Az Azure-identitáskezelés biztonsági áttekintése

Az identitáskezelés a biztonsági tagok hitelesítésének és engedélyezésének folyamata. Ez magában foglalja ezen tagok (identitások) információinak szabályozását is. A biztonsági tagok (identitások) tartalmazhatnak szolgáltatásokat, alkalmazásokat, felhasználókat, csoportokat stb. A Microsoft identitás- és hozzáférés-kezelési megoldásai segítenek a vállalati adatközpontban és a felhőben található alkalmazásokhoz és erőforrásokhoz való hozzáférés védelmében. Az ilyen védelem további érvényesítési szinteket tesz lehetővé, például többtényezős hitelesítést és feltételes hozzáférési szabályzatokat. A gyanús tevékenységek figyelése fejlett biztonsági jelentésekkel, naplózással és riasztásokkal segít a lehetséges biztonsági problémák megoldásában. A Microsoft Entra ID P1 vagy P2 egyszeri bejelentkezést (SSO) biztosít több ezer felhőalapú szoftvernek szolgáltatásként (SaaS-) alkalmazásokhoz, és hozzáférést biztosít a helyszínen futó webalkalmazásokhoz.

A Microsoft Entra ID biztonsági előnyeinek kihasználásával a következő lehetőségek közül választhat:

• A hibrid vállalat minden felhasználójához létrehozhat és kezelhet egy-egy identitást, így a felhasználók, csoportok és eszközök folyamatosan szinkronizálva lesznek.
• SSO-hozzáférést biztosít az alkalmazásokhoz, beleértve több ezer előre integrált SaaS-alkalmazást is.
• Az alkalmazáshozzáférés biztonságának engedélyezéséhez kényszerítse ki a szabályokon alapuló többtényezős hitelesítést a helyszíni és a felhőbeli alkalmazások számára is.
• Biztonságos távoli hozzáférés kiépítése a helyszíni webalkalmazásokhoz a Microsoft Entra alkalmazásproxyn keresztül.

A cikk célja, hogy áttekintést nyújtson az identitáskezelést segítő alapvető Azure biztonsági funkciókról. Emellett olyan cikkekre mutató hivatkozásokat is biztosítunk, amelyek részletesen ismertetik az egyes funkciókat, így többet is megtudhat.

A cikk az Alábbi alapvető Azure Identity Management-képességekre összpontosít:

• Egyszeri bejelentkezés
• Fordított proxy
• Többtényezős hitelesítés
• Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC)
• Biztonsági monitorozás, riasztások és gépi tanuláson alapuló jelentések
• A felhasználói identitások és hozzáférés kezelése
• Eszköz regisztrálása
• Privileged Identity Management
• Identitásvédelem
• Hibrid identitáskezelés/Azure AD-csatlakozás
• A Microsoft Entra hozzáférési véleményei

Egyszeri bejelentkezés

Az egyszeri bejelentkezés (SSO) azt jelenti, hogy egyetlen felhasználói fiók használatával csak egyszer tud hozzáférni az összes üzleti tevékenységhez szükséges alkalmazáshoz és erőforráshoz. Miután bejelentkezett, az összes szükséges alkalmazást elérheti anélkül, hogy a hitelesítéshez (például jelszó beírásához) másodszor is szükség van.

Számos szervezet olyan SaaS-alkalmazásokat használ, mint a Microsoft 365, a Box és a Salesforce a felhasználói hatékonyság érdekében. Korábban az informatikai személyzetnek egyénileg kellett létrehoznia és frissítenie a felhasználói fiókokat az egyes SaaS-alkalmazásokban, és a felhasználóknak minden SaaS-alkalmazáshoz emlékeznie kellett egy jelszóra.

A Microsoft Entra ID kiterjeszti helyi Active Directory környezeteket a felhőbe, lehetővé téve a felhasználók számára, hogy elsődleges szervezeti fiókjukkal ne csak a tartományhoz csatlakoztatott eszközeikre és vállalati erőforrásaikra jelentkezzenek be, hanem a munkájukhoz szükséges összes webes és SaaS-alkalmazásra is.

A felhasználóknak nem csak több felhasználónevet és jelszót kell kezelniük, hanem automatikusan kiépítheti vagy megszüntetheti az alkalmazáshozzáférést a szervezeti csoportok és az alkalmazottak állapota alapján. A Microsoft Entra ID biztonsági és hozzáférés-szabályozási vezérlőket vezet be, amelyekkel központilag kezelheti a felhasználók hozzáférését az SaaS-alkalmazásokban.

További információ:

• Az egyszeri bejelentkezés áttekintése
• Videó a hitelesítés alapjairól
• Gyorsútmutató-sorozat az alkalmazáskezelésről

Fordított proxy

A Microsoft Entra alkalmazásproxy lehetővé teszi, hogy alkalmazásokat tegyen közzé magánhálózaton, például SharePoint-webhelyeken , Outlook Web App-on és IIS-alapú alkalmazásokon a magánhálózaton belül, és biztonságos hozzáférést biztosít a hálózaton kívüli felhasználók számára. alkalmazásproxy számos helyszíni webalkalmazáshoz biztosít távelérést és egyszeri bejelentkezést a Microsoft Entra ID által támogatott több ezer SaaS-alkalmazással. Az alkalmazottak otthonról bejelentkezhetnek az alkalmazásaikba a saját eszközeiken, és ezzel a felhőalapú proxyval hitelesíthetik magukat.

További információ:

• A Microsoft Entra alkalmazásproxy engedélyezése
• Alkalmazások közzététele a Microsoft Entra alkalmazásproxyjával
• Egyszeri bejelentkezés alkalmazásproxy
• A feltételes hozzáférés használata

Többtényezős hitelesítés

A Microsoft Entra többtényezős hitelesítés olyan hitelesítési módszer, amely több ellenőrzési módszer használatát igényli, és egy kritikus második biztonsági réteget ad hozzá a felhasználói bejelentkezésekhez és tranzakciókhoz. A többtényezős hitelesítés segít megvédeni az adatokhoz és alkalmazásokhoz való hozzáférést, miközben kielégíti a felhasználói igényeket egy egyszerű bejelentkezési folyamathoz. Számos ellenőrzési lehetőséggel biztosít erős hitelesítést: telefonhívásokat, szöveges üzeneteket, mobilalkalmazás-értesítéseket, ellenőrző kódokat és külső OAuth-jogkivonatokat.

További információ: A Microsoft Entra többtényezős hitelesítés működése

Azure RBAC-vel

Az Azure RBAC az Azure Resource Managerre épülő engedélyezési rendszer, amely részletes hozzáférés-kezelést biztosít az Azure-beli erőforrásokhoz. Az Azure RBAC lehetővé teszi a felhasználók hozzáférésének részletes szabályozását. Korlátozhatja például, hogy egy felhasználó csak a virtuális hálózatokat kezelje, egy másik felhasználó pedig az erőforráscsoport összes erőforrását. Az Azure számos beépített szerepkört biztosít, amelyeket használhat. Az alábbiakban négy alapvető beépített szerepkört sorolunk fel. Az első három minden erőforrástípusra alkalmazható.

• Tulajdonos – teljes hozzáféréssel rendelkezik az összes erőforráshoz, beleértve a hozzáférés mások számára való delegálásának jogát is.
• Közreműködő – Bármilyen típusú Azure-erőforrást létrehozhat és felügyelhet, hozzáférést azonban nem adhat mások számára.
• Olvasó – megtekintheti a meglévő Azure-erőforrásokat.
• Felhasználói hozzáférés rendszergazdája – kezelheti a felhasználók Azure-erőforrásokhoz való hozzáférését.

További információ:

• Mi az az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC)?
• Beépített Azure-szerepkörök

Biztonsági monitorozás, riasztások és gépi tanuláson alapuló jelentések

A biztonsági monitorozás, a riasztások és a gépi tanuláson alapuló jelentések, amelyek inkonzisztens hozzáférési mintákat azonosítanak, segíthetnek a vállalat védelmében. A Microsoft Entra id hozzáférési és használati jelentéseivel betekintést nyerhet a szervezet címtárának integritásába és biztonságába. Ezekkel az információkkal a címtáradminisztrátor jobban meg tudja határozni, hogy hol lehetnek a lehetséges biztonsági kockázatok, hogy megfelelően tervezhessenek a kockázatok csökkentésére.

Az Azure Portalon a jelentések a következő kategóriákba sorolhatók:

• Anomáliák jelentései: Olyan bejelentkezési eseményeket tartalmaz, amelyek rendellenesnek bizonyultak. Célunk, hogy értesüljön az ilyen tevékenységről, és lehetővé tegyük, hogy megállapítsa, gyanús-e egy esemény.
• Integrált alkalmazásjelentések: Betekintést nyújt a felhőalkalmazások szervezeten belüli használatába. A Microsoft Entra ID több ezer felhőalkalmazással kínál integrációt.
• Hibajelentések: Olyan hibák jelzése, amelyek akkor fordulhatnak elő, ha fiókokat épít ki külső alkalmazásoknak.
• Felhasználóspecifikus jelentések: Az eszköz bejelentkezési tevékenységének adatainak megjelenítése egy adott felhasználó számára.
• Tevékenységnaplók: Az elmúlt 24 órában, az elmúlt 7 napban vagy az elmúlt 30 napban naplózott események, valamint a csoporttevékenységek változásai, valamint a jelszó-visszaállítási és regisztrációs tevékenységek rekordja.

További információ: Microsoft Entra ID jelentéskészítési útmutató

A felhasználói identitások és hozzáférés kezelése

Az Azure AD B2C egy magas rendelkezésre állású, globális identitáskezelési szolgáltatás, amely több száz millió identitásra skálázható fogyasztói alkalmazásokhoz. Mobil- és webes platformokba is integrálható. A felhasználók testre szabható felületen, meglévő közösségi fiókjukkal vagy új hitelesítő adatok létrehozásával jelentkezhetnek be az összes alkalmazásba.

A múltban azok az alkalmazásfejlesztők, akik ügyfeleket akartak regisztrálni és bejelentkezni az alkalmazásukba, saját kódot írtak volna. Ennek keretében általában helyszíni adatbázisokat vagy rendszereket használtak a felhasználónevek és jelszavak tárolására. Az Azure AD B2C jobb módot kínál a szervezet számára a fogyasztói identitáskezelés alkalmazásokba való integrálására egy biztonságos, szabványokon alapuló platform és számos bővíthető szabályzat segítségével.

Az Azure AD B2C használatakor a felhasználók a meglévő közösségi fiókjukkal (Facebook, Google, Amazon, LinkedIn) vagy új hitelesítő adatok (e-mail-cím és jelszó, felhasználónév és jelszó) létrehozásával regisztrálhatnak az alkalmazásokra.

További információ:

• Mi az az Azure Active Directory B2C?
• Azure Active Directory B2C: Alkalmazások típusai

Eszköz regisztrálása

A Microsoft Entra eszközregisztráció az eszközalapú feltételes hozzáférési forgatókönyvek alapja. Amikor regisztrál egy eszközt, a Microsoft Entra eszközregisztrációja olyan identitást biztosít az eszköznek, amelyet a felhasználó bejelentkezésekor használ az eszköz hitelesítéséhez. A hitelesített eszköz és az eszköz attribútumai ezután a feltételes hozzáférési szabályzatok kényszerítésére használhatók a felhőben és a helyszínen üzemeltetett alkalmazásokhoz.

Ha egy mobileszköz-kezelési megoldással( például az Intune-nal) kombinálva a Microsoft Entra ID-ban lévő eszközattribútumok az eszközre vonatkozó további információkkal frissülnek. Ezután létrehozhat olyan feltételes hozzáférési szabályokat, amelyek az eszközökről való hozzáférést kényszerítik ki a biztonsági és megfelelőségi szabványoknak való megfelelés érdekében.

További információ:

• Ismerkedés a Microsoft Entra eszközregisztrációjával
• Automatikus eszközregisztráció a Microsoft Entra-azonosítóval a Windows tartományhoz csatlakoztatott eszközökhöz

Privileged Identity Management

A Microsoft Entra Privileged Identity Management segítségével kezelheti, vezérelheti és figyelheti a kiemelt identitásokat, valamint a Microsoft Entra-azonosítóban lévő erőforrásokhoz való hozzáférést, valamint más Microsoft online szolgáltatások, például a Microsoft 365-öt és a Microsoft Intune-t.

A felhasználóknak néha kiemelt műveleteket kell végrehajtaniuk az Azure-ban vagy a Microsoft 365-erőforrásokban vagy más SaaS-alkalmazásokban. Ez gyakran azt jelenti, hogy a szervezeteknek állandó jogosultsági hozzáférést kell biztosítaniuk a felhasználóknak a Microsoft Entra-azonosítóban. Az ilyen hozzáférés egyre nagyobb biztonsági kockázatot jelent a felhőalapú erőforrások esetében, mivel a szervezetek nem tudják megfelelően monitorozni, hogy a felhasználók mit csinálnak a rendszergazdai jogosultságokkal. Továbbá, ha egy kiemelt hozzáféréssel rendelkező felhasználói fiók biztonsága sérül, az egy incidens hatással lehet a szervezet teljes felhőbiztonságára. A Microsoft Entra Privileged Identity Management segít csökkenteni ezt a kockázatot.

A Microsoft Entra Privileged Identity Managementtel a következőt teheti:

• Megtekintheti, hogy mely felhasználók a Microsoft Entra rendszergazdái.
• Igény szerinti, igény szerinti (JIT) rendszergazdai hozzáférés engedélyezése Microsoft-szolgáltatások, például a Microsoft 365-höz és az Intune-hoz.
• Jelentések készítése a rendszergazdai hozzáférés előzményeiről és a rendszergazdai hozzárendelések változásairól.
• Riasztások lekérése a kiemelt szerepkörökhöz való hozzáférésről.

További információ:

• Mi a Microsoft Entra Privileged Identity Management?
• Microsoft Entra címtárszerepkörök hozzárendelése a PIM-ben

Identitásvédelem

Microsoft Entra ID-védelem egy biztonsági szolgáltatás, amely konszolidált áttekintést nyújt a szervezet identitásait érintő kockázatészlelésekről és lehetséges biztonsági résekről. Az Identity Protection kihasználja a Microsoft Entra anomáliadetektálási képességeit, amelyek a Microsoft Entra rendellenes tevékenységjelentéseken keresztül érhetők el. Az Identity Protection új kockázatészlelési típusokat is bevezet, amelyek valós időben képesek észlelni az anomáliákat.

További információ: Microsoft Entra ID-védelem

Hibrid identitáskezelés (Microsoft Entra Csatlakozás)

A Microsoft identitáskezelési megoldásai a helyszíni és a felhőalapú képességekre terjednek ki, és egyetlen felhasználói identitást hoznak létre a hitelesítéshez és az összes erőforráshoz való engedélyezéshez, helytől függetlenül. Ezt hibrid identitásnak nevezzük. A Microsoft Entra Csatlakozás a hibrid identitással kapcsolatos célok teljesítésére és megvalósítására tervezett Microsoft-eszköz. Ez lehetővé teszi a Microsoft Entra ID-val integrált Microsoft 365-, Azure- és SaaS-alkalmazások közös identitásának biztosítását a felhasználók számára. Ez a tevékenység a következő jellemzőkkel bír:

• Szinkronizálás
• AD FS és összevonási integráció
• Hitelesítés átadása
• Állapotfigyelés

További információ:

• Hibrid identitásról szóló tanulmány
• Microsoft Entra-azonosító

A Microsoft Entra hozzáférési véleményei

A Microsoft Entra hozzáférési felülvizsgálatokkal a szervezetek hatékonyan kezelhetik a csoporttagságokat, a vállalati alkalmazásokhoz való hozzáférést és a kiemelt szerepkör-hozzárendeléseket.

További információ: A Microsoft Entra hozzáférési véleményei