Memo 22-09 enterprise-wide identity management system
M 22-09 Memorandum voor leidinggevenden en agentschappen vereist dat agentschappen een consolidatieplan voor hun identiteitsplatformen ontwikkelen. Het doel is om binnen 60 dagen na de publicatiedatum zo weinig mogelijk door het agentschap beheerde identiteitssystemen te hebben (28 maart 2022). Er zijn verschillende voordelen voor het consolideren van identiteitsplatform:
- Beheer van identiteitslevenscyclus, beleidshandhaving en controlebare controles centraliseren
- Uniforme mogelijkheid en pariteit van afdwinging
- Verminder de noodzaak om resources te trainen in meerdere systemen
- Gebruikers in staat stellen zich eenmaal aan te melden en vervolgens toegang te krijgen tot toepassingen en services in de IT-omgeving
- Integreren met zoveel mogelijk bureautoepassingen
- Gedeelde verificatieservices en vertrouwensrelaties gebruiken om integratie tussen agentschappen mogelijk te maken
Waarom Microsoft Entra ID?
Gebruik Microsoft Entra ID om aanbevelingen uit memorandum 22-09 te implementeren. Microsoft Entra ID heeft identiteitscontroles die ondersteuning bieden voor Zero Trust-initiatieven. Met Microsoft Office 365 of Azure is Microsoft Entra ID een id-provider (IdP). Verbinding maken uw toepassingen en resources naar Microsoft Entra ID als uw bedrijfsbrede identiteitssysteem.
Vereisten voor eenmalige aanmelding
Voor de memo moeten gebruikers zich eenmaal aanmelden en vervolgens toegang krijgen tot toepassingen. Gebruikers met eenmalige aanmelding (SSO) van Microsoft melden zich eenmaal aan en hebben vervolgens toegang tot cloudservices en toepassingen. Zie, naadloze eenmalige aanmelding van Microsoft Entra.
Integratie tussen agentschappen
Gebruik Microsoft Entra B2B-samenwerking om te voldoen aan de vereiste om integratie en samenwerking tussen agentschappen te vergemakkelijken. Gebruikers kunnen zich in een Microsoft-tenant in dezelfde cloud bevinden. Tenants kunnen zich in een andere Microsoft-cloud of in een niet-Azure AD-tenant (SAML/WS-Fed-id-provider) bevinden.
Met microsoft Entra-instellingen voor toegang tot meerdere tenants beheren instanties hoe ze samenwerken met andere Microsoft Entra-organisaties en andere Microsoft Azure-clouds:
- Beperken waartoe gebruikers van Microsoft-tenants toegang hebben
- Instellingen voor externe gebruikerstoegang, waaronder afdwinging van meervoudige verificatie en apparaatsignaal
Meer informatie:
- Een overzicht van B2B-samenwerking
- Microsoft Entra B2B in overheids- en nationale clouds
- De federatie met SAML/WS-Fed-id-providers voor gastgebruikers
toepassingen Verbinding maken
Als u Microsoft Entra ID wilt samenvoegen en gebruiken als het identiteitssysteem voor de hele onderneming, controleert u de assets die binnen het bereik vallen.
Toepassingen en services documenteer
Maak een inventaris van de toepassingen en services die gebruikers openen. Een identiteitsbeheersysteem beschermt wat het weet.
Assetclassificatie:
- De gevoeligheid van gegevens daarin
- Wetten en voorschriften voor vertrouwelijkheid, integriteit of beschikbaarheid van gegevens en/of informatie in belangrijke systemen
- Genoemde wetten en voorschriften die van toepassing zijn op vereisten voor systeeminformatiebescherming
Bepaal voor uw toepassingsinventaris toepassingen die gebruikmaken van cloudprotocollen of verouderde verificatieprotocollen:
- Toepassingen die gereed zijn voor de cloud bieden ondersteuning voor moderne protocollen voor verificatie:
- SAML
- WS-Federation/Trust
- OpenID Connect (OIDC)
- OAuth 2.0.
- Verouderde verificatietoepassingen zijn afhankelijk van oudere of bedrijfseigen verificatiemethoden:
- Kerberos/NTLM (Windows-verificatie)
- Verificatie op basis van headers
- LDAP
- Basisverificatie
Meer informatie over Microsoft Entra-integraties met verificatieprotocollen.
Hulpprogramma's voor toepassings- en servicedetectie
Microsoft biedt de volgende hulpprogramma's ter ondersteuning van toepassings- en servicedetectie.
| Hulpprogramma | Gebruik |
|---|---|
| Gebruiksanalyse voor Active Directory Federation Services (AD FS) | Analyseert federatief serververificatieverkeer. Zie AD FS bewaken met Microsoft Entra Verbinding maken Health |
| Microsoft Defender for Cloud Apps | Scant firewalllogboeken om cloud-apps, IaaS-services (Infrastructure as a Service) en PaaS-services (Platform as a Service) te detecteren. Integreer Defender voor Cloud Apps met Defender voor Eindpunt om gegevens te detecteren die zijn geanalyseerd vanaf Windows-clientapparaten. Zie het overzicht van Microsoft Defender voor Cloud-apps |
| Toepassingsdetectiewerkblad | Documenteer de huidige statussen van uw toepassingen. Zie, Application Discovery-werkblad |
Uw apps bevinden zich mogelijk in andere systemen dan Microsoft en Microsoft-hulpprogramma's detecteren deze apps mogelijk niet. Zorg voor een volledige inventarisatie. Providers hebben mechanismen nodig om toepassingen te detecteren die hun services gebruiken.
Prioriteit geven aan toepassingen voor verbinding
Nadat u de toepassingen in uw omgeving hebt gedetecteerd, geeft u prioriteit aan deze toepassingen voor migratie. Overweeg het volgende:
- Bedrijfskritiek
- Gebruikersprofielen
- Gebruik
- Levensduur
Meer informatie: Toepassingsverificatie migreren naar Microsoft Entra-id.
Verbinding maken uw apps die geschikt zijn voor de cloud, in volgorde van prioriteit. Bepaal welke apps gebruikmaken van verouderde verificatieprotocollen.
Voor apps die gebruikmaken van verouderde verificatieprotocollen:
- Voor apps met moderne verificatie moet u ze opnieuw configureren voor het gebruik van Microsoft Entra-id
- Voor apps zonder moderne verificatie zijn er twee opties:
- Werk de toepassingscode bij om moderne protocollen te gebruiken door de Microsoft Authentication Library (MSAL) te integreren
- Microsoft Entra-toepassingsproxy gebruiken of beveiligde hybride partnertoegang gebruiken voor beveiligde toegang
- Toegang tot apps buiten gebruik stellen, of die niet worden ondersteund
Meer informatie
- Microsoft Entra-integraties met verificatieprotocollen
- Wat is het Microsoft Identity Platform?
- Hybride toegang beveiligen: verouderde apps beveiligen met Microsoft Entra-id
apparaten Verbinding maken
Als onderdeel van het centraliseren van een identiteitsbeheersysteem kunnen gebruikers zich aanmelden bij fysieke en virtuele apparaten. U kunt Windows- en Linux-apparaten verbinden in uw gecentraliseerde Microsoft Entra-systeem, waardoor meerdere, afzonderlijke identiteitssystemen worden geëlimineerd.
Identificeer tijdens uw inventarisatie en bereik de apparaten en infrastructuur die moeten worden geïntegreerd met Microsoft Entra ID. Integratie centraliseert uw verificatie en beheer met behulp van beleid voor voorwaardelijke toegang met meervoudige verificatie die wordt afgedwongen via Microsoft Entra-id.
Hulpprogramma's voor het detecteren van apparaten
U kunt Azure Automation-accounts gebruiken om apparaten te identificeren via inventarisverzameling die is verbonden met Azure Monitor. Microsoft Defender voor Eindpunt beschikt over apparaatinventarisfuncties. Ontdek de apparaten waarop Defender voor Eindpunt is geconfigureerd en apparaten die niet zijn geconfigureerd. Apparaatinventaris is afkomstig van on-premises systemen, zoals System Center Configuration Manager of andere systemen die apparaten en clients beheren.
Meer informatie:
- Inventarisverzameling van VM's beheren
- overzicht van Microsoft Defender voor Eindpunt
- Inleiding tot hardware-inventarisatie
Apparaten integreren met Microsoft Entra-id
Apparaten die zijn geïntegreerd met Microsoft Entra ID, zijn hybride apparaten of aan Microsoft Entra gekoppelde apparaten. Scheid de onboarding van apparaten door client- en gebruikersapparaten, en door fysieke en virtuele machines die als infrastructuur werken. Zie de volgende richtlijnen voor meer informatie over de implementatiestrategie voor gebruikersapparaten.
- De implementatie van uw Microsoft Entra-apparaat plannen
- Hybride apparaten van Microsoft Entra
- Aan Microsoft Entra gekoppelde apparaten
- Meld u aan bij een virtuele Windows-machine in Azure met behulp van Microsoft Entra-id, inclusief wachtwoordloos
- Meld u aan bij een virtuele Linux-machine in Azure met behulp van Microsoft Entra ID en OpenSSH
- Microsoft Entra join voor Azure Virtual Desktop
- Apparaatidentiteit en desktopvirtualisatie
Volgende stappen
De volgende artikelen maken deel uit van deze documentatieset: