Wybieranie właściwej metody uwierzytelniania dla rozwiązania tożsamości hybrydowej firmy Microsoft Entra
Wybór właściwej metody uwierzytelniania jest pierwszą kwestią dla organizacji, które chcą przenieść swoje aplikacje do chmury. Nie podejmuj tej decyzji lekko, z następujących powodów:
Jest to pierwsza decyzja dla organizacji, która chce przejść do chmury.
Metoda uwierzytelniania jest krytycznym składnikiem obecności organizacji w chmurze. Kontroluje dostęp do wszystkich danych i zasobów w chmurze.
Jest to podstawa wszystkich innych zaawansowanych funkcji zabezpieczeń i środowiska użytkownika w usłudze Microsoft Entra ID.
Tożsamość to nowa płaszczyzna kontroli zabezpieczeń IT, dlatego uwierzytelnianie to ochrona dostępu organizacji do nowego świata chmury. Organizacje potrzebują płaszczyzny kontroli tożsamości, która zwiększa bezpieczeństwo i chroni aplikacje w chmurze przed intruzami.
Uwaga
Zmiana metody uwierzytelniania wymaga planowania, testowania i potencjalnie przestoju. Wdrożenie etapowe to doskonały sposób testowania migracji użytkowników z federacji do uwierzytelniania w chmurze.
Poza zakresem
Organizacje, które nie mają istniejącego lokalnego katalogu, nie skupiają się na tym artykule. Zazwyczaj te firmy tworzą tożsamości tylko w chmurze, co nie wymaga rozwiązania tożsamości hybrydowej. Tożsamości tylko w chmurze istnieją wyłącznie w chmurze i nie są skojarzone z odpowiednimi tożsamościami lokalnymi.
Metody uwierzytelniania
Gdy rozwiązanie tożsamości hybrydowej Firmy Microsoft Entra to nowa płaszczyzna sterowania, uwierzytelnianie jest podstawą dostępu do chmury. Wybór właściwej metody uwierzytelniania jest kluczową pierwszą decyzją podczas konfigurowania rozwiązania tożsamości hybrydowej firmy Microsoft Entra. Wybrana metoda uwierzytelniania jest konfigurowana przy użyciu usługi Microsoft Entra Połączenie, która również aprowizuje użytkowników w chmurze.
Aby wybrać metodę uwierzytelniania, należy wziąć pod uwagę czas, istniejącą infrastrukturę, złożoność i koszt implementacji. Te czynniki są różne dla każdej organizacji i mogą ulec zmianie w czasie.
Identyfikator Entra firmy Microsoft obsługuje następujące metody uwierzytelniania dla rozwiązań do obsługi tożsamości hybrydowych.
Uwierzytelnianie w chmurze
Po wybraniu tej metody uwierzytelniania identyfikator Entra firmy Microsoft obsługuje proces logowania użytkowników. W połączeniu z logowaniem jednokrotnym użytkownicy mogą logować się do aplikacji w chmurze bez konieczności ponownego wprowadzania poświadczeń. W przypadku uwierzytelniania w chmurze można wybrać jedną z dwóch opcji:
Synchronizacja skrótów haseł firmy Microsoft Entra. Najprostszym sposobem włączenia uwierzytelniania dla obiektów katalogu lokalnego w identyfikatorze Entra firmy Microsoft. Użytkownicy mogą używać tej samej nazwy użytkownika i hasła, które używają lokalnie bez konieczności wdrażania innej infrastruktury. Niektóre funkcje premium identyfikatora Entra firmy Microsoft, takie jak Identity Protection i Microsoft Entra Domain Services, wymagają synchronizacji skrótów haseł, niezależnie od wybranej metody uwierzytelniania.
Uwaga
Hasła nigdy nie są przechowywane w postaci zwykłego tekstu lub szyfrowane za pomocą algorytmu odwracalnego w identyfikatorze Entra firmy Microsoft. Aby uzyskać więcej informacji na temat rzeczywistego procesu synchronizacji skrótów haseł, zobacz Implementowanie synchronizacji skrótów haseł za pomocą usługi Microsoft Entra Połączenie Sync.
Uwierzytelnianie przekazywane przez firmę Microsoft Entra. Zapewnia prostą weryfikację hasła dla usług uwierzytelniania Firmy Microsoft Entra przy użyciu agenta oprogramowania, który działa na co najmniej jednym serwerze lokalnym. Serwery weryfikują użytkowników bezpośrednio z lokalna usługa Active Directory, co gwarantuje, że sprawdzanie poprawności hasła nie nastąpi w chmurze.
Firmy z wymaganiem bezpieczeństwa, aby natychmiast wymusić lokalne stany konta użytkownika, zasady haseł i godziny logowania, mogą używać tej metody uwierzytelniania. Aby uzyskać więcej informacji na temat rzeczywistego procesu uwierzytelniania przekazywanego, zobacz Logowanie użytkownika przy użyciu uwierzytelniania przekazywanego firmy Microsoft.
Uwierzytelnianie federacyjne
Po wybraniu tej metody uwierzytelniania identyfikator Entra firmy Microsoft przekazuje proces uwierzytelniania do oddzielnego zaufanego systemu uwierzytelniania, takiego jak usługi lokalna usługa Active Directory Federation Services (AD FS), w celu zweryfikowania hasła użytkownika.
System uwierzytelniania może zapewnić inne zaawansowane wymagania dotyczące uwierzytelniania, na przykład uwierzytelnianie wieloskładnikowe innej firmy.
Poniższa sekcja ułatwia określenie, która metoda uwierzytelniania jest odpowiednia dla Ciebie przy użyciu drzewa decyzyjnego. Ułatwia to określenie, czy wdrożyć uwierzytelnianie w chmurze, czy federacyjne dla rozwiązania tożsamości hybrydowej firmy Microsoft Entra.
Drzewo decyzyjne
Szczegółowe informacje na temat pytań dotyczących decyzji:
- Microsoft Entra ID może obsługiwać logowanie dla użytkowników bez polegania na składnikach lokalnych w celu zweryfikowania haseł.
- Identyfikator Entra firmy Microsoft może przekazać logowanie użytkownika do zaufanego dostawcy uwierzytelniania, takiego jak usługi AD FS firmy Microsoft.
- Jeśli musisz zastosować zasady zabezpieczeń usługi Active Directory na poziomie użytkownika, takie jak wygasły konto, wyłączone konto, hasło wygasło, zablokowane konto i godziny logowania na każdym logowaniu użytkownika, identyfikator Microsoft Entra ID wymaga niektórych składników lokalnych.
- Funkcje logowania nie są natywnie obsługiwane przez identyfikator Entra firmy Microsoft:
- Logowanie przy użyciu rozwiązania do uwierzytelniania innej firmy.
- Rozwiązanie uwierzytelniania lokalnego obejmujące wiele lokacji.
- Ochrona tożsamości Microsoft Entra wymaga synchronizacji skrótów haseł niezależnie od wybranej metody logowania, aby podać Użytkownicy z raportem o ujawnionych poświadczeniach. Organizacje mogą przejść w tryb failover do synchronizacji skrótów haseł, jeśli ich podstawowa metoda logowania nie powiedzie się i została skonfigurowana przed zdarzeniem niepowodzenia.
Uwaga
Ochrona tożsamości Microsoft Entra wymagaj Licencje microsoft Entra ID P2.
Szczegółowe zagadnienia
Uwierzytelnianie w chmurze: synchronizacja skrótów haseł
Wysiłek. Synchronizacja skrótów haseł wymaga najmniejszego nakładu pracy w zakresie wdrażania, konserwacji i infrastruktury. Ten poziom nakładu pracy zwykle dotyczy organizacji, które potrzebują tylko swoich użytkowników do logowania się do platformy Microsoft 365, aplikacji SaaS i innych zasobów opartych na identyfikatorach Firmy Microsoft. Po włączeniu synchronizacja skrótów haseł jest częścią procesu microsoft Entra Połączenie Sync i jest uruchamiana co dwie minuty.
Środowisko użytkownika. Aby ulepszyć środowisko logowania użytkowników, użyj urządzeń dołączonych do firmy Microsoft lub urządzeń dołączonych hybrydowo do firmy Microsoft Entra. Jeśli nie możesz dołączyć urządzeń z systemem Windows do identyfikatora Entra firmy Microsoft, zalecamy wdrożenie bezproblemowego logowania jednokrotnego przy użyciu synchronizacji skrótów haseł. Bezproblemowe logowanie jednokrotne eliminuje niepotrzebne monity, gdy użytkownicy są zalogowani.
Zaawansowane scenariusze. Jeśli organizacje zdecydują się, można użyć szczegółowych informacji z tożsamości z raportami Ochrona tożsamości Microsoft Entra z identyfikatorem P2 firmy Microsoft. Przykładem jest wyciekły raport poświadczeń. Windows Hello dla firm ma określone wymagania dotyczące korzystania z synchronizacji skrótów haseł. Usługi Microsoft Entra Domain Services wymagają synchronizacji skrótów haseł, aby aprowizować użytkowników przy użyciu poświadczeń firmowych w domenie zarządzanej.
Organizacje wymagające uwierzytelniania wieloskładnikowego z synchronizacją skrótów haseł muszą używać uwierzytelniania wieloskładnikowego firmy Microsoft lub niestandardowych kontrolek dostępu warunkowego. Organizacje te nie mogą używać metod uwierzytelniania wieloskładnikowego innych firm ani lokalnych, które opierają się na federacji.
Uwaga
Dostęp warunkowy firmy Microsoft Entra wymaga licencji microsoft Entra ID P1 .
Ciągłość działalności biznesowej. Korzystanie z synchronizacji skrótów haseł z uwierzytelnianiem w chmurze jest wysoce dostępne jako usługa w chmurze, która jest skalowana do wszystkich centrów danych firmy Microsoft. Aby upewnić się, że synchronizacja skrótów haseł nie działa przez dłuższy czas, wdróż drugi serwer Microsoft Entra Połączenie w trybie przejściowym w konfiguracji rezerwowej.
Zagadnienia. Obecnie synchronizacja skrótów haseł nie wymusza natychmiast zmian w stanach konta lokalnego. W takiej sytuacji użytkownik ma dostęp do aplikacji w chmurze, dopóki stan konta użytkownika nie zostanie zsynchronizowany z identyfikatorem Entra firmy Microsoft. Organizacje mogą chcieć przezwyciężyć to ograniczenie, uruchamiając nowy cykl synchronizacji po tym, jak administratorzy zbiorczo aktualizują stany konta użytkownika lokalnego. Przykładem jest wyłączenie kont.
Uwaga
Hasło wygasło, a stany zablokowane konta nie są obecnie synchronizowane z identyfikatorem Entra firmy Microsoft z firmą Microsoft Entra Połączenie. Jeśli zmienisz hasło użytkownika i ustawisz, że użytkownik musi zmienić hasło przy następnej flagi logowania, skrót hasła nie zostanie zsynchronizowany z identyfikatorem Entra firmy Microsoft z firmą Microsoft Entra Połączenie, dopóki użytkownik nie zmieni hasła.
Aby uzyskać instrukcje wdrażania, zapoznaj się z tematem Implementowanie synchronizacji skrótów haseł.
Uwierzytelnianie w chmurze: uwierzytelnianie przekazywane
Wysiłek. W przypadku uwierzytelniania przekazywanego potrzebny jest co najmniej jeden (zalecamy trzy) uproszczone agenty zainstalowane na istniejących serwerach. Ci agenci muszą mieć dostęp do usług lokalna usługa Active Directory Domain Services, w tym do lokalnych kontrolerów domeny usługi AD. Potrzebują one dostępu wychodzącego do Internetu i dostępu do kontrolerów domeny. Z tego powodu nie jest obsługiwane wdrażanie agentów w sieci obwodowej.
Uwierzytelnianie przekazywane wymaga nieograniczonego dostępu sieciowego do kontrolerów domeny. Cały ruch sieciowy jest szyfrowany i ograniczony do żądań uwierzytelniania. Aby uzyskać więcej informacji na temat tego procesu, zobacz szczegółowe omówienie zabezpieczeń uwierzytelniania przekazywanego.
Środowisko użytkownika. Aby ulepszyć środowisko logowania użytkowników, użyj urządzeń dołączonych do firmy Microsoft lub urządzeń dołączonych hybrydowo do firmy Microsoft Entra. Jeśli nie możesz dołączyć urządzeń z systemem Windows do identyfikatora Entra firmy Microsoft, zalecamy wdrożenie bezproblemowego logowania jednokrotnego przy użyciu synchronizacji skrótów haseł. Bezproblemowe logowanie jednokrotne eliminuje niepotrzebne monity, gdy użytkownicy są zalogowani.
Zaawansowane scenariusze. Uwierzytelnianie przekazywane wymusza zasady konta lokalnego podczas logowania. Na przykład odmowa dostępu jest blokowana, gdy stan konta użytkownika lokalnego jest wyłączony, zablokowany lub ich hasło wygasa lub próba logowania nie mieści się w godzinach, w których użytkownik może się zalogować.
Organizacje, które wymagają uwierzytelniania wieloskładnikowego z uwierzytelnianiem przekazywanym, muszą używać uwierzytelniania wieloskładnikowego firmy Microsoft lub niestandardowych mechanizmów kontroli dostępu warunkowego. Organizacje te nie mogą używać metody uwierzytelniania wieloskładnikowego innej firmy ani lokalnej, która opiera się na federacji. Zaawansowane funkcje wymagają wdrożenia synchronizacji skrótów haseł niezależnie od tego, czy wybrano uwierzytelnianie przekazywane. Przykładem jest wyciekły raport poświadczeń usługi Identity Protection.
Ciągłość działalności biznesowej. Zalecamy wdrożenie dwóch dodatkowych agentów uwierzytelniania z przekazywaniem. Dodatki te są dodatki oprócz pierwszego agenta na serwerze Microsoft Entra Połączenie. To inne wdrożenie zapewnia wysoką dostępność żądań uwierzytelniania. Po wdrożeniu trzech agentów jeden agent nadal może zakończyć się niepowodzeniem, gdy inny agent nie działa w celu konserwacji.
Istnieje kolejna korzyść dotycząca wdrażania synchronizacji skrótów haseł oprócz uwierzytelniania przekazywanego. Działa jako metoda uwierzytelniania kopii zapasowej, gdy podstawowa metoda uwierzytelniania nie jest już dostępna.
Zagadnienia. Synchronizacja skrótów haseł może służyć jako metoda uwierzytelniania przekazywanego kopii zapasowej, gdy agenci nie mogą zweryfikować poświadczeń użytkownika z powodu znaczącej awarii lokalnej. Synchronizacja skrótów haseł w trybie failover nie jest wykonywana automatycznie i musisz ręcznie przełączyć metodę logowania przy użyciu usługi Microsoft Entra Połączenie.
Aby zapoznać się z innymi zagadnieniami dotyczącymi uwierzytelniania przekazywanego, w tym obsługi identyfikatorów alternatywnych, zobacz często zadawane pytania.
Aby uzyskać instrukcje wdrażania, zapoznaj się z tematem Implementowanie uwierzytelniania przekazywanego.
Uwierzytelnianie federacyjne
Wysiłek. System uwierzytelniania federacyjnego korzysta z zewnętrznego zaufanego systemu do uwierzytelniania użytkowników. Niektóre firmy chcą ponownie wykorzystać swoje istniejące inwestycje w system federacyjny z rozwiązaniem tożsamości hybrydowej firmy Microsoft Entra. Konserwacja i zarządzanie systemem federacyjnym wykracza poza kontrolę nad identyfikatorem Entra firmy Microsoft. Jest to organizacja przy użyciu systemu federacyjnego, aby upewnić się, że jest wdrożona bezpiecznie i może obsługiwać obciążenie uwierzytelniania.
Środowisko użytkownika. Środowisko użytkownika uwierzytelniania federacyjnego zależy od implementacji funkcji, topologii i konfiguracji farmy federacyjnej. Niektóre organizacje potrzebują tej elastyczności, aby dostosować i skonfigurować dostęp do farmy federacyjnej w celu spełnienia wymagań dotyczących zabezpieczeń. Na przykład można skonfigurować wewnętrznie połączonych użytkowników i urządzeń w celu automatycznego logowania użytkowników bez monitowania o poświadczenia. Ta konfiguracja działa, ponieważ już zalogowali się na swoich urządzeniach. W razie potrzeby niektóre zaawansowane funkcje zabezpieczeń utrudniają proces logowania użytkowników.
Zaawansowane scenariusze. Rozwiązanie do uwierzytelniania federacyjnego jest wymagane, gdy klienci mają wymóg uwierzytelniania, którego identyfikator Entra firmy Microsoft nie obsługuje natywnie. Zobacz szczegółowe informacje ułatwiające wybranie odpowiedniej opcji logowania. Weź pod uwagę następujące typowe wymagania:
- Dostawcy wieloskładnikowi innych firm wymagający dostawcy tożsamości federacyjnej.
- Uwierzytelnianie przy użyciu rozwiązań uwierzytelniania innych firm. Zobacz listę zgodności federacji firmy Microsoft Entra.
- Zaloguj się, który wymaga nazwy sAMAccountName, na przykład DOMAIN\username, zamiast głównej nazwy użytkownika (UPN), na przykład user@domain.com.
Ciągłość działalności biznesowej. Systemy federacyjne zwykle wymagają macierzy serwerów o zrównoważonym obciążeniu, znanej jako farma. Ta farma jest skonfigurowana w topologii sieci wewnętrznej i sieci obwodowej w celu zapewnienia wysokiej dostępności żądań uwierzytelniania.
Wdróż synchronizację skrótów haseł wraz z uwierzytelnianiem federacyjnym jako metodą uwierzytelniania kopii zapasowej, gdy podstawowa metoda uwierzytelniania nie jest już dostępna. Przykładem może być brak dostępności serwerów lokalnych. Niektóre duże organizacje przedsiębiorstwa wymagają rozwiązania federacyjnego do obsługi wielu internetowych punktów przychodzących skonfigurowanych z usługą geo-DNS na potrzeby żądań uwierzytelniania o małych opóźnieniach.
Zagadnienia. Systemy federacyjne zwykle wymagają bardziej znaczących inwestycji w infrastrukturę lokalną. Większość organizacji wybiera tę opcję, jeśli ma już inwestycję w federację lokalną. A jeśli jest to silne wymaganie biznesowe, aby korzystać z dostawcy z jedną tożsamością. Federacja jest bardziej złożona do obsługi i rozwiązywania problemów w porównaniu z rozwiązaniami uwierzytelniania w chmurze.
W przypadku domeny, której nie można zweryfikować w identyfikatorze Entra firmy Microsoft, musisz mieć dodatkową konfigurację w celu zaimplementowania logowania identyfikatora użytkownika. To wymaganie jest nazywane obsługą alternatywnego identyfikatora logowania. Zobacz Konfigurowanie alternatywnego identyfikatora logowania, aby uzyskać ograniczenia i wymagania. Jeśli zdecydujesz się użyć dostawcy uwierzytelniania wieloskładnikowego innej firmy z federacją, upewnij się, że dostawca obsługuje protokół WS-Trust, aby zezwolić urządzeniom na dołączanie do usługi Microsoft Entra ID.
Aby uzyskać instrukcje wdrażania, zobacz Wdrażanie serwerów federacyjnych.
Uwaga
Podczas wdrażania rozwiązania tożsamości hybrydowej firmy Microsoft Entra należy zaimplementować jedną z obsługiwanych topologii firmy Microsoft Entra Połączenie. Dowiedz się więcej o obsługiwanych i nieobsługiwanych konfiguracjach w tematach Topologies for Microsoft Entra Połączenie.
Diagramy architektury
Na poniższych diagramach przedstawiono składniki architektury wysokiego poziomu wymagane dla każdej metody uwierzytelniania, których można używać z rozwiązaniem tożsamości hybrydowej firmy Microsoft Entra. Zawierają one omówienie ułatwiające porównanie różnic między rozwiązaniami.
Prostota rozwiązania synchronizacji skrótów haseł:
Wymagania agenta dotyczące uwierzytelniania przekazywanego przy użyciu dwóch agentów na potrzeby nadmiarowości:
Składniki wymagane do federacji w sieci obwodowej i wewnętrznej organizacji:
Porównywanie metod
| Kwestie wymagające rozważenia | Synchronizacja skrótów haseł | Uwierzytelnianie przekazywane | Federacja z usługami AD FS |
|---|---|---|---|
| Gdzie ma miejsce uwierzytelnianie? | W chmurze | W chmurze po bezpiecznej wymiany weryfikacji hasła z lokalnym agentem uwierzytelniania | Lokalne |
| Jakie są wymagania dotyczące serwera lokalnego wykraczające poza system aprowizacji: Microsoft Entra Połączenie? | Brak | Jeden serwer dla każdego dodatkowego agenta uwierzytelniania | Co najmniej dwa serwery usług AD FS Co najmniej dwa serwery WAP w sieci obwodowej/DMZ |
| Jakie są wymagania dotyczące lokalnego Internetu i sieci poza systemem aprowizacji? | Brak | Wychodzący dostęp do Internetu z serwerów z uruchomionymi agentami uwierzytelniania | Przychodzący dostęp do Internetu do serwerów WAP w obwodzie Przychodzący dostęp sieciowy do serwerów usług AD FS z serwerów WAP w obwodzie Równoważenie obciążenia sieciowego |
| Czy istnieje wymaganie dotyczące certyfikatu TLS/SSL? | Nie | Nie. | Tak |
| Czy istnieje rozwiązanie do monitorowania kondycji? | Niewymagane | Stan agenta udostępniany przez centrum administracyjne firmy Microsoft Entra | Microsoft Entra Połączenie Health |
| Czy użytkownicy uzyskują logowanie jednokrotne do zasobów w chmurze z urządzeń przyłączonych do domeny w sieci firmowej? | Tak z urządzeniami dołączonymi do firmy Microsoft, urządzeniami dołączonymi hybrydowo do firmy Microsoft Entra, wtyczką logowania jednokrotnego firmy Microsoft Enterprise dla urządzeń firmy Apple lub bezproblemowym logowaniem jednokrotnym | Tak z urządzeniami dołączonymi do firmy Microsoft, urządzeniami dołączonymi hybrydowo do firmy Microsoft Entra, wtyczką logowania jednokrotnego firmy Microsoft Enterprise dla urządzeń firmy Apple lub bezproblemowym logowaniem jednokrotnym | Tak |
| Jakie typy logowania są obsługiwane? | UserPrincipalName + hasło Zintegrowane uwierzytelnianie systemu Windows przy użyciu bezproblemowego logowania jednokrotnego Alternatywny identyfikator logowania Urządzenia dołączone do firmy Microsoft Urządzenia dołączone hybrydo do firmy Microsoft Entra Uwierzytelnianie certyfikatu i karty inteligentnej |
UserPrincipalName + hasło Zintegrowane uwierzytelnianie systemu Windows przy użyciu bezproblemowego logowania jednokrotnego Alternatywny identyfikator logowania Urządzenia dołączone do firmy Microsoft Urządzenia dołączone hybrydo do firmy Microsoft Entra Uwierzytelnianie certyfikatu i karty inteligentnej |
UserPrincipalName + hasło sAMAccountName + hasło Uwierzytelnianie zintegrowane z systemem Windows Uwierzytelnianie certyfikatu i karty inteligentnej Alternatywny identyfikator logowania |
| Czy Windows Hello dla firm jest obsługiwana? | Model zaufania kluczy Zaufanie chmury hybrydowej |
Model zaufania kluczy Zaufanie chmury hybrydowej Oba wymagają poziomu funkcjonalności domeny systemu Windows Server 2016 |
Model zaufania kluczy Zaufanie chmury hybrydowej Model zaufania certyfikatów |
| Jakie są opcje uwierzytelniania wieloskładnikowego? | Uwierzytelnianie wieloskładnikowe firmy Microsoft Kontrolki niestandardowe z dostępem warunkowym* |
Uwierzytelnianie wieloskładnikowe firmy Microsoft Kontrolki niestandardowe z dostępem warunkowym* |
Uwierzytelnianie wieloskładnikowe firmy Microsoft Uwierzytelnianie wieloskładnikowe innej firmy Kontrolki niestandardowe z dostępem warunkowym* |
| Jakie stany konta użytkownika są obsługiwane? | Wyłączone konta (do 30 minut opóźnienia) |
Wyłączone konta Zablokowane konto Konto wygasło Hasło wygasło Godziny logowania |
Wyłączone konta Zablokowane konto Konto wygasło Hasło wygasło Godziny logowania |
| Jakie są opcje dostępu warunkowego? | Dostęp warunkowy firmy Microsoft Entra z identyfikatorem P1 lub P2 firmy Microsoft | Dostęp warunkowy firmy Microsoft Entra z identyfikatorem P1 lub P2 firmy Microsoft | Dostęp warunkowy firmy Microsoft Entra z identyfikatorem P1 lub P2 firmy Microsoft Reguły oświadczeń usług AD FS |
| Czy obsługiwane są starsze protokoły? | Tak | Tak | Tak |
| Czy można dostosować logo, obraz i opis na stronach logowania? | Tak, w przypadku identyfikatora Entra ID firmy Microsoft P1 lub P2 | Tak, w przypadku identyfikatora Entra ID firmy Microsoft P1 lub P2 | Tak |
| Jakie zaawansowane scenariusze są obsługiwane? | Blokada inteligentnego hasła Wyciekły raporty poświadczeń z identyfikatorem P2 firmy Microsoft |
Blokada inteligentnego hasła | System uwierzytelniania o małych opóźnieniach w wielu lokacjach Blokada ekstranetu usług AD FS Integracja z systemami tożsamości innych firm |
Uwaga
Kontrolki niestandardowe w usłudze Microsoft Entra Conditional Access nie obsługują obecnie rejestracji urządzeń.
Zalecenia
System tożsamości zapewnia użytkownikom dostęp do aplikacji migrowanych i udostępnianych w chmurze. Użyj lub włącz synchronizację skrótów haseł z wybraną metodą uwierzytelniania z następujących powodów:
Wysoka dostępność i odzyskiwanie po awarii. Uwierzytelnianie przekazywane i federacja opierają się na infrastrukturze lokalnej. W przypadku uwierzytelniania przekazywanego środowisko lokalne obejmuje sprzęt serwera i sieć wymagane przez agentów uwierzytelniania przekazywanego. W przypadku federacji lokalna powierzchnia jest jeszcze większa. Wymaga serwerów w sieci obwodowej do żądań uwierzytelniania serwera proxy i serwerów federacyjnych wewnętrznych.
Aby uniknąć pojedynczych punktów awarii, wdróż nadmiarowe serwery. Żądania uwierzytelniania będą zawsze obsługiwane, jeśli którykolwiek składnik ulegnie awarii. Zarówno uwierzytelnianie przekazywane, jak i federacja również polegają na kontrolerach domeny, aby reagować na żądania uwierzytelniania, co może również zakończyć się niepowodzeniem. Wiele z tych składników wymaga konserwacji, aby zachować dobrą kondycję. Awarie są bardziej prawdopodobne, gdy konserwacja nie jest planowana i implementowana prawidłowo.
Przetrwanie awarii w środowisku lokalnym. Konsekwencje awarii lokalnej z powodu cyberataku lub katastrofy mogą być znaczne, począwszy od uszkodzenia marki reputacji po sparaliżowaną organizację, która nie może poradzić sobie z atakiem. Ostatnio wiele organizacji padło ofiarą ataków złośliwego oprogramowania, w tym ukierunkowanego oprogramowania wymuszającego okup, co spowodowało, że ich serwery lokalne spadły. Gdy firma Microsoft pomaga klientom w radzeniu sobie z tego rodzaju atakami, widzi dwie kategorie organizacji:
Organizacje, które wcześniej włączały również synchronizację skrótów haseł na podstawie uwierzytelniania federacyjnego lub przekazywanego, zmieniły podstawową metodę uwierzytelniania, aby następnie używać synchronizacji skrótów haseł. Wrócili do internetu w ciągu kilku godzin. Korzystając z dostępu do poczty e-mail za pośrednictwem platformy Microsoft 365, pracowali nad rozwiązaniem problemów i uzyskiwaniem dostępu do innych obciążeń opartych na chmurze.
Organizacje, które wcześniej nie włączały synchronizacji skrótów haseł, musiały uciekać się do niezaufanych zewnętrznych systemów poczty e-mail konsumenckich w celu komunikacji w celu rozwiązania problemów. W takich przypadkach przywrócenie lokalnej infrastruktury tożsamości trwało kilka tygodni, zanim użytkownicy mogli ponownie zalogować się do aplikacji w chmurze.
Ochrona tożsamości. Jednym z najlepszych sposobów ochrony użytkowników w chmurze jest Ochrona tożsamości Microsoft Entra z identyfikatorem P2 firmy Microsoft. Firma Microsoft stale skanuje Internet pod kątem listy użytkowników i haseł, które złe podmioty sprzedają i udostępniają je w ciemnej sieci Web. Identyfikator entra firmy Microsoft może użyć tych informacji, aby sprawdzić, czy którakolwiek z nazw użytkowników i haseł w organizacji jest naruszona. W związku z tym niezwykle ważne jest włączenie synchronizacji skrótów haseł niezależnie od używanej metody uwierzytelniania, niezależnie od tego, czy jest to uwierzytelnianie federacyjne, czy przekazywane. Ujawnione poświadczenia są prezentowane jako raport. Użyj tych informacji, aby zablokować lub zmusić użytkowników do zmiany haseł podczas próby zalogowania się przy użyciu ujawnionych haseł.
Podsumowanie
W tym artykule opisano różne opcje uwierzytelniania, które organizacje mogą konfigurować i wdrażać w celu obsługi dostępu do aplikacji w chmurze. Aby spełnić różne wymagania biznesowe, zabezpieczenia i techniczne, organizacje mogą wybierać między synchronizacją skrótów haseł, uwierzytelnianiem z przekazywaniem i federacją.
Rozważ każdą metodę uwierzytelniania. Czy nakład pracy nad wdrożeniem rozwiązania, a środowisko użytkownika procesu logowania spełnia twoje wymagania biznesowe? Oceń, czy organizacja potrzebuje zaawansowanych scenariuszy i funkcji ciągłości działania każdej metody uwierzytelniania. Na koniec należy ocenić zagadnienia dotyczące każdej metody uwierzytelniania. Czy którykolwiek z nich uniemożliwia zaimplementowanie wybranego wyboru?
Następne kroki
W dzisiejszym świecie zagrożenia są obecne 24 godziny dziennie i pochodzą z każdego miejsca. Zaimplementuj poprawną metodę uwierzytelniania, aby ograniczyć zagrożenia bezpieczeństwa i chronić tożsamości.
Rozpocznij pracę z identyfikatorem Entra firmy Microsoft i wdróż odpowiednie rozwiązanie uwierzytelniania dla organizacji.
Jeśli myślisz o migracji z uwierzytelniania federacyjnego do chmury, dowiedz się więcej o zmianie metody logowania. Aby ułatwić planowanie i implementowanie migracji, należy użyć tych planów wdrażania projektu lub rozważyć użycie nowej funkcji wdrażania etapowego do migrowania użytkowników federacyjnych do korzystania z uwierzytelniania w chmurze w ramach podejścia etapowego.