Azure identity management security overview

Identiteitsbeheer is het proces voor het verifiëren en autoriseren van beveiligingsprinciplen. Het omvat ook het beheren van informatie over deze principals (identiteiten). Beveiligingsprinciplen (identiteiten) kunnen services, toepassingen, gebruikers, groepen, enzovoort bevatten. Microsoft-oplossingen voor identiteits- en toegangsbeheer helpen IT om de toegang tot toepassingen en resources in het bedrijfsdatacentrum en in de cloud te beveiligen. Deze beveiliging maakt extra validatieniveaus mogelijk, zoals meervoudige verificatie en beleid voor voorwaardelijke toegang. Het bewaken van verdachte activiteiten via geavanceerde beveiligingsrapportage, controle en waarschuwingen helpt potentiële beveiligingsproblemen te beperken. Microsoft Entra ID P1 of P2 biedt eenmalige aanmelding (SSO) voor duizenden SaaS-apps (Cloud Software as a Service) en toegang tot web-apps die u on-premises uitvoert.

Door gebruik te maken van de beveiligingsvoordelen van Microsoft Entra ID, kunt u het volgende doen:

• Maak en beheer één enkele identiteit voor elke gebruiker in uw hybride onderneming, zodat gebruikers, groepen en apparaten gesynchroniseerd blijven.
• Bied SSO-toegang tot uw toepassingen, waaronder duizenden vooraf geïntegreerde SaaS-apps.
• Schakel beveiliging van toepassingstoegang in door meervoudige verificatie op basis van regels af te dwingen voor zowel on-premises als cloudtoepassingen.
• Veilige externe toegang tot on-premises webtoepassingen inrichten via de Microsoft Entra-toepassingsproxy.

Het doel van dit artikel is om een overzicht te bieden van de belangrijkste Azure-beveiligingsfuncties die u helpen bij identiteitsbeheer. We bieden ook koppelingen naar artikelen met details van elke functie, zodat u meer informatie kunt krijgen.

Het artikel is gericht op de volgende kernmogelijkheden voor Azure Identity Management:

• Eenmalige aanmelding
• Omgekeerde proxy
• Meervoudige verificatie
• op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC)
• Beveiligingsbewaking, waarschuwingen en rapporten op basis van machine learning
• Identiteits- en toegangsbeheer van consumenten
• Apparaatregistratie
• Privileged Identity Management
• Identiteitsbeveiliging
• Hybride identiteitsbeheer/Azure AD Connect
• Microsoft Entra-toegangsbeoordelingen

Eenmalige aanmelding

Eenmalige aanmelding (SSO) betekent dat u toegang hebt tot alle toepassingen en resources die u nodig hebt om zaken te doen, door u slechts één keer aan te melden met één gebruikersaccount. Zodra u bent aangemeld, hebt u toegang tot alle toepassingen die u nodig hebt zonder dat u een tweede keer hoeft te verifiëren (bijvoorbeeld een wachtwoord typen).

Veel organisaties zijn afhankelijk van SaaS-toepassingen zoals Microsoft 365, Box en Salesforce voor gebruikersproductiviteit. In het verleden moesten IT-medewerkers afzonderlijk gebruikersaccounts maken en bijwerken in elke SaaS-toepassing en moesten gebruikers een wachtwoord onthouden voor elke SaaS-toepassing.

Microsoft Entra ID breidt on-premises Active Directory-omgevingen uit naar de cloud, zodat gebruikers hun primaire organisatieaccount kunnen gebruiken om zich niet alleen aan te melden bij hun apparaten en bedrijfsresources die lid zijn van een domein, maar ook voor alle web- en SaaS-toepassingen die ze nodig hebben voor hun taken.

Gebruikers hoeven niet alleen meerdere sets gebruikersnamen en wachtwoorden te beheren, maar u kunt toegang tot toepassingen automatisch inrichten of de inrichting ervan ongedaan maken, op basis van hun organisatiegroepen en hun werknemersstatus. Microsoft Entra ID introduceert besturingselementen voor beveiliging en toegangsbeheer waarmee u de toegang van gebruikers centraal kunt beheren in SaaS-toepassingen.

Meer informatie:

• Overzicht van eenmalige aanmelding
• Video over basisprincipes van verificatie
• Quickstart-reeks over toepassingsbeheer

Omgekeerde proxy

Met de Microsoft Entra-toepassingsproxy kunt u toepassingen publiceren in een particulier netwerk, zoals SharePoint-sites , Outlook Web App en IIS-apps in uw privénetwerk en beveiligde toegang bieden tot gebruikers buiten uw netwerk. toepassingsproxy biedt externe toegang en eenmalige aanmelding voor veel soorten on-premises webtoepassingen met de duizenden SaaS-toepassingen die door Microsoft Entra ID worden ondersteund. Werknemers kunnen zich vanaf hun eigen apparaten aanmelden bij uw apps en zich verifiëren via deze cloudproxy.

Meer informatie:

• Microsoft Entra-toepassingsproxy inschakelen
• Toepassingen publiceren met microsoft Entra-toepassingsproxy
• Eenmalige aanmelding met toepassingsproxy
• Werken met voorwaardelijke toegang

Meervoudige verificatie

Meervoudige verificatie van Microsoft Entra is een verificatiemethode waarvoor meer dan één verificatiemethode is vereist en een kritieke tweede beveiligingslaag wordt toegevoegd aan aanmeldingen en transacties van gebruikers. Meervoudige verificatie helpt de toegang tot gegevens en toepassingen te beveiligen terwijl de gebruikersvraag voor een eenvoudig aanmeldingsproces voldoen. Het biedt sterke verificatie via een scala aan verificatieopties: telefoongesprekken, sms-berichten of mobiele app-meldingen of verificatiecodes en OAuth-tokens van derden.

Meer informatie: Hoe Meervoudige Verificatie van Microsoft Entra werkt

Azure RBAC

Azure RBAC is een autorisatiesysteem dat is gebouwd op Azure Resource Manager dat gedetailleerd toegangsbeheer biedt voor resources in Azure. Met Azure RBAC kunt u nauwkeurig bepalen welk toegangsniveau gebruikers hebben. U kunt bijvoorbeeld een gebruiker beperken om alleen virtuele netwerken te beheren en een andere gebruiker om alle resources in een resourcegroep te beheren. Azure bevat diverse ingebouwde rollen die u kunt gebruiken. Hier volgen vier fundamentele ingebouwde rollen. De eerste drie zijn op alle resourcetypen van toepassing.

• Eigenaar: heeft volledige toegang tot alle resources, waaronder het recht om toegang aan anderen te delegeren.
• Inzender: kan alle typen Azure-resources maken en beheren, maar kan anderen geen toegang verlenen.
• Lezer: kan bestaande Azure-resources bekijken.
• Beheerder gebruikerstoegang: kan gebruikerstoegang tot Azure-resources beheren.

Meer informatie:

• Wat is Azure RBAC (toegangsbeheer op basis van rollen)?
• Ingebouwde Azure-rollen

Beveiligingsbewaking, waarschuwingen en rapporten op basis van machine learning

Met beveiligingsbewaking, waarschuwingen en op machine learning gebaseerde rapporten die inconsistente toegangspatronen identificeren, kunt u uw bedrijf beschermen. U kunt Microsoft Entra ID-toegangs- en gebruiksrapporten gebruiken om inzicht te krijgen in de integriteit en beveiliging van de adreslijst van uw organisatie. Met deze informatie kan een adreslijstbeheerder beter bepalen waar mogelijke beveiligingsrisico's kunnen liggen, zodat ze adequaat kunnen plannen om deze risico's te beperken.

In Azure Portal vallen rapporten in de volgende categorieën:

• Anomalierapporten: Bevatten aanmeldingsgebeurtenissen die afwijkend zijn. Ons doel is om u bewust te maken van dergelijke activiteiten en u in staat te stellen te bepalen of een gebeurtenis verdacht is.
• Geïntegreerde toepassingsrapporten: geef inzicht in hoe cloudtoepassingen worden gebruikt in uw organisatie. Microsoft Entra ID biedt integratie met duizenden cloudtoepassingen.
• Foutrapporten: Geef fouten op die kunnen optreden wanneer u accounts inricht voor externe toepassingen.
• Gebruikersspecifieke rapporten: Activiteitengegevens voor apparaataanmelding weergeven voor een specifieke gebruiker.
• Activiteitenlogboeken: bevat een record van alle gecontroleerde gebeurtenissen binnen de afgelopen 24 uur, de afgelopen 7 of de afgelopen 30 dagen, en groepsactiviteitswijzigingen, wachtwoordherstel en registratieactiviteit.

Meer informatie: Rapportagehandleiding voor Microsoft Entra-id's

Identiteits- en toegangsbeheer van consumenten

Azure AD B2C is een maximaal beschikbare, globale identiteitsbeheerservice voor consumententoepassingen die worden geschaald naar honderden miljoenen identiteiten. De service kan worden geïntegreerd in zowel mobiele als webplatforms. Uw consumenten kunnen zich aanmelden bij al uw toepassingen via aanpasbare ervaringen met hun bestaande sociale accounts of door nieuwe referenties te maken.

In het verleden zouden toepassingsontwikkelaars die klanten wilden registreren en zich wilden aanmelden bij hun toepassingen hun eigen code hebben geschreven. Bovendien gebruikten ze on-premises databases of systemen om gebruikersnamen en wachtwoorden op te slaan. Azure AD B2C biedt uw organisatie een betere manier om consumentenidentiteitsbeheer te integreren in toepassingen met behulp van een veilig platform op basis van standaarden en een grote set uitbreidbare beleidsregels.

Wanneer u Azure AD B2C gebruikt, kunnen uw consumenten zich registreren voor uw toepassingen met behulp van hun bestaande sociale accounts (Facebook, Google, Amazon, LinkedIn) of door nieuwe referenties te maken (e-mailadres en wachtwoord of gebruikersnaam en wachtwoord).

Meer informatie:

• Wat is Azure Active Directory B2C?
• Azure Active Directory B2C: Typen toepassingen

Apparaatregistratie

Microsoft Entra-apparaatregistratie vormt de basis voor op apparaten gebaseerde scenario's voor voorwaardelijke toegang . Wanneer een apparaat is geregistreerd, biedt Microsoft Entra-apparaatregistratie het apparaat een identiteit die wordt gebruikt om het apparaat te verifiëren wanneer een gebruiker zich aanmeldt. Het geverifieerde apparaat en de kenmerken van het apparaat kunnen vervolgens worden gebruikt om beleid voor voorwaardelijke toegang af te dwingen voor toepassingen die worden gehost in de cloud en on-premises.

In combinatie met een beheeroplossing voor mobiele apparaten, zoals Intune, worden de apparaatkenmerken in Microsoft Entra ID bijgewerkt met aanvullende informatie over het apparaat. Vervolgens kunt u regels voor voorwaardelijke toegang maken die toegang van apparaten afdwingen om te voldoen aan uw standaarden voor beveiliging en naleving.

Meer informatie:

• Aan de slag met Microsoft Entra-apparaatregistratie
• Automatische apparaatregistratie met Microsoft Entra-id voor windows-apparaten die lid zijn van een domein

Privileged Identity Management

Met Microsoft Entra Privileged Identity Management kunt u uw bevoorrechte identiteiten en toegang tot resources in Microsoft Entra ID en andere Microsoft onlineservices beheren, beheren en bewaken, zoals Microsoft 365 en Microsoft Intune.

Gebruikers moeten soms bevoegde bewerkingen uitvoeren in Azure- of Microsoft 365-resources of in andere SaaS-apps. Deze behoefte betekent vaak dat organisaties gebruikers permanente toegang moeten verlenen in Microsoft Entra ID. Dergelijke toegang is een steeds groter beveiligingsrisico voor resources in de cloud, omdat organisaties niet voldoende kunnen controleren wat de gebruikers doen met hun beheerdersbevoegdheden. Als bovendien een gebruikersaccount met bevoegde toegang wordt aangetast, kan één inbreuk van invloed zijn op de algehele cloudbeveiliging van de organisatie. Microsoft Entra Privileged Identity Management helpt dit risico te beperken.

Met Microsoft Entra Privileged Identity Management kunt u het volgende doen:

• Bekijk welke gebruikers Microsoft Entra-beheerders zijn.
• JIT-beheerderstoegang (Just-In-Time) op aanvraag inschakelen voor Microsoft-services zoals Microsoft 365 en Intune.
• Rapporten ophalen over de beheerderstoegangsgeschiedenis en wijzigingen in beheerderstoewijzingen.
• Ontvang waarschuwingen over toegang tot een bevoorrechte rol.

Meer informatie:

• Wat is Microsoft Entra Privileged Identity Management?
• Microsoft Entra-directoryrollen toewijzen in PIM

Identiteitsbeveiliging

Microsoft Entra ID Protection is een beveiligingsservice die een geconsolideerd overzicht biedt van risicodetecties en potentiële beveiligingsproblemen die van invloed zijn op de identiteiten van uw organisatie. Identity Protection maakt gebruik van bestaande mogelijkheden voor anomaliedetectie van Microsoft Entra, die beschikbaar zijn via Anomaly Activity-rapporten van Microsoft Entra. Identity Protection introduceert ook nieuwe typen risicodetectie waarmee afwijkingen in realtime kunnen worden gedetecteerd.

Meer informatie: Microsoft Entra ID Protection

Hybride identiteitsbeheer (Microsoft Entra Verbinding maken)

De identiteitsoplossingen van Microsoft omvatten on-premises en cloudmogelijkheden, waarbij één gebruikersidentiteit wordt gemaakt voor verificatie en autorisatie voor alle resources, ongeacht de locatie. We noemen dit hybride identiteit. Microsoft Entra Verbinding maken is het Microsoft-hulpprogramma dat is ontworpen om te voldoen aan uw hybride identiteitsdoelen en deze te bereiken. Hiermee kunt u een gemeenschappelijke identiteit bieden voor uw gebruikers voor Microsoft 365-, Azure- en SaaS-toepassingen die zijn geïntegreerd met Microsoft Entra ID. Deze biedt de volgende functies:

• Synchronisatie
• AD FS- en federatie-integratie
• Pass through-verificatie
• Statuscontrole

Meer informatie:

• Technisch document over hybride identiteit
• Microsoft Entra ID

Microsoft Entra-toegangsbeoordelingen

Met Microsoft Entra-toegangsbeoordelingen kunnen organisaties groepslidmaatschappen, toegang tot bedrijfstoepassingen en bevoorrechte roltoewijzingen efficiënt beheren.

Meer informatie: Microsoft Entra-toegangsbeoordelingen