Basisprincipes van Microsoft Entra
Microsoft Entra ID biedt een identiteits- en toegangsgrens voor Azure-resources en het vertrouwen van toepassingen. De meeste vereisten voor omgevingsscheiding kunnen worden voldaan aan gedelegeerd beheer in één Microsoft Entra-tenant. Deze configuratie vermindert de beheeroverhead van uw systemen. Sommige specifieke gevallen, bijvoorbeeld volledige resource- en identiteitsisolatie, vereisen echter meerdere tenants.
U moet uw architectuur voor omgevingsscheiding bepalen op basis van uw behoeften. Aandachtspunten zijn onder andere:
Resourcescheiding. Als een resource directory-objecten, zoals gebruikersobjecten, kan wijzigen en de wijziging andere resources zou verstoren, moet de resource mogelijk worden geïsoleerd in een architectuur met meerdere tenants.
Configuratiescheiding. Tenantbrede configuraties zijn van invloed op alle resources. Het effect van sommige tenantbrede configuraties kan worden beperkt met beleid voor voorwaardelijke toegang en andere methoden. Als u verschillende tenantconfiguraties nodig hebt die niet kunnen worden afgestemd op beleid voor voorwaardelijke toegang, hebt u mogelijk een architectuur met meerdere tenants nodig.
Administratieve scheiding. U kunt het beheer van beheergroepen, abonnementen, resourcegroepen, resources en sommige beleidsregels binnen één tenant delegeren. Een globale beheerder heeft altijd toegang tot alles binnen de tenant. Als u ervoor wilt zorgen dat de omgeving geen beheerders met een andere omgeving deelt, hebt u een architectuur met meerdere tenants nodig.
Om veilig te blijven, moet u de aanbevolen procedures volgen voor het inrichten van identiteiten, verificatiebeheer, identiteitsbeheer, levenscyclusbeheer en consistente bewerkingen in alle tenants.
Terminologie
Deze lijst met termen is meestal gekoppeld aan Microsoft Entra-id en relevant voor deze inhoud:
Microsoft Entra-tenant. Een toegewezen en vertrouwd exemplaar van Microsoft Entra-id dat automatisch wordt gemaakt wanneer uw organisatie zich registreert voor een Microsoft-cloudserviceabonnement. Voorbeelden van abonnementen zijn Microsoft Azure, Microsoft Intune en Microsoft 365. Een Microsoft Entra-tenant vertegenwoordigt over het algemeen één organisatie- of beveiligingsgrens. De Microsoft Entra-tenant bevat de gebruikers, groepen, apparaten en toepassingen die worden gebruikt voor het uitvoeren van identiteits- en toegangsbeheer (IAM) voor tenantbronnen.
Omgeving. In de context van deze inhoud is een omgeving een verzameling Azure-abonnementen, Azure-resources en toepassingen die zijn gekoppeld aan een of meer Microsoft Entra-tenets. De Microsoft Entra-tenant biedt het identiteitsbeheervlak om de toegang tot deze resources te beheren.
Productieomgeving. In de context van deze inhoud is een productieomgeving de liveomgeving met de infrastructuur en services waarmee eindgebruikers rechtstreeks communiceren. Bijvoorbeeld een bedrijfs- of klantgerichte omgeving.
Niet-productieomgeving. In de context van deze inhoud verwijst een niet-productieomgeving naar een omgeving die wordt gebruikt voor:
Ontwikkeling
Testen
Labdoeleinden
Niet-productieomgevingen worden vaak sandboxomgevingen genoemd.
Identiteit. Een identiteit is een directory-object dat kan worden geverifieerd en geautoriseerd voor toegang tot een resource. Identiteitsobjecten bestaan voor menselijke identiteiten en niet-menselijke identiteiten. Niet-menselijke entiteiten zijn onder andere:
Objecten voor toepassingen
Workloadidentiteiten (voorheen beschreven als serviceprincipes)
Beheerde identiteiten
Apparaten
Menselijke identiteiten zijn gebruikersobjecten die over het algemeen personen in een organisatie vertegenwoordigen. Deze identiteiten worden rechtstreeks in Microsoft Entra-id gemaakt en beheerd of worden gesynchroniseerd vanuit een on-premises Active Directory naar Microsoft Entra-id voor een bepaalde organisatie. Deze typen identiteiten worden lokale identiteiten genoemd. Er kunnen ook gebruikersobjecten worden uitgenodigd van een partnerorganisatie of een sociale id-provider met behulp van Microsoft Entra B2B-samenwerking. In deze inhoud verwijzen we naar deze typen identiteiten als externe identiteiten.
Niet-menselijke identiteiten omvatten elke identiteit die niet aan een mens is gekoppeld. Dit type identiteit is een object zoals een toepassing waarvoor een identiteit is vereist om te kunnen worden uitgevoerd. In deze inhoud verwijzen we naar dit type identiteit als een workloadidentiteit. Verschillende termen worden gebruikt om dit type identiteit te beschrijven, waaronder toepassingsobjecten en service-principals.
Toepassingsobject. Een Microsoft Entra-toepassing wordt gedefinieerd door het toepassingsobject. Het object bevindt zich in de Microsoft Entra-tenant waar de toepassing is geregistreerd. De tenant staat bekend als de 'home'-tenant van de toepassing.
Toepassingen met één tenant worden gemaakt om alleen identiteiten te autoriseren die afkomstig zijn van de 'home'-tenant.
Met toepassingen met meerdere tenants kunnen identiteiten van elke Microsoft Entra-tenant worden geverifieerd.
Service-principalobject. Hoewel er uitzonderingen zijn, kunnen toepassingsobjecten worden beschouwd als de definitie van een toepassing. Service-principalobjecten kunnen worden beschouwd als een exemplaar van een toepassing. Service-principals verwijzen over het algemeen naar een toepassingsobject en er wordt naar één toepassingsobject verwezen door meerdere service-principals in directory's.
Service-principalobjecten zijn ook directory-identiteiten die taken onafhankelijk van menselijke tussenkomst kunnen uitvoeren. De service-principal definieert het toegangsbeleid en de machtigingen voor een gebruiker of toepassing in de Microsoft Entra-tenant. Dit mechanisme maakt kernfuncties mogelijk, zoals verificatie van de gebruiker of toepassing tijdens het aanmelden en autorisatie tijdens toegang tot resources.
Met Microsoft Entra ID kunnen toepassings- en service-principalobjecten worden geverifieerd met een wachtwoord (ook wel toepassingsgeheim genoemd) of met een certificaat. Het gebruik van wachtwoorden voor service-principals wordt afgeraden en we raden u aan een certificaat te gebruiken waar mogelijk.
Beheerde identiteiten voor Azure-resources. Beheerde identiteiten zijn speciale service-principals in Microsoft Entra ID. Dit type service-principal kan worden gebruikt voor verificatie bij services die ondersteuning bieden voor Microsoft Entra-verificatie zonder referenties in uw code op te slaan of geheimenbeheer af te handelen. Zie Wat zijn beheerde identiteiten voor Azure-resources? voor meer informatie.
Apparaat-id: Een apparaat-id controleert of het apparaat in de verificatiestroom een proces heeft ondergaan om te bevestigen dat het apparaat legitiem is en voldoet aan de technische vereisten. Nadat het apparaat dit proces heeft voltooid, kan de bijbehorende identiteit worden gebruikt om de toegang tot de resources van een organisatie verder te beheren. Met Microsoft Entra ID kunnen apparaten worden geverifieerd met een certificaat.
Voor sommige verouderde scenario's moet een menselijke identiteit worden gebruikt in niet-menselijke scenario's. Bijvoorbeeld wanneer serviceaccounts die worden gebruikt in on-premises toepassingen, zoals scripts of batchtaken, toegang nodig hebben tot Microsoft Entra-id. Dit patroon wordt niet aanbevolen en we raden u aan certificaten te gebruiken. Als u echter wel een menselijke identiteit met wachtwoord gebruikt voor verificatie, beveiligt u uw Microsoft Entra-accounts met Meervoudige Verificatie van Microsoft Entra.
Hybride identiteit. Een hybride identiteit is een identiteit over on-premises en cloudomgevingen heen. Dit biedt het voordeel dat u dezelfde identiteit kunt gebruiken voor toegang tot on-premises en cloudresources. De bron van autoriteit in dit scenario is doorgaans een on-premises directory en de identiteitslevenscyclus rond het inrichten, ongedaan maken van inrichting en resourcetoewijzing wordt ook on-premises aangestuurd. Zie Documentatie voor hybride identiteit voor meer informatie.
Directory-objecten. Een Microsoft Entra-tenant bevat de volgende algemene objecten:
Gebruikersobjecten vertegenwoordigen menselijke en niet-menselijke identiteiten voor services die momenteel geen service-principals ondersteunen. Gebruikersobjecten bevatten kenmerken met de vereiste informatie over de gebruiker, waaronder persoonsgegevens, groepslidmaatschappen, apparaten en rollen die aan de gebruiker zijn toegewezen.
Apparaatobjecten vertegenwoordigen apparaten die zijn gekoppeld aan een Microsoft Entra-tenant. Apparaatobjecten bevatten kenmerken met de vereiste informatie over het apparaat. Dit omvat het besturingssysteem, de bijbehorende gebruiker, de nalevingsstatus en de aard van de koppeling met de Microsoft Entra-tenant. Deze koppeling kan meerdere vormen hebben, afhankelijk van de aard van de interactie en het vertrouwensniveau van het apparaat.
Hybride toegevoegd aan domein. Apparaten die eigendom zijn van de organisatie en lid zijn van zowel de on-premises Active Directory als de Microsoft Entra-id. Doorgaans een apparaat dat is aangeschaft en wordt beheerd door een organisatie en wordt beheerd door System Center Configuration Manager.
Microsoft Entra-domein toegevoegd. Apparaten die eigendom zijn van de organisatie en lid zijn van de Microsoft Entra-tenant van de organisatie. Doorgaans wordt een apparaat gekocht en beheerd door een organisatie die is gekoppeld aan Microsoft Entra ID en beheerd door een service zoals Microsoft Intune.
Microsoft Entra geregistreerd. Apparaten die niet eigendom zijn van de organisatie, bijvoorbeeld een persoonlijk apparaat, dat wordt gebruikt voor toegang tot bedrijfsresources. Organisaties kunnen vereisen dat het apparaat wordt geregistreerd via Mobile Device Management (MDM) of wordt afgedwongen via Mobile Application Management (MAM) zonder registratie voor toegang tot resources. Deze mogelijkheid kan worden geleverd door een service zoals Microsoft Intune.
Groepsobjecten bevatten objecten voor het toewijzen van resourcetoegang, het toepassen van besturingselementen of configuratie. Groepsobjecten bevatten kenmerken met de vereiste informatie over de groep, waaronder de naam, beschrijving, groepsleden, groepseigenaren en het groepstype. Groepen in Microsoft Entra-id hebben meerdere vormen op basis van de vereisten van een organisatie en kunnen worden beheerd in Microsoft Entra-id of gesynchroniseerd vanuit on-premises Active Directory-domein Services (AD DS).
Toegewezen groepen. In Toegewezen groepen worden gebruikers handmatig toegevoegd aan of verwijderd uit de groep, gesynchroniseerd vanuit on-premises AD DS of bijgewerkt als onderdeel van een geautomatiseerde werkstroom met scripts. Een toegewezen groep kan worden gesynchroniseerd vanuit on-premises AD DS of kan worden ondergebracht in Microsoft Entra-id.
Dynamische lidmaatschapsgroepen. In dynamische groepen worden gebruikers automatisch toegewezen aan de groep op basis van gedefinieerde kenmerken. Hierdoor kan groepslidmaatschap dynamisch worden bijgewerkt op basis van gegevens die zijn opgeslagen in de gebruikersobjecten. Een dynamische groep kan alleen worden ondergebracht in Microsoft Entra-id.
Microsoft-account (MSA). U kunt Azure-abonnementen en -tenants maken met behulp van Microsoft-accounts (MSA). Een Microsoft-account is een persoonlijk account (in tegenstelling tot een organisatieaccount) en wordt vaak gebruikt door ontwikkelaars en voor proefscenario's. Wanneer het wordt gebruikt, wordt het persoonlijke account altijd een gast gemaakt in een Microsoft Entra-tenant.
Functionele gebieden van Microsoft Entra
Dit zijn de functionele gebieden die worden geleverd door Microsoft Entra ID die relevant zijn voor geïsoleerde omgevingen. Zie Wat is Microsoft Entra ID?voor meer informatie over de mogelijkheden van Microsoft Entra ID.
Verificatie
Verificatie. Microsoft Entra ID biedt ondersteuning voor verificatieprotocollen die compatibel zijn met open standaarden, zoals OpenID Verbinding maken, OAuth en SAML. Microsoft Entra ID biedt ook mogelijkheden waarmee organisaties bestaande on-premises id-providers zoals Active Directory Federation Services (AD FS) kunnen federeren om toegang te verifiëren tot geïntegreerde Microsoft Entra-toepassingen.
Microsoft Entra ID biedt toonaangevende krachtige verificatieopties die organisaties kunnen gebruiken om de toegang tot resources te beveiligen. Met Microsoft Entra multifactor authentication, device authentication en password-less capabilities kunnen organisaties sterke verificatieopties implementeren die aansluiten bij de vereisten van hun werknemers.
Eenmalige aanmelding (SSO). Met eenmalige aanmelding melden gebruikers zich eenmaal aan met één account voor toegang tot alle resources die de directory vertrouwen, zoals apparaten die lid zijn van een domein, bedrijfsbronnen, SaaS-toepassingen (Software as a Service) en alle geïntegreerde Microsoft Entra-toepassingen. Zie eenmalige aanmelding bij toepassingen in Microsoft Entra ID voor meer informatie.
Autorisatie
Toewijzing van resourcetoegang. Microsoft Entra ID biedt en beveiligt de toegang tot resources. Het toewijzen van toegang tot een resource in Microsoft Entra ID kan op twee manieren worden uitgevoerd:
Gebruikerstoewijzing: de gebruiker krijgt rechtstreeks toegang tot de resource en de juiste rol of machtiging wordt toegewezen aan de gebruiker.
Groepstoewijzing: een groep met een of meer gebruikers wordt toegewezen aan de resource en de juiste rol of machtiging wordt toegewezen aan de groep
Toegangsbeleid voor toepassingen. Microsoft Entra ID biedt mogelijkheden om de toegang tot de toepassingen van uw organisatie verder te beheren en te beveiligen.
Voorwaardelijke toegang. Beleid voor voorwaardelijke toegang van Microsoft Entra is hulpprogramma's om gebruikers- en apparaatcontext in de autorisatiestroom te brengen bij het openen van Microsoft Entra-resources. Organisaties moeten het gebruik van beleid voor voorwaardelijke toegang verkennen voor het toestaan, weigeren of verbeteren van verificatie op basis van de gebruikers-, risico-, apparaat- en netwerkcontext. Zie de documentatie voor voorwaardelijke toegang van Microsoft Entra voor meer informatie.
Microsoft Entra ID Protection. Met deze functie kunnen organisaties detectie en herstel van identiteitsrisico's automatiseren, risico's onderzoeken en risicodetectiegegevens exporteren naar hulpprogramma's van derden voor verdere analyse. Zie het overzicht van Microsoft Entra ID Protection voor meer informatie.
Beheer
Identiteitsbeheer. Microsoft Entra ID biedt hulpprogramma's voor het beheren van de levenscyclus van gebruikers-, groeps- en apparaatidentiteiten. Met Microsoft Entra Verbinding maken kunnen organisaties de huidige on-premises oplossing voor identiteitsbeheer uitbreiden naar de cloud. Microsoft Entra Verbinding maken beheert het inrichten, ongedaan maken en bijwerken van deze identiteiten in Microsoft Entra-id.
Microsoft Entra ID biedt ook een portal en de Microsoft Graph API waarmee organisaties identiteiten kunnen beheren of Microsoft Entra-identiteitsbeheer kunnen integreren in bestaande werkstromen of automatisering. Zie Microsoft Graph-API voor meer informatie over de Microsoft Graph-API.
Apparaatbeheer. Microsoft Entra ID wordt gebruikt voor het beheren van de levenscyclus en integratie met cloud- en on-premises infrastructuur voor apparaatbeheer. Het wordt ook gebruikt om beleidsregels te definiëren voor het beheren van de toegang vanaf cloud- of on-premises apparaten tot de gegevens van uw organisatie. Microsoft Entra ID biedt de levenscyclusservices van apparaten in de directory en de inrichting van referenties om verificatie in te schakelen. Het beheert ook een sleutelkenmerk van een apparaat in het systeem dat het vertrouwensniveau is. Dit is belangrijk bij het ontwerpen van een toegangsbeleid voor resources. Zie de documentatie voor Microsoft Entra Apparaatbeheer voor meer informatie.
Configuratiebeheer. Microsoft Entra ID bevat service-elementen die moeten worden geconfigureerd en beheerd om ervoor te zorgen dat de service is geconfigureerd volgens de vereisten van een organisatie. Deze elementen omvatten domeinbeheer, SSO-configuratie en toepassingsbeheer om er enkele te noemen. Microsoft Entra ID biedt een portal en de Microsoft Graph API waarmee organisaties deze elementen kunnen beheren of integreren in bestaande processen. Zie Microsoft Graph-API voor meer informatie over de Microsoft Graph-API.
Beheer
Identiteitslevenscyclus. Microsoft Entra ID biedt mogelijkheden voor het maken, ophalen, verwijderen en bijwerken van identiteiten in de map, inclusief externe identiteiten. Microsoft Entra ID biedt ook services om de identiteitslevenscyclus te automatiseren om ervoor te zorgen dat deze wordt onderhouden in overeenstemming met de behoeften van uw organisatie. Bijvoorbeeld door toegangsbeoordelingen te gebruiken om externe gebruikers te verwijderen die zich bepaalde tijd niet hebben aangemeld.
Rapportage en analyse. Een belangrijk aspect van identiteitsbeheer is inzicht in gebruikersacties. Microsoft Entra ID biedt inzicht in de beveiligings- en gebruikspatronen van uw omgeving. Deze inzichten bevatten gedetailleerde informatie over:
Waartoe uw gebruikers toegang hebben
Waarvandaan ze toegang hebben
De apparaten die ze gebruiken
Toepassingen die worden gebruikt voor toegang
Microsoft Entra ID biedt ook informatie over de acties die worden uitgevoerd binnen Microsoft Entra-id en rapporten over beveiligingsrisico's. Zie Microsoft Entra-rapporten en -bewaking voor meer informatie.
Controle. Controle biedt traceerbaarheid via logboeken voor alle wijzigingen die worden uitgevoerd door specifieke functies binnen Microsoft Entra ID. Voorbeelden van activiteiten in auditlogboeken zijn wijzigingen die zijn aangebracht in resources binnen Microsoft Entra-id, zoals het toevoegen of verwijderen van gebruikers, apps, groepen, rollen en beleid. Met rapportage in Microsoft Entra-id kunt u aanmeldingsactiviteiten, riskante aanmeldingen en gebruikers controleren die zijn gemarkeerd voor risico's. Zie Activiteitenrapporten controleren in Azure Portal voor meer informatie.
Toegangscertificering. Toegangscertificering is het proces om te bewijzen dat een gebruiker op een bepaald moment recht heeft op toegang tot een resource. Microsoft Entra-toegangsbeoordelingen controleren voortdurend de lidmaatschappen van groepen of toepassingen en bieden inzicht om te bepalen of toegang vereist is of moet worden verwijderd. Hierdoor kunnen organisaties groepslidmaatschappen, toegang tot bedrijfstoepassingen en roltoewijzingen effectief beheren om ervoor te zorgen dat alleen de juiste personen toegang hebben. Zie Wat zijn Microsoft Entra-toegangsbeoordelingen voor meer informatie ?
Bevoegde toegang. Microsoft Entra Privileged Identity Management (PIM) biedt op tijd gebaseerde en op goedkeuring gebaseerde rolactivering om de risico's van overmatige, onnodige of misbruikte toegangsmachtigingen voor Azure-resources te beperken. Het wordt gebruikt om bevoegde accounts te beschermen door de blootstellingstijd van bevoegdheden te verlagen en meer inzicht te geven in het gebruik ervan via rapporten en waarschuwingen.
Selfservicebeheer
Registratie van aanmeldingsgegevens. Microsoft Entra ID biedt mogelijkheden voor het beheren van alle aspecten van de levenscyclus van gebruikersidentiteiten en selfservicemogelijkheden om de werkbelasting van de helpdesk van een organisatie te verminderen.
Groepsbeheer. Microsoft Entra ID biedt mogelijkheden waarmee gebruikers lidmaatschap van een groep kunnen aanvragen voor toegang tot resources en groepen kunnen maken die kunnen worden gebruikt voor het beveiligen van resources of samenwerking. Deze mogelijkheden kunnen worden beheerd door de organisatie, zodat de juiste besturingselementen worden ingesteld.
Consumentenidentiteits- en toegangsbeheer (IAM)
Azure AD B2C. Azure AD B2C is een service die kan worden ingeschakeld in een Azure-abonnement om identiteiten te bieden aan consumenten voor de klantgerichte toepassingen van uw organisatie. Dit is een afzonderlijk identiteitseiland en deze gebruikers worden niet weergegeven in de Microsoft Entra-tenant van de organisatie. Azure AD B2C wordt beheerd door beheerders in de tenant die is gekoppeld aan het Azure-abonnement.