Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
M-22-09 Memorandum for Heads of Executive Departments and Agencies vyžaduje, aby agentury vypracovaly plán konsolidace pro své platformy pro identitu. Cílem je mít co nejvíce systémů identit spravovaných agenturou do 60 dnů od data zveřejnění (28. března 2022). Konsolidace platformy Identit Platform má několik výhod:
- Centralizovaná správa životního cyklu identit, vynucení zásad a auditovatelných ovládacích prvků
- Jednotná schopnost a parita vynucení
- Snížení potřeby trénovat prostředky napříč několika systémy
- Povolte uživatelům, aby se přihlásili jednou a pak přistupovali k aplikacím a službám v IT prostředí.
- Integrace s co nejvíce aplikacemi agentury
- Použití sdílených ověřovacích služeb a vztahů důvěryhodnosti k usnadnění integrace mezi institucemi
Proč Microsoft Entra ID?
Použijte Microsoft Entra ID k implementaci doporučení z memoria 22-09. Microsoft Entra ID má ovládací prvky identit, které podporují iniciativy nulové důvěryhodnosti. V Microsoft Office 365 nebo Azure je Microsoft Entra ID poskytovatelem identity (IdP). Připojte své aplikace a prostředky k Microsoft Entra ID jako celopodnikový systém identit.
Požadavky na jednotné přihlašování
Poznámka vyžaduje, aby se uživatelé přihlásili jednou a pak přistupovali k aplikacím. Pomocí jednotného přihlašování Microsoft (SSO) se uživatelé přihlásí jednou a pak mají přístup ke cloudovým službám a aplikacím. Viz bezproblémové jednotné přihlašování Microsoft Entra.
Integrace mezi institucemi
Využijte spolupráci Microsoft Entra B2B ke splnění požadavku usnadnění integrace a spolupráce napříč institucemi. Uživatelé můžou být v tenantovi Microsoftu ve stejném cloudu. Tenanti můžou být v jiném cloudu Microsoftu nebo v tenantovi mimo Azure AD (SAML/WS-Fed zprostředkovatele identity).
S nastavením přístupu mezi tenanty Microsoft Entra spravují agentury způsob spolupráce s jinými organizacemi Microsoft Entra a dalšími cloudy Microsoft Azure:
- Omezení toho, k čemu mohou uživatelé tenantů Microsoftu přistupovat
- Nastavení pro přístup externího uživatele, včetně vynucení vícefaktorového ověřování a signálu zařízení
Další informace:
- Přehled spolupráce B2B
- Microsoft Entra B2B v cloudech pro státní správu a národních cloudech
- Federace s poskytovateli identit SAML/WS-Fed pro hostující uživatele
Připojení aplikací
Pokud chcete konsolidovat a používat Microsoft Entra ID jako podnikový systém pro správu identit, zkontrolujte prostředky, které jsou v dosahu.
Dokumentovat aplikace a služby
Vytvořte inventář aplikací a služeb, ke které mají uživatelé přístup. Systém správy identit chrání to, co ví.
Klasifikace prostředků:
- Citlivost dat v nich
- Zákony a předpisy týkající se důvěrnosti, integrity nebo dostupnosti dat a/nebo informací v hlavních systémech
- Uvedené zákony a předpisy, které se vztahují na požadavky na ochranu systémových informací
U inventáře aplikací určete aplikace, které používají protokoly připravené pro cloud nebo starší ověřovací protokoly:
- Aplikace připravené pro cloud podporují moderní protokoly pro ověřování:
- SAML
- WS-Federation/Trust
- OpenID Connect (OIDC)
- OAuth 2.0.
- Starší verze ověřovacích aplikací spoléhají na starší nebo proprietární metody ověřování:
- Kerberos/NTLM (ověřování systému Windows)
- Ověřování na základě hlaviček
- LDAP
- Základní ověřování
Přečtěte si další informace o integraci Microsoft Entra s ověřovacími protokoly.
Nástroje pro zjišťování aplikací a služeb
Microsoft nabízí následující nástroje pro podporu zjišťování aplikací a služeb.
| Nástroj | Použití |
|---|---|
| Analýza využití pro službu Active Directory Federation Services (AD FS) | Analyzuje provoz ověřování federovaného serveru. Viz, monitorování služby AD FS pomocí služby Microsoft Entra Connect Health |
| Microsoft Defender pro cloudové aplikace | Kontroluje protokoly brány firewall a zjišťuje cloudové aplikace, služby IaaS (infrastruktura jako služba) a služby PaaS (platforma jako služba). Integrujte Defender for Cloud Apps s programem Defender for Endpoint za účelem zjišťování dat analyzovaných z klientských zařízení s Windows. Viz přehled Microsoft Defenderu pro Cloud Apps |
| List zjišťování aplikací | Zdokumentujte aktuální stavy aplikací. Vizte pracovní list Zjišťování aplikací |
Vaše aplikace můžou být v jiných systémech než Microsoft a nástroje Microsoftu tyto aplikace nemusí objevit. Ujistěte se, že je kompletní inventář. Poskytovatelé potřebují mechanismy zjišťování aplikací, které používají své služby.
Určení priority aplikací pro připojení
Jakmile zjistíte aplikace ve vašem prostředí, upřednostněte je pro migraci. Rozmyslete si:
- Obchodní důležitost
- Profily uživatelů
- Použití
- Životnost
Další informace: Jak migrovat ověřování aplikací do Microsoft Entra ID.
Připojte aplikace připravené ke cloudu v pořadí podle priority. Určete aplikace, které používají starší ověřovací protokoly.
Pro aplikace, které používají starší ověřovací protokoly:
- U aplikací s moderním ověřováním je překonfigurujte tak, aby používaly ID Microsoft Entra.
- Pro aplikace bez moderního ověřování existují dvě možnosti:
- Aktualizace kódu aplikace tak, aby používala moderní protokoly integrací knihovny MICROSOFT Authentication Library (MSAL)
- Použití proxy aplikací Microsoft Entra nebo zabezpečeného hybridního partnerského přístupu pro zabezpečený přístup
- Vyřazení přístupu k aplikacím, které už nejsou potřeba, nebo které nejsou podporované
Další informace
- Integrace Microsoft Entra s ověřovacími protokoly
- Co je platforma Microsoft Identity Platform?
- Zabezpečený hybridní přístup: Ochrana starších aplikací pomocí Microsoft Entra ID
Připojení zařízení
Součástí centralizovaného systému správy identit je povolení přihlášení uživatelů k fyzickým a virtuálním zařízením. Zařízení s Windows a Linuxem můžete připojit v centralizovaného systému Microsoft Entra, který eliminuje více samostatných systémů identit.
Během inventáře a určení rozsahu identifikujte zařízení a infrastrukturu, které se mají integrovat s ID Microsoft Entra. Integrace centralizuje ověřování a správu pomocí zásad podmíněného přístupu s vícefaktorovým ověřováním vynuceným prostřednictvím Microsoft Entra ID.
Nástroje ke zjišťování zařízení
Pomocí účtů Azure Automation můžete identifikovat zařízení prostřednictvím shromažďování inventáře připojeného ke službě Azure Monitor. Microsoft Defender for Endpoint má funkce inventáře zařízení. Zjistěte, která zařízení mají nakonfigurovaný Defender for Endpoint a zařízení, která nemají. Inventář zařízení pochází z místních systémů, jako je System Center Configuration Manager nebo jiné systémy, které spravují zařízení a klienty.
Další informace:
- Správa shromažďování inventáře z virtuálních počítačů
- přehled Microsoft Defender for Endpoint
- Úvod do inventáře hardwaru
Integrace zařízení s Microsoft Entra ID
Zařízení integrovaná s Microsoft Entra ID jsou zařízení připojená v hybridním módu nebo zařízení připojená k Microsoft Entra ID. Oddělení registrace podle klientských a uživatelských zařízení a podle fyzických a virtuálních počítačů, které fungují jako infrastruktura. Další informace o strategii nasazení pro uživatelská zařízení najdete v následujících doprovodných materiálech.
- Plánování nasazení zařízení Microsoft Entra
- Zařízení připojená k hybridní službě Microsoft Entra
- Zařízení připojená k Microsoft Entra
- Přihlášení k virtuálnímu počítači s Windows v Azure pomocí ID Microsoft Entra včetně bez hesla
- Přihlášení k virtuálnímu počítači s Linuxem v Azure pomocí Microsoft Entra ID a OpenSSH
- Připojení k Microsoft Entra pro Azure Virtual Desktop
- Identita zařízení a virtualizace desktopů
Další kroky
Následující články jsou součástí této sady dokumentace: