsoft 365, Azure a SaaS integrované s Microsoft Entra ID. Má následující funkce:

• Synchronizace
• Integrace služby AD FS a federace
• Předávací ověřování
• Monitorování stavu

Další informace:

• Dokument white paper hybridní identity
• Microsoft Entra ID

Kontroly přístupu Microsoft Entra

Kontroly přístupu Microsoft Entra umožňují organizacím efektivně spravovat členství ve skupinách, přístup k podnikovým aplikacím a přiřazení privilegovaných rolí.

Další informace: Kontroly přístupu Microsoft Entra