Megosztás a következőn keresztül:

Az erős identitás alapjainak négy lépése a Microsoft Entra ID-val

  • Cikk

Az alkalmazásokhoz és adatokhoz való hozzáférés kezelése már nem támaszkodhat a hagyományos hálózati biztonsági határstratégiákra, például a szegélyhálózatokra és a tűzfalakra, mivel az alkalmazások gyorsan átkerülnek a felhőbe. A szervezeteknek most meg kell bízniuk az identitásmegoldásukban, hogy szabályozhassák, ki és mi fér hozzá a szervezet alkalmazásaihoz és adataihoz. Több szervezet lehetővé teszi az alkalmazottak számára, hogy saját eszközeiket használhassák, bárhonnan, ahonnan csatlakozhatnak az internethez. Az eszközök megfelelőségének és biztonságának biztosítása fontos szemponttá vált a szervezet által implementálni kívánt identitásmegoldásban. A mai digitális munkahelyen az identitás a felhőbe költöző szervezetek elsődleges vezérlősíkja .

A Microsoft Entra hibrid identitáskezelési megoldásának bevezetésekor a szervezetek olyan prémium szintű funkciókhoz férhetnek hozzá, amelyek automatizálással, delegálással, önkiszolgáló szolgáltatással és egyszeri bejelentkezéssel oldják meg a hatékonyságot. Lehetővé teszi az alkalmazottak számára, hogy bárhonnan hozzáférjenek a vállalati erőforrásokhoz, ahol el kell végezniük a munkájukat, miközben lehetővé teszik az informatikai csapatok számára, hogy szabályozhassák ezt a hozzáférést, és biztosíthassák, hogy a megfelelő személyek megfelelő hozzáféréssel rendelkezzenek a megfelelő erőforrásokhoz a biztonságos termelékenység biztosítása érdekében.

A tanultak alapján az ajánlott eljárások ellenőrzőlistája segít gyorsan üzembe helyezni az ajánlott műveleteket, hogy erős identitásalapzatot hozzon létre a szervezetében:

  • Csatlakozás alkalmazásokhoz egyszerűen
  • Minden felhasználóhoz automatikusan létre kell hoznia egy identitást
  • A felhasználók biztonságossá tételének elősegítése
  • Az elemzések üzembeítése

1. lépés – Csatlakozás alkalmazásokhoz egyszerűen

Az alkalmazások Microsoft Entra-azonosítóval való összekapcsolásával javíthatja a végfelhasználók termelékenységét és biztonságát az egyszeri bejelentkezés (SSO) engedélyezésével és az automatikus felhasználókiépítés végrehajtásával. Az alkalmazások egyetlen helyen, a Microsoft Entra-azonosítóval történő kezelésével minimalizálhatja a felügyeleti terheket, és egyetlen ellenőrzési pontot érhet el a biztonsági és megfelelőségi szabályzatok számára.

Ez a szakasz a felhasználói alkalmazásokhoz való hozzáférés kezelésének, a belső alkalmazásokhoz való biztonságos távoli hozzáférés engedélyezésének és az alkalmazások Microsoft Entra-azonosítóra való migrálásának előnyeit ismerteti.

Alkalmazások zökkenőmentes elérhetővé tétele a felhasználók számára

A Microsoft Entra ID lehetővé teszi a rendszergazdák számára, hogy alkalmazásokat vegyenek fel a Microsoft Entra alkalmazásgyűjteménybe a Microsoft Entra felügyeleti központban. Ha alkalmazásokat ad hozzá a Nagyvállalati alkalmazások gyűjteményéhez, egyszerűbben konfigurálhatja az alkalmazásokat úgy, hogy a Microsoft Entra-azonosítót használják identitásszolgáltatóként. Emellett feltételes hozzáférési szabályzatokkal kezelheti az alkalmazáshoz való felhasználói hozzáférést, és konfigurálhatja az egyszeri bejelentkezést (SSO) az alkalmazásokhoz, hogy a felhasználóknak ne kelljen többször megadniuk a jelszavukat, és automatikusan bejelentkezhessenek a helyszíni és a felhőalapú alkalmazásokba is.

Miután az alkalmazások integrálva lettek a Microsoft Entra katalógusba, a felhasználók megtekinthetik a hozzájuk rendelt alkalmazásokat, és szükség szerint kereshetnek és kérhetnek más alkalmazásokat. A Microsoft Entra ID számos módszert kínál a felhasználók számára az alkalmazások eléréséhez:

  • Saját alkalmazások portál
  • Microsoft 365 alkalmazásindító
  • Közvetlen bejelentkezés az összevont alkalmazásokba
  • Közvetlen bejelentkezési hivatkozások

Az alkalmazásokhoz való felhasználói hozzáférésről a 3. lépésben olvashat bővebben.

Alkalmazások migrálása Active Directory összevonási szolgáltatások (AD FS)-ból Microsoft Entra-azonosítóba

Az egyszeri bejelentkezési konfiguráció Active Directory összevonási szolgáltatások (AD FS) (ADFS) és Microsoft Entra ID közötti migrálása további biztonsági képességeket, konzisztensebb kezelhetőséget és együttműködést tesz lehetővé. Az optimális eredmények érdekében javasoljuk, hogy az alkalmazásokat migrálja az AD FS-ből a Microsoft Entra-azonosítóba. Ha az alkalmazáshitelesítést és -engedélyezést a Microsoft Entra ID-ra hozza, az alábbi előnyöket nyújtja:

  • Költségek kezelése
  • Kockázatkezelés
  • A termelékenység növelése
  • A megfelelőség és a szabályozás kezelése

Alkalmazások biztonságos távelérésének engedélyezése

A Microsoft Entra alkalmazásproxy egyszerű megoldást kínál a szervezetek számára, hogy helyszíni alkalmazásokat tegyenek közzé a felhőben olyan távoli felhasználók számára, akiknek biztonságosan kell hozzáférni a belső alkalmazásokhoz. A Microsoft Entra-azonosítóra való egyszeri bejelentkezés után a felhasználók külső URL-címeken vagy a Saját alkalmazások portálon keresztül is hozzáférhetnek a felhőbeli és a helyszíni alkalmazásokhoz.

A Microsoft Entra alkalmazásproxy a következő előnyöket kínálja:

  • A Microsoft Entra ID kiterjesztése a helyszíni erőforrásokra
    • Felhőalapú biztonság és védelem
    • Olyan funkciók, mint a feltételes hozzáférés és a többtényezős hitelesítés, amelyek egyszerűen engedélyezhetőek
  • Nincs szükség összetevőkre a szegélyhálózatban, például a VPN-ben és a hagyományos fordított proxymegoldásokban
  • Nincs szükség bejövő kapcsolatokra
  • Egyszeri bejelentkezés (SSO) a felhőben és a helyszíni eszközökön, erőforrásokban és alkalmazásokban
  • Lehetővé teszi a végfelhasználók számára, hogy bárhol és bármikor hatékonyak legyenek

Árnyék it felfedezése Felhőhöz készült Microsoft Defender-alkalmazásokkal

A modern vállalatoknál az informatikai részlegek gyakran nem ismerik az összes felhőalkalmazást, amelyet a felhasználók a munkájukhoz használnak. Amikor a rendszergazdáktól megkérdezik, hogy hány felhőalkalmazást használnak az alkalmazottaik, átlagosan 30-at vagy 40-et mondanak. A valóságban az átlag több mint 1000 különálló alkalmazást használ a szervezet alkalmazottai által. Az alkalmazottak 80%-a nem szentesített alkalmazásokat használ, amelyeket senki sem tekintett át, és nem felel meg az Ön biztonsági és megfelelőségi szabályzatainak.

Felhőhöz készült Microsoft Defender Alkalmazások segítségével azonosíthatja a felhasználók körében népszerű hasznos alkalmazásokat, amelyeket az informatikai részleg engedélyezhet és integrálhat a Microsoft Entra-azonosítóba, hogy a felhasználók kihasználhassák az olyan képességek előnyeit, mint az egyszeri bejelentkezés és a feltételes hozzáférés.

"Felhőhöz készült Defender Alkalmazások segítségével biztosíthatjuk, hogy a felhasználók megfelelően használják a felhő- és SaaS-alkalmazásainkat, oly módon, hogy azok támogassák az Accenture védelmét segítő alapvető biztonsági szabályzatokat." --- John Blasi, ügyvezető igazgató, Információbiztonság, Accenture

Az árnyékalapú informatikai rendszer észlelése mellett az Felhőhöz készült Microsoft Defender-alkalmazások az alkalmazások kockázati szintjét is meghatározhatják, megakadályozhatják a vállalati adatokhoz való jogosulatlan hozzáférést, az esetleges adatszivárgást és az alkalmazásokban rejlő egyéb biztonsági kockázatokat.

2. lépés – Egy identitás létrehozása minden felhasználó számára automatikusan

A helyszíni és a felhőalapú könyvtárak egy Microsoft Entra hibrid identitáskezelési megoldásban való összevonásával a meglévő helyi Active Directory-befektetést újra felhasználhatja a meglévő identitások felhőben való kiépítésével. A megoldás szinkronizálja a helyszíni identitásokat a Microsoft Entra-azonosítóval, míg az informatikai rendszer az identitások elsődleges forrásaként minden meglévő szabályozási megoldással futtatja a helyi Active Directory. A Microsoft Microsoft Entra hibrid identitáskezelési megoldása a helyszíni és a felhőalapú képességekre terjed ki, így a helyüktől függetlenül közös felhasználói identitást hoz létre a hitelesítéshez és az összes erőforráshoz való engedélyezéshez.

Integrálhatja a helyszíni címtárakat a Microsoft Entra ID azonosítójával, hogy a felhasználók hatékonyabbá tegyenek. Megakadályozza, hogy a felhasználók több fiókot használjanak az alkalmazásokban és szolgáltatásokban azáltal, hogy közös identitást biztosítanak a felhőbeli és a helyszíni erőforrások eléréséhez. A több fiók használata fájdalompont a végfelhasználók és az informaták számára egyaránt. Végfelhasználói szempontból a több fiók használata azt jelenti, hogy több jelszót kell megjegyezni. Ennek elkerülése érdekében sok felhasználó ugyanazt a jelszót használja minden fiókhoz, ami biztonsági szempontból rossz. Informatikai szempontból az újrahasználat gyakran több jelszó-visszaállítást és ügyfélszolgálati költséget eredményez a végfelhasználói panaszokkal együtt.

A Microsoft Entra Connect az az eszköz, amellyel szinkronizálhatja a helyszíni identitásokat a Microsoft Entra-azonosítóval, amely ezután használható az integrált alkalmazások eléréséhez. Miután az identitások a Microsoft Entra-azonosítóban vannak, kioszthatók olyan SaaS-alkalmazásokban, mint a Salesforce vagy a Concur.

Ebben a szakaszban a magas rendelkezésre állásra, a felhő modern hitelesítésére és a helyszíni lábnyom csökkentésére vonatkozó javaslatokat soroljuk fel.

Feljegyzés

Ha többet szeretne megtudni a Microsoft Entra Connectről, olvassa el a Mi a Microsoft Entra Connect Sync?

Átmeneti kiszolgáló beállítása a Microsoft Entra Connecthez, és naprakészen tartása

A Microsoft Entra Connect kulcsfontosságú szerepet játszik a kiépítési folyamatban. Ha a Microsoft Entra Connectet futtató kiszolgáló bármilyen okból offline állapotba kerül, a helyszíni módosítások nem frissülnek a felhőben, és hozzáférési problémákat okoznak a felhasználók számára. Fontos meghatározni egy feladatátvételi stratégiát, amely lehetővé teszi a rendszergazdák számára a szinkronizálás gyors folytatását, miután a Microsoft Entra Connect-kiszolgáló offline állapotba kerül.

Ha magas rendelkezésre állást szeretne biztosítani abban az esetben, ha az elsődleges Microsoft Entra Connect-kiszolgáló offline állapotba kerül, javasoljuk, hogy telepítsen egy külön átmeneti kiszolgálót a Microsoft Entra Connecthez. Az átmeneti üzemmódú kiszolgálón módosíthatja a konfigurációt, és előre megvizsgálhatja a módosítások, mielőtt aktívvá tenné a kiszolgálót. Ezen felül teljes importálást és teljes szinkronizálást is végezhet, hogy ellenőrizze a várt változásokat, mielőtt alkalmazná ezeket a módosításokat az éles környezetben. Az átmeneti kiszolgáló üzembe helyezése lehetővé teszi a rendszergazda számára, hogy egy egyszerű konfigurációs kapcsolóval "előléptesse" azt az éles környezetbe. Az átmeneti módban konfigurált készenléti kiszolgáló lehetővé teszi egy új kiszolgáló bevezetését is, ha a régit leszereli.

Tipp.

A Microsoft Entra Connect rendszeresen frissül. Ezért erősen ajánlott az átmeneti kiszolgálót naprakészen tartani, hogy kihasználhassa az egyes új verziók által biztosított teljesítménybeli fejlesztéseket, hibajavításokat és új képességeket.

Felhőalapú hitelesítés engedélyezése

A helyi Active Directory rendelkező szervezeteknek ki kell terjeszteniük a címtárukat a Microsoft Entra ID-ra a Microsoft Entra Connect használatával, és konfigurálniuk kell a megfelelő hitelesítési módszert. A megfelelő hitelesítési módszer kiválasztása a szervezet számára az alkalmazások felhőbe való áthelyezésének első lépése. Ez egy kritikus fontosságú összetevő, mivel az összes felhőbeli adathoz és erőforráshoz való hozzáférést szabályozza.

A Microsoft Entra ID-ban a felhőalapú hitelesítés engedélyezésének legegyszerűbb és ajánlott módja a jelszókivonat-szinkronizálás (PHS) a helyszíni címtárobjektumok esetében. Másik lehetőségként egyes szervezetek fontolóra vehetik az átmenő hitelesítés (PTA) engedélyezését.

Akár a PHS-t, akár a PTA-t választja, ne felejtse el figyelembe venni az egyszeri bejelentkezést, hogy a felhasználók anélkül férhessenek hozzá az alkalmazásokhoz, hogy folyamatosan megadják a felhasználónevüket és a jelszavukat. Az egyszeri bejelentkezés a Microsoft Entra hibrid csatlakoztatású vagy a Microsoft Entra-hoz csatlakoztatott eszközökkel érhető el, miközben a helyszíni erőforrásokhoz való hozzáférést fenntartja. A Microsoft Entra-hoz nem csatlakoztatható eszközök esetében a közvetlen egyszeri bejelentkezés (közvetlen egyszeri bejelentkezés) biztosítja ezeket a képességeket. Egyszeri bejelentkezés nélkül a felhasználóknak emlékeznie kell az alkalmazásspecifikus jelszavakra, és be kell jelentkezniük az egyes alkalmazásokba. Hasonlóképpen, az informatikai személyzetnek létre kell hoznia és frissítenie kell a felhasználói fiókokat minden alkalmazáshoz, például a Microsoft 365-höz, a Boxhoz és a Salesforce-hoz. A felhasználóknak emlékezniük kell a jelszavukra, és az egyes alkalmazásokba való bejelentkezéshez is időt kell szánniuk. A standardizált egyszeri bejelentkezési mechanizmus biztosítása a teljes vállalat számára elengedhetetlen a legjobb felhasználói élmény, a kockázat csökkentése, a jelentéskészítés és a szabályozás szempontjából.

Az AD FS-t vagy más helyszíni hitelesítési szolgáltatót már használó szervezetek esetében az identitásszolgáltatóként a Microsoft Entra-azonosítóra való áttérés csökkentheti az összetettségüket, és javíthatja a rendelkezésre állást. Ha nincs konkrét használati esete az összevonás használatához, javasoljuk, hogy az összevont hitelesítésről a PHS-re vagy a PTA-ra migráljon. Ezzel élvezheti a kisebb helyszíni lábnyom előnyeit, valamint a felhő által nyújtott rugalmasságot a jobb felhasználói élmény mellett. További információ: Migrálás összevonásról jelszókivonat-szinkronizálásra a Microsoft Entra ID-hoz.

Fiókok automatikus kivonásának engedélyezése

Az automatikus kiépítés és az alkalmazások leépítésének engedélyezése a legjobb stratégia az identitások életciklusának szabályozásához több rendszeren. A Microsoft Entra ID támogatja a felhasználói fiókok automatizált, szabályzatalapú kiépítését és leépítését különböző népszerű SaaS-alkalmazásokra, például a ServiceNow-ra és a Salesforce-ra, valamint az SCIM 2.0 protokollt implementáló egyéb alkalmazásokra. A hagyományos kiépítési megoldásokkal ellentétben, amelyek egyéni kódot vagy CSV-fájlok manuális feltöltését igénylik, a kiépítési szolgáltatás a felhőben üzemel, és olyan előre integrált összekötőket tartalmaz, amelyek a Microsoft Entra felügyeleti központ használatával állíthatók be és kezelhetők. Az automatikus leépítés egyik fő előnye, hogy segít a szervezet biztonságának biztosításában azáltal, hogy azonnal eltávolítja a felhasználók identitásait a kulcsfontosságú SaaS-alkalmazásokból, amikor elhagyják a szervezetet.

Az automatikus felhasználói fiókok kiépítésével és működésével kapcsolatos további információkért tekintse meg a Felhasználói kiépítés automatizálása és az SaaS-alkalmazásokra való leépítés a Microsoft Entra-azonosítóval című témakört.

3. lépés – A felhasználók biztonságossá tételének elősegítése

A mai digitális munkahelyen fontos a biztonság és a termelékenység egyensúlya. A végfelhasználók azonban gyakran visszataszítják a hatékonyságukat és az alkalmazásokhoz való hozzáférésüket lassító biztonsági intézkedéseket. Ennek megoldásához a Microsoft Entra ID önkiszolgáló képességeket biztosít, amelyek lehetővé teszik a felhasználók számára a hatékony munkavégzést, miközben minimálisra csökkentik a felügyeleti terheket.

Ez a szakasz azokat a javaslatokat sorolja fel, amelyekkel eltávolíthatja a súrlódást a szervezetből azáltal, hogy lehetővé teszi a felhasználók számára, hogy továbbra is éberek maradnak.

Az önkiszolgáló jelszó-visszaállítás engedélyezése minden felhasználó számára

Az Azure önkiszolgáló jelszóátállítása (SSPR) egyszerű módot kínál az informatikai rendszergazdák számára, hogy rendszergazdai beavatkozás nélkül lehetővé tegyék a felhasználók számára a jelszavak vagy fiókok visszaállítását és zárolásának feloldását. A rendszer részletes, követhető jelentést tartalmaz a felhasználók rendszerhozzáféréséről, továbbá értesítőkkel figyelmeztet az illetéktelen használatra vagy visszaélésre.

Alapértelmezés szerint a Microsoft Entra ID feloldja a fiókokat, amikor jelszó-visszaállítást hajt végre. Ha azonban engedélyezi a Microsoft Entra Connect helyszíni integrációját, elkülönítheti a két műveletet is, amelyek lehetővé teszik a felhasználók számára a fiók zárolásának feloldását anélkül, hogy alaphelyzetbe kellene állítaniuk a jelszót.

Győződjön meg arról, hogy az összes felhasználó regisztrálva van az MFA-hoz és az SSPR-hez

Az Azure olyan jelentéseket biztosít, amelyeket a szervezetek használnak annak biztosítására, hogy a felhasználók regisztrálva legyenek az MFA-hoz és az SSPR-hez. Előfordulhat, hogy a még nem regisztrált felhasználókat ki kell oktatni a folyamatról.

Az MFA bejelentkezési jelentése információkat tartalmaz az MFA-használatról, és betekintést nyújt az MFA működésébe a szervezetben. A Microsoft Entra ID bejelentkezési tevékenységéhez (és auditjaihoz és kockázatészlelési tevékenységeihez) való hozzáférés elengedhetetlen a hibaelhárításhoz, a használatelemzéshez és a kriminalisztikai vizsgálatokhoz.

Hasonlóképpen az önkiszolgáló jelszókezelési jelentéssel meghatározhatja, hogy ki (vagy nem) regisztrált az SSPR-ben.

Önkiszolgáló alkalmazáskezelés

Ahhoz, hogy a felhasználók önfelfedezhessék az alkalmazásokat a hozzáférési paneljükről, engedélyeznie kell az önkiszolgáló alkalmazások hozzáférését minden olyan alkalmazáshoz, amelyet engedélyezni szeretne a felhasználóknak, hogy önfelfedezhessék és hozzáférést kérjenek hozzájuk. A kérelem opcionálisan jóváhagyást igényelhet a hozzáférés megadása előtt.

Önkiszolgáló csoportkezelés

A felhasználók alkalmazásokhoz való hozzárendelése a csoportok használatakor a legjobban megfeleltethető, mivel nagy rugalmasságot és nagy léptékű felügyeletet tesznek lehetővé:

  • Dinamikus tagsági csoportok
  • Delegálás alkalmazástulajdonosoknak

A Microsoft Entra ID lehetővé teszi az erőforrásokhoz való hozzáférés kezelését biztonsági csoportok és Microsoft 365-csoportok használatával. Ezeket a csoportokat egy csoporttulajdonos felügyeli, aki jóváhagyhatja vagy megtagadhatja a tagsági kérelmeket, és delegálhatja az attribútumalapú dinamikus tagsági csoportok vezérlését. Az önkiszolgáló csoportfelügyeleti funkció időt takarít meg azáltal, hogy lehetővé teszi a rendszergazdai szerepkörrel nem rendelkező csoporttulajdonosok számára a csoportok létrehozását és kezelését anélkül, hogy a rendszergazdákra kellene támaszkodniuk a kéréseik kezeléséhez.

4. lépés – Az elemzések üzembeítése

A biztonsággal kapcsolatos események és a kapcsolódó riasztások naplózása és naplózása a hatékony stratégia alapvető összetevői annak érdekében, hogy a felhasználók produktívak maradjanak, és a szervezet biztonságos legyen. A biztonsági naplók és jelentések segíthetnek a következő kérdések megválaszolásában:

  • Azt használja, amiért fizet?
  • Gyanús vagy rosszindulatú esemény történik a bérlőmben?
  • Ki érintett egy biztonsági incidens során?

A biztonsági naplók és jelentések elektronikus nyilvántartást biztosítanak a tevékenységekről, és segítenek észlelni azokat a mintákat, amelyek a megkísérelt vagy sikeres támadásokat jelezhetik. A naplózással figyelheti a felhasználói tevékenységeket, dokumentálhatja a jogszabályi megfelelőséget, elvégezheti a kriminalisztikai elemzéseket és egyebeket. A riasztások biztonsági eseményekről nyújtanak értesítéseket.

A legkevésbé kiemelt rendszergazdai szerepkörök hozzárendelése műveletekhez

A műveletek megközelítésére gondolva több adminisztrációs szintet is figyelembe kell venni. Az első szint a hibrid identitásadminisztrátor(ok)ra helyezi az adminisztrációs terheket. A hibrid identitás-rendszergazdai szerepkör használata a kisebb vállalatok számára is megfelelő lehet. Az ügyfélszolgálati személyzettel és az adott feladatokért felelős rendszergazdákkal rendelkező nagyobb szervezetek esetében azonban a hibrid identitásadminisztrátori szerepkör hozzárendelése biztonsági kockázatot jelenthet, mivel lehetővé teszi az egyének számára a képességeiken túlmutató feladatok kezelését.

Ebben az esetben érdemes megfontolni a következő adminisztrációs szintet. A Microsoft Entra ID használatával a végfelhasználók "korlátozott rendszergazdákként" jelölhetők ki, akik kevésbé kiemelt szerepkörökben kezelhetik a feladatokat. Hozzárendelheti például az ügyfélszolgálati munkatársakat a biztonsági olvasó szerepkörhöz, hogy a biztonsági funkciók csak olvasható hozzáféréssel kezelhetők legyenek. Vagy érdemes lehet a hitelesítési rendszergazdai szerepkört hozzárendelni az egyénekhez, hogy lehetővé tegyük számukra a nem jelszóval nem rendelkező hitelesítő adatok visszaállítását, vagy az Azure Service Health olvasását és konfigurálását.

További információ: Rendszergazdai szerepkör-engedélyek a Microsoft Entra-azonosítóban.

Hibrid összetevők (Microsoft Entra Connect Sync, AD FS) monitorozása a Microsoft Entra Connect Health használatával

A Microsoft Entra Connect és az AD FS kritikus fontosságú összetevők, amelyek megszakíthatják az életciklus felügyeletét és hitelesítését, és végső soron kimaradásokhoz vezethetnek. Ezért telepítenie kell a Microsoft Entra Connect Health-et ezeknek az összetevőknek a monitorozására és jelentésére.

További információ: Az AD FS monitorozása a Microsoft Entra Connect Health használatával.

Adatnaplók gyűjtése elemzéshez az Azure Monitor használatával

Az Azure Monitor egy egységes monitorozási portál az összes Microsoft Entra-naplóhoz, amely mély elemzéseket, fejlett elemzéseket és intelligens gépi tanulást biztosít. Az Azure Monitorral metrikákat és naplókat használhat a portálon és API-kon keresztül, hogy jobban megismerje az erőforrások állapotát és teljesítményét. Egyetlen üvegablakot tesz lehetővé a portálon, miközben számos termékintegrációt tesz lehetővé API-k és adatexportálási lehetőségek révén, amelyek támogatják a hagyományos külső SIEM-rendszereket. Az Azure Monitor emellett lehetővé teszi riasztási szabályok konfigurálását is, hogy értesítést kapjon, vagy automatizált műveleteket hajthat végre az erőforrásokat érintő problémák esetén.

Azure Monitor

Egyéni irányítópultok létrehozása a vezetéshez és a napi használatra

Azok a szervezetek, amelyek nem rendelkeznek SIEM-megoldással, használhatnak Azure Monitor-munkafüzeteket a Microsoft Entra-azonosítóhoz. Az integráció előre összeállított munkafüzeteket és sablonokat tartalmaz, amelyek segítenek megérteni, hogyan használják a felhasználók a Microsoft Entra funkcióit, így betekintést nyerhet a címtárban lévő összes tevékenységbe. Saját munkafüzeteket is létrehozhat, és megoszthatja a vezetői csapattal, hogy beszámoljon a napi tevékenységekről. A munkafüzetek nagyszerű lehetőséget biztosítanak vállalkozása monitorozására, és egyetlen pillantással áttekintheti az összes legfontosabb metrikát.

A támogatási hívásillesztők ismertetése

Amikor hibrid identitáskezelési megoldást implementál a jelen cikkben leírtak szerint, végső soron a támogatási hívások számának csökkenését kell észlelnie. Az olyan gyakori problémákat, mint az elfelejtett jelszavak és a fiókzárolások az Azure önkiszolgáló jelszó-visszaállításának implementálásával mérsékelhetők, miközben az önkiszolgáló alkalmazáshozzáférés lehetővé teszi a felhasználók számára, hogy önfelfedezést és hozzáférést kérjenek az alkalmazásokhoz anélkül, hogy az informatikai személyzetre támaszkodnak.

Ha nem figyeli meg a támogatási hívások számának csökkenését, javasoljuk, hogy elemezze a támogatási hívásillesztőket annak ellenőrzésére, hogy az SSPR vagy az önkiszolgáló alkalmazáshozzáférés megfelelően lett-e konfigurálva, vagy vannak-e más, szisztematikusan kezelhető új problémák.

"A digitális átalakítási folyamat során egy megbízható identitás- és hozzáférés-kezelési szolgáltatóra volt szükségünk, hogy megkönnyítsük a zökkenőmentes, mégis biztonságos integrációt közöttünk, a partnerek és a felhőszolgáltatók között a hatékony ökoszisztéma érdekében; A Microsoft Entra ID volt a legjobb megoldás, amely lehetővé tette számunkra a szükséges képességeket és láthatóságot, amelyek lehetővé tették számunkra a kockázatok észlelését és elhárítását." --- Yazan Almasri, globális információbiztonsági igazgató, Aramex

Alkalmazások használatának monitorozása elemzések létrehozásához

Az árnyékalapú informatika felfedezése mellett az alkalmazáshasználat Felhőhöz készült Microsoft Defender-alkalmazások használatával történő monitorozása segíthet a szervezetnek abban, hogy teljes mértékben kihasználhassa a felhőalkalmazások ígéretét. A tevékenység jobb láthatóságával és a kritikus adatok felhőalkalmazások közötti védelmének növelésével segítheti az eszközök felügyeletét. Az alkalmazáshasználat monitorozása a szervezetben az Felhőhöz készült Defender Apps használatával az alábbi kérdések megválaszolásában segíthet:

  • Milyen nem célzott alkalmazásokat használnak az alkalmazottak az adatok tárolására?
  • Hol és mikor vannak a bizalmas adatok a felhőben tárolva?
  • Ki fér hozzá a bizalmas adatokhoz a felhőben?

"A Felhőhöz készült Defender-alkalmazások segítségével gyorsan észlelhetjük az anomáliákat, és lépéseket tehetünk." --- Eric LePenske, vezető vezető, Információbiztonság, Accenture

Összegzés

A hibrid identitáskezelési megoldás implementálásának számos aspektusa van, de ez a négylépéses ellenőrzőlista segít gyorsan megvalósítani egy olyan identitásinfrastruktúra megvalósítását, amely lehetővé teszi a felhasználók számára a hatékonyabb és biztonságosabb munkavégzést.

  • Csatlakozás alkalmazásokhoz egyszerűen
  • Minden felhasználóhoz automatikusan létre kell hoznia egy identitást
  • A felhasználók biztonságossá tételének elősegítése
  • Az elemzések üzembeítése

Reméljük, hogy ez a dokumentum hasznos ütemterv a szervezet erős identitásalapjának kialakításához.

Identitás-ellenőrzőlista

Javasoljuk, hogy az alábbi ellenőrzőlistát nyomtassa ki referenciaként, amikor megkezdi a szervezet szilárdabb identitásalapozását.

Today

Bejelentkezett? Elem
Próba önkiszolgáló jelszó-visszaállítás (SSPR) egy csoporthoz
Hibrid összetevők monitorozása a Microsoft Entra Connect Health használatával
A legkevésbé kiemelt rendszergazdai szerepkörök hozzárendelése a művelethez
Árnyék it felfedezése Felhőhöz készült Microsoft Defender-alkalmazásokkal
Adatnaplók gyűjtése elemzéshez az Azure Monitor használatával

Következő két hét

Bejelentkezett? Elem
Alkalmazás elérhetővé tétele a felhasználók számára
A Microsoft Entra kiépítésének próbaüzeme egy választott SaaS-alkalmazáshoz
Átmeneti kiszolgáló beállítása a Microsoft Entra Connecthez és naprakészen tartása
Alkalmazások migrálása az ADFS-ből a Microsoft Entra-azonosítóba
Egyéni irányítópultok létrehozása a vezetéshez és a napi használatra

Következő hónap

Bejelentkezett? Elem
Alkalmazások használatának monitorozása elemzések létrehozásához
Alkalmazások biztonságos távelérésének próbaüzeme
Győződjön meg arról, hogy az összes felhasználó regisztrálva van az MFA-hoz és az SSPR-hez
Felhőalapú hitelesítés engedélyezése

Következő három hónap

Bejelentkezett? Elem
Önkiszolgáló alkalmazáskezelés engedélyezése
Önkiszolgáló csoportkezelés engedélyezése
Alkalmazások használatának monitorozása elemzések létrehozásához
A támogatási hívásillesztők ismertetése

Következő lépések

Megtudhatja, hogyan növelheti biztonságos helyzetét a Microsoft Entra ID és az ötlépéses ellenőrzőlista képességeivel – Öt lépés az identitásinfrastruktúra biztonságossá tételéhez.

Megtudhatja, hogyan segíthetnek a Microsoft Entra ID identitásfunkciói a felhőalapú felügyeletre való áttérés felgyorsításában azáltal, hogy olyan megoldásokat és képességeket biztosítanak, amelyekkel a szervezetek gyorsan bevezethetik és áthelyezhetik identitáskezelésüket a hagyományos helyszíni rendszerekről a Microsoft Entra ID-ra – Hogyan biztosítja a Microsoft Entra ID a felhőalapú felügyeletet a helyszíni számítási feladatokhoz.