Memorandum 22-09: Unternehmensweites Identitätsverwaltungssystem
Gemäß dem M 22-09 Memorandum for Heads of Executive Departments and Agencies müssen Behörden einen Konsolidierungsplan für ihre Identitätsplattformen entwickeln. Das Ziel besteht darin, innerhalb von 60 Tagen nach dem Veröffentlichungsdatum (28. März 2022) möglichst wenige von der Behörde verwaltete Identitätssysteme einzusetzen. Die Konsolidierung der Identitätsplattform bietet mehrere Vorteile:
- Zentrale Verwaltung von Identitätslebenszyklen, Durchsetzung von Richtlinien und überprüfbare Kontrollmechanismen
- Einheitliche Funktion und Parität der Durchsetzung
- Geringerer Schulungsbedarf für Ressourcen in mehreren Systemen
- Einmaliges Anmelden der Benutzer*innen und Zugriff auf Anwendungen und Dienste in der IT-Umgebung
- Integration von möglichst vielen Behördenanwendungen
- Einfachere behördenübergreifende Integration über gemeinsam genutzte Authentifizierungsdienste und Vertrauensstellungen
Warum Microsoft Entra ID?
Verwenden Sie Microsoft Entra ID, um Empfehlungen aus memorandum 22-09 zu implementieren. Microsoft Entra ID bietet Identitätskontrollen mit Unterstützung von Zero Trust-Initiativen. Bei Microsoft Office 365 oder Azure dient Microsoft Entra ID als Identitätsanbieter (Identity Provider, IdP). Verbinden Sie Ihre Anwendungen und Ressourcen mit Microsoft Entra ID als Ihr unternehmensweites Identitätssystem.
Anforderungen für einmaliges Anmelden
Das Memorandum fordert, dass sich Benutzer*innen nur einmal anmelden müssen und dann auf Anwendungen zugreifen können. Mit dem einmaligen Anmelden von Microsoft (Single Sign-On, SSO) melden Benutzer*innen sich einmal an und greifen dann auf Clouddienste und Anwendungen zu. Siehe Microsoft Entra nahtloses einmaliges Anmelden.
Behördenübergreifende Integration
Verwenden Sie die Microsoft Entra B2B-Zusammenarbeit, um die Anforderung der Vereinfachung von Integration und Zusammenarbeit zwischen Behörden zu erfüllen. Benutzer*innen können sich in einem Microsoft-Mandanten in derselben Cloud befinden. Mandanten können sich in einer anderen Microsoft-Cloud oder in einem Nicht-Azure AD-Mandanten (SAML-/WS-Fed-Identitätsanbieter) befinden.
Mit den mandantenübergreifenden Zugriffseinstellungen von Microsoft Entra können Behörden die Zusammenarbeit mit anderen Microsoft Entra-Organisationen und anderen Microsoft Azure-Clouds verwalten:
- Einschränken der für Benutzer*innen zugänglichen Microsoft-Mandanten
- Einstellungen für den Zugriff externer Benutzer*innen, darunter die Erzwingung der Multi-Faktor-Authentifizierung und Gerätesignale
Weitere Informationen:
- Übersicht über die B2B-Zusammenarbeit
- Microsoft Entra B2B in Clouds für Behörden und nationalen Clouds
- Verbund mit SAML/WS-Fed-Identitätsanbietern für Gastbenutzer
Verbinden von Anwendungen
Um Microsoft Entra ID als unternehmensweites Identitätssystem zu konsolidieren und zu nutzen, sollten Sie die in Frage kommenden Ressourcen überprüfen.
Dokumentieren von Anwendungen und Diensten
Erstellen Sie eine Bestandsaufnahme der Anwendungen und Dienste, auf die Benutzer*innen zugreifen. Ein Identitätsverwaltungssystem kann nur schützen, was ihm bekannt ist.
Ressourcenklassifizierung:
- Die Vertraulichkeit der darin enthaltenen Daten
- Gesetze und Vorschriften zur Vertraulichkeit, Integrität oder Verfügbarkeit von Daten und/oder Informationen in wichtigen Systemen
- Besagte Gesetze und Vorschriften, die für Anforderungen an den Schutz von Systeminformationen gelten
Für Ihre Anwendungsinventur müssen Sie Anwendungen ermitteln, die cloudfähige oder ältere Authentifizierungsprotokolle verwenden:
- Cloudfähige Anwendungen unterstützen moderne Protokolle für die Authentifizierung:
- SAML
- WS-Federation/Trust
- OpenID Connect (OIDC)
- OAuth 2.0.
- Ältere Authentifizierungsanwendungen basieren auf älteren oder proprietären Authentifizierungsmethoden:
- Kerberos/NTLM (Windows-Authentifizierung)
- Headerbasierte Authentifizierung
- LDAP
- Standardauthentifizierung
Erfahren Sie mehr über Microsoft Entra-Integrationen mit Authentifizierungsprotokollen.
Tools für die Anwendungs- und Dienstermittlung
Microsoft bietet zur Unterstützung der Anwendungs- und Dienstermittlung die folgenden Tools an.
| Tool | Verwendung |
|---|---|
| Nutzungsanalyse für Active Directory Federation Services (AD FS) | Analysiert den Datenverkehr der Verbundserverauthentifizierung. Siehe AD FS mit Microsoft Entra Connect Health überwachen |
| Microsoft Defender for Cloud Apps | Überprüft Firewallprotokolle, um Cloud-Apps, IaaS-Dienste (Infrastructure as a Service) und PaaS-Dienste (Platform as a Service) zu ermitteln. Die Integration von Defender for Cloud Apps in Defender for Endpoint ermöglicht die Ermittlung von Daten, die über Windows Client-Geräte analysiert werden. Informationen finden Sie unter Übersicht über Microsoft Defender for Cloud Apps. |
| Arbeitsblatt zur Anwendungsermittlung | Dokumentiert den aktuellen Status Ihrer Anwendungen. Informationen finden Sie im Arbeitsblatt zur Anwendungsermittlung. |
Ihre Apps befinden sich möglicherweise in Microsoft-fremden Systemen und werden von Microsoft-Tools eventuell nicht erkannt. Stellen Sie sicher, dass eine vollständige Inventur durchgeführt wird. Anbieter benötigen Mechanismen, um Anwendungen zu ermitteln, die ihre Dienste verwenden.
Priorisieren von Anwendungen zum Herstellen einer Verbindung
Wenn Sie alle Anwendungen in Ihrer Umgebung ermittelt haben, priorisieren Sie sie für die Migration. Berücksichtigen Sie dabei Folgendes:
- Geschäftliche Bedeutung
- Benutzerprofile
- Verwendung
- Lebensdauer
Weitere Informationen finden Sie unter Migrieren der Anwendungsauthentifizierung zu Microsoft Entra ID.
Verbinden Sie Ihre cloudfähigen Apps in der Reihenfolge ihrer Priorität. Ermitteln Sie die Apps, die ältere Authentifizierungsprotokolle verwenden.
Gehen Sie bei Apps mit älteren Authentifizierungsprotokollen folgendermaßen vor:
- Apps mit moderner Authentifizierung können Sie für die Verwendung von Microsoft Entra ID neu konfigurieren.
- Bei Apps ohne moderne Authentifizierung stehen zwei Möglichkeiten zur Auswahl:
- Aktualisieren Sie den Anwendungscode für die Verwendung moderner Protokolle, indem Sie die Microsoft-Authentifizierungsbibliothek (MSAL) integrieren.
- Verwenden von Microsoft Entra Anwendungsproxys oder des sicheren Hybridpartnerzugriffs für einen sicheren Zugriff
- Deaktivieren Sie den Zugriff auf Apps, die nicht mehr benötigt oder nicht unterstützt werden.
Weitere Informationen
- Erfahren Sie mehr über Microsoft Entra-Integrationen mit Authentifizierungsprotokollen.
- Was ist die Microsoft Identity Platform?
- Sicherer Hybridzugriff: Schützen von Legacy-Apps mit Microsoft Entra ID
Verbinden von Geräten
Zur Zentralisierung eines Identitätsverwaltungssystems gehört auch, Benutzer*innen die Möglichkeit zu bieten, sich bei physischen und virtuellen Geräten anmelden zu können. In Ihrem zentralisierten Microsoft Entra-System können Sie Windows- und Linux-Geräte verbinden, wodurch die Verwendung mehrerer separater Identitätssysteme nicht mehr erforderlich ist.
Identifizieren Sie während Ihrer Bestandsaufnahme und der Bereichsfestlegung die Infrastruktur und die Geräte, die in Microsoft Entra ID integriert werden sollen. Die Integration zentralisiert Ihre Authentifizierung und Verwaltung durch die Verwendung von Richtlinien für bedingten Zugriff mit der Multi-Faktor-Authentifizierung, die über Microsoft Entra ID erzwungen wird.
Tools zum Ermitteln von Geräten
Sie können Azure Automation-Konten nutzen, um Geräte über die Bestandserfassung zu identifizieren, die mit Azure Monitor verbunden ist. Microsoft Defender for Endpoint verfügt über Geräteinventurfeatures. Ermitteln Sie die Geräte mit und die Geräte ohne Defender for Endpoint-Konfiguration. Die Geräteinventur wird von lokalen Systemen wie System Center Configuration Manager oder von anderen Systemen zur Verwaltung von Geräten und Clients aus durchgeführt.
Weitere Informationen:
- Verwalten der Bestandserfassung von virtuellen Computern
- Microsoft Defender für Endpunkt – Übersicht
- Einführung in die Hardwareinventur
Integrieren von Geräten mit Microsoft Entra ID
Geräte, die in Microsoft Entra ID integriert sind, sind hybrid eingebundene Geräte oder Microsoft Entra eingebundene Geräte. Unterteilen Sie das Onboarding von Geräten nach Client- und Benutzergeräten sowie nach physischen und virtuellen Computern, die als Infrastruktur betrieben werden. Weitere Informationen zur Bereitstellungsstrategie für Benutzergeräte finden Sie in den folgenden Anleitungen.
- Planen Ihrer Microsoft Entra-Gerätebereitstellung
- In Microsoft Entra eingebundene Hybridgeräte
- In Microsoft Entra eingebundene Geräte
- Anmelden bei einer Windows-VM in Azure mithilfe von Microsoft Entra ID einschließlich kennwortloser Authentifizierung
- Anmelden bei einer Linux-VM in Azure mithilfe von Microsoft Entra ID und OpenSSH
- Microsoft Entra Verknüpfung für Azure Virtual Desktop
- Geräteidentität und Desktopvirtualisierung
Nächste Schritte
Die folgenden Artikel sind Teil dieser Dokumentationsreihe:
- Erfüllen der Identitätsanforderungen des Memorandums 22-09 mit Microsoft Entra ID
- Erfüllen der Anforderungen an eine Multi-Faktor-Authentifizierung im Memorandum 22-09
- Erfüllen der Autorisierungsanforderungen des Memorandums 22-09
- Weitere im Memorandum 22-09 behandelte Zero Trust-Bereiche
- Sicherstellung der Identität mit Zero Trust