Omówienie zabezpieczeń zarządzania tożsamościami na platformie Azure

Zarządzanie tożsamościami to proces uwierzytelniania i autoryzowania podmiotów zabezpieczeń. Obejmuje to również kontrolowanie informacji o tych podmiotach zabezpieczeń (tożsamości). Podmioty zabezpieczeń (tożsamości) mogą obejmować usługi, aplikacje, użytkowników, grupy itp. Rozwiązania do zarządzania tożsamościami i dostępem firmy Microsoft ułatwiają działowi IT ochronę dostępu do aplikacji i zasobów w firmowym centrum danych i w chmurze. Taka ochrona umożliwia dodatkowe poziomy weryfikacji, takie jak uwierzytelnianie wieloskładnikowe i zasady dostępu warunkowego. Monitorowanie podejrzanych działań za pomocą zaawansowanego raportowania zabezpieczeń, inspekcji i alertów pomaga wyeliminować potencjalne problemy z zabezpieczeniami. Microsoft Entra ID P1 lub P2 zapewnia logowanie jednokrotne (SSO) do tysięcy aplikacji oprogramowania jako usługi w chmurze (SaaS) i dostępu do aplikacji internetowych, które są uruchamiane lokalnie.

Korzystając z zalet zabezpieczeń identyfikatora Entra firmy Microsoft, możesz:

• Utwórz jedną tożsamość dla każdego użytkownika w całym przedsiębiorstwie hybrydowym i zarządzaj nią, synchronizując użytkowników, grupy i urządzenia.
• Zapewnianie dostępu do logowania jednokrotnego do aplikacji, w tym tysięcy wstępnie zintegrowanych aplikacji SaaS.
• Włącz zabezpieczenia dostępu do aplikacji, wymuszając uwierzytelnianie wieloskładnikowe oparte na regułach zarówno dla aplikacji lokalnych, jak i aplikacji w chmurze.
• Aprowizuj bezpieczny dostęp zdalny do lokalnych aplikacji internetowych za pośrednictwem serwera proxy aplikacji Firmy Microsoft Entra.

Celem tego artykułu jest przedstawienie przeglądu podstawowych funkcji zabezpieczeń platformy Azure, które ułatwiają zarządzanie tożsamościami. Udostępniamy również linki do artykułów, które zawierają szczegółowe informacje o każdej funkcji, aby dowiedzieć się więcej.

Ten artykuł koncentruje się na następujących podstawowych możliwościach zarządzania tożsamościami platformy Azure:

• Logowanie jednokrotne
• Zwrotny serwer proxy
• Uwierzytelnianie wieloskładnikowe
• Kontrola dostępu na podstawie ról na platformie Azure (Azure RBAC)
• Monitorowanie zabezpieczeń, alerty i raporty oparte na uczeniu maszynowym
• Zarządzanie tożsamościami i dostępem klientów
• Rejestracja urządzenia
• Privileged identity management
• Identity Protection
• Hybrydowe zarządzanie tożsamościami/Azure AD Connect
• Przeglądy dostępu firmy Microsoft Entra

Logowanie jednokrotne

Logowanie jednokrotne (SSO) oznacza możliwość uzyskiwania dostępu do wszystkich aplikacji i zasobów potrzebnych do prowadzenia działalności biznesowej przez zalogowanie się tylko raz przy użyciu jednego konta użytkownika. Po zalogowaniu można uzyskać dostęp do wszystkich potrzebnych aplikacji bez konieczności uwierzytelniania (na przykład wpisywania hasła) po raz drugi.

Wiele organizacji korzysta z aplikacji SaaS, takich jak Microsoft 365, Box i Salesforce, aby zwiększyć produktywność użytkowników. Historycznie pracownicy IT musieli indywidualnie tworzyć i aktualizować konta użytkowników w każdej aplikacji SaaS, a użytkownicy musieli zapamiętać hasło dla każdej aplikacji SaaS.

Identyfikator Entra firmy Microsoft rozszerza lokalna usługa Active Directory środowiska do chmury, umożliwiając użytkownikom logowanie się nie tylko do urządzeń przyłączonych do domeny i zasobów firmy, ale także do wszystkich aplikacji internetowych i SaaS, których potrzebują do swoich zadań.

Nie tylko użytkownicy nie muszą zarządzać wieloma zestawami nazw użytkowników i haseł, można automatycznie aprowizować lub co najmniej deprowizować dostęp do aplikacji na podstawie ich grup organizacyjnych i stanu pracownika. Microsoft Entra ID wprowadza mechanizmy kontroli ładu zabezpieczeń i dostępu, za pomocą których można centralnie zarządzać dostępem użytkowników w aplikacjach SaaS.

Więcej informacji:

• Omówienie logowania jednokrotnego
• Wideo dotyczące podstaw uwierzytelniania
• Seria Szybki start dotycząca zarządzania aplikacjami

Zwrotny serwer proxy

Serwer proxy aplikacji Firmy Microsoft Entra umożliwia publikowanie aplikacji w sieci prywatnej, takich jak witryny programu SharePoint , aplikacja Outlook Web App i aplikacje oparte na usługach IIS w sieci prywatnej oraz bezpieczny dostęp do użytkowników spoza sieci. serwer proxy aplikacji zapewnia dostęp zdalny i logowanie jednokrotne dla wielu typów lokalnych aplikacji internetowych z tysiącami aplikacji SaaS, które obsługuje microsoft Entra ID. Pracownicy mogą logować się do aplikacji z domu na własnych urządzeniach i uwierzytelniać się za pośrednictwem tego opartego na chmurze serwera proxy.

Więcej informacji:

• Włączanie serwera proxy aplikacji Entra firmy Microsoft
• Publikowanie aplikacji przy użyciu serwera proxy aplikacji Entra firmy Microsoft
• Logowanie jednokrotne z usługą serwer proxy aplikacji
• Praca z dostępem warunkowym

Uwierzytelnianie wieloskładnikowe

Microsoft Entra multifactor authentication to metoda uwierzytelniania, która wymaga użycia więcej niż jednej metody weryfikacji i dodaje krytyczną drugą warstwę zabezpieczeń do logowania i transakcji użytkownika. Uwierzytelnianie wieloskładnikowe pomaga chronić dostęp do danych i aplikacji, jednocześnie spełniając wymagania użytkowników dotyczące prostego procesu logowania. Zapewnia silne uwierzytelnianie za pośrednictwem różnych opcji weryfikacji: połączeń telefonicznych, wiadomości SMS lub powiadomień aplikacji mobilnych lub kodów weryfikacyjnych i tokenów OAuth innych firm.

Dowiedz się więcej: Jak działa uwierzytelnianie wieloskładnikowe firmy Microsoft

Kontrola dostępu na podstawie ról platformy Azure

Kontrola dostępu oparta na rolach platformy Azure to system autoryzacji oparty na usłudze Azure Resource Manager, który zapewnia szczegółowe zarządzanie dostępem zasobów na platformie Azure. Kontrola dostępu oparta na rolach platformy Azure umożliwia szczegółową kontrolę poziomu dostępu użytkowników. Można na przykład ograniczyć użytkownikowi zarządzanie sieciami wirtualnymi i innym użytkownikiem do zarządzania wszystkimi zasobami w grupie zasobów. Na platformie Azure można korzystać z kilku ról wbudowanych. Poniżej wymieniono cztery podstawowe role wbudowane. Pierwsze trzy są stosowane do wszystkich typów zasobów.

• Właściciel — ma pełny dostęp do wszystkich zasobów i jest uprawniony do udzielania dostępu innym osobom.
• Współautor — może tworzyć wszystkie typy zasobów platformy Azure i zarządzać nimi, ale nie może udzielać dostępu innym osobom.
• Czytelnik — może wyświetlać istniejące zasoby platformy Azure.
• Administrator dostępu użytkowników — może zarządzać dostępem użytkowników do zasobów platformy Azure.

Więcej informacji:

• Co to jest kontrola dostępu oparta na rolach na platformie Azure (Azure RBAC)?
• Role wbudowane platformy Azure

Monitorowanie zabezpieczeń, alerty i raporty oparte na uczeniu maszynowym

Monitorowanie zabezpieczeń, alerty i raporty oparte na uczeniu maszynowym, które identyfikują niespójne wzorce dostępu, mogą pomóc w ochronie firmy. Możesz użyć raportów dostępu i użycia identyfikatora Entra firmy Microsoft, aby uzyskać wgląd w integralność i bezpieczeństwo katalogu organizacji. Dzięki tym informacjom administrator katalogu może lepiej określić, gdzie mogą istnieć możliwe zagrożenia bezpieczeństwa, dzięki czemu mogą odpowiednio zaplanować ograniczenie tych zagrożeń.

W witrynie Azure Portal raporty należą do następujących kategorii:

• Raporty anomalii: zawierają zdarzenia logowania, które okazały się nietypowe. Naszym celem jest informowanie o takich działaniach i umożliwienie ustalenia, czy zdarzenie jest podejrzane.
• Raporty zintegrowanej aplikacji: zapewniają wgląd w sposób, w jaki aplikacje w chmurze są używane w organizacji. Microsoft Entra ID oferuje integrację z tysiącami aplikacji w chmurze.
• Raporty o błędach: wskazują błędy, które mogą wystąpić podczas aprowizacji kont w aplikacjach zewnętrznych.
• Raporty specyficzne dla użytkownika: Wyświetlanie danych aktywności logowania urządzenia dla określonego użytkownika.
• Dzienniki aktywności: zawierają rekord wszystkich zdarzeń inspekcji w ciągu ostatnich 24 godzin, ostatnich 7 dni lub ostatnich 30 dni oraz zmiany działań grupy oraz resetowanie hasła i działania rejestracji.

Dowiedz się więcej: Przewodnik raportowania identyfikatorów entra firmy Microsoft

Zarządzanie tożsamościami i dostępem klientów

Usługa Azure AD B2C to globalna, globalna usługa zarządzania tożsamościami dla aplikacji przeznaczonych dla konsumentów, która jest skalowana do setek milionów tożsamości. Można ją łatwo integrować z platformami mobilnymi i platformami sieci Web. Użytkownicy mogą logować się do wszystkich aplikacji za pomocą dostosowywalnych środowisk przy użyciu istniejących kont społecznościowych lub tworząc nowe poświadczenia.

W przeszłości deweloperzy aplikacji, którzy chcieli zarejestrować klientów i zalogować się do swoich aplikacji, napisali własny kod. Musieli korzystać z lokalnych baz danych lub systemów do przechowywania nazw i haseł użytkowników. Usługa Azure AD B2C oferuje twojej organizacji lepszy sposób integrowania zarządzania tożsamościami konsumentów z aplikacjami przy użyciu bezpiecznej platformy opartej na standardach i dużego zestawu rozszerzalnych zasad.

W przypadku korzystania z usługi Azure AD B2C użytkownicy mogą rejestrować się w swoich aplikacjach przy użyciu istniejących kont społecznościowych (Facebook, Google, Amazon, LinkedIn) lub tworząc nowe poświadczenia (adres e-mail i hasło lub nazwę użytkownika i hasło).

Więcej informacji:

• Co to jest usługa Azure Active Directory B2C?
• Azure Active Directory B2C: typy aplikacji

Rejestracja urządzenia

Rejestracja urządzeń firmy Microsoft Entra jest podstawą scenariuszy dostępu warunkowego opartego na urządzeniach. Po zarejestrowaniu urządzenia rejestracja urządzenia w usłudze Microsoft Entra udostępnia urządzeniu tożsamość, która jest używana do uwierzytelniania urządzenia podczas logowania użytkownika. Uwierzytelnione urządzenie i atrybuty urządzenia mogą następnie służyć do wymuszania zasad dostępu warunkowego dla aplikacji hostowanych w chmurze i lokalnie.

W połączeniu z rozwiązaniem do zarządzania urządzeniami przenośnymi, takim jak usługa Intune, atrybuty urządzenia w identyfikatorze Entra firmy Microsoft są aktualizowane przy użyciu dodatkowych informacji o urządzeniu. Następnie można utworzyć reguły dostępu warunkowego, które wymuszają dostęp z urządzeń w celu spełnienia standardów zabezpieczeń i zgodności.

Więcej informacji:

• Wprowadzenie do rejestracji urządzeń w usłudze Microsoft Entra
• Automatyczna rejestracja urządzeń przy użyciu identyfikatora Entra firmy Microsoft dla urządzeń przyłączonych do domeny systemu Windows

Privileged identity management

Dzięki usłudze Microsoft Entra Privileged Identity Management możesz zarządzać tożsamościami uprzywilejowanymi i monitorować je oraz monitorować dostęp do zasobów w usłudze Microsoft Entra ID, a także innych Usługi online firmy Microsoft, takich jak Microsoft 365 i Microsoft Intune.

Użytkownicy czasami muszą wykonywać operacje uprzywilejowane na platformie Azure lub w zasobach platformy Microsoft 365 lub w innych aplikacjach SaaS. Często oznacza to, że organizacje muszą zapewnić użytkownikom stały uprzywilejowany dostęp w identyfikatorze Entra firmy Microsoft. Taki dostęp stanowi rosnące zagrożenie bezpieczeństwa dla zasobów hostowanych w chmurze, ponieważ organizacje nie mogą wystarczająco monitorować tego, co użytkownicy robią z uprawnieniami administratora. Ponadto w przypadku naruszenia zabezpieczeń konta użytkownika z uprzywilejowanym dostępem jedno naruszenie może mieć wpływ na ogólne zabezpieczenia w chmurze organizacji. Usługa Microsoft Entra Privileged Identity Management pomaga ograniczyć to ryzyko.

Usługa Microsoft Entra Privileged Identity Management umożliwia:

• Zobacz, którzy użytkownicy są administratorami firmy Microsoft Entra.
• Włącz dostęp administracyjny just in time (JIT) na żądanie do usługi firmy Microsoft, takich jak platforma Microsoft 365 i usługa Intune.
• Uzyskiwanie raportów dotyczących historii dostępu administratora i zmian w przypisaniach administratorów.
• Uzyskaj alerty dotyczące dostępu do roli uprzywilejowanej.

Więcej informacji:

• Co to jest microsoft Entra Privileged Identity Management?
• Przypisywanie ról katalogu entra firmy Microsoft w usłudze PIM

Identity Protection

Ochrona tożsamości Microsoft Entra to usługa zabezpieczeń, która zapewnia skonsolidowany wgląd w wykrywanie ryzyka i potencjalne luki w zabezpieczeniach wpływające na tożsamości organizacji. Usługa Identity Protection korzysta z istniejących funkcji wykrywania anomalii firmy Microsoft, które są dostępne za pośrednictwem raportów o nietypowych działaniach firmy Microsoft. Usługa Identity Protection wprowadza również nowe typy wykrywania ryzyka, które mogą wykrywać anomalie w czasie rzeczywistym.

Dowiedz się więcej: Ochrona tożsamości Microsoft Entra

Hybrydowe zarządzanie tożsamościami (Microsoft Entra Połączenie)

Rozwiązania tożsamości firmy Microsoft obejmują możliwości lokalne i oparte na chmurze, tworząc jedną tożsamość użytkownika na potrzeby uwierzytelniania i autoryzacji dla wszystkich zasobów, niezależnie od lokalizacji. Nazywamy to tożsamością hybrydową. Microsoft Entra Połączenie to narzędzie firmy Microsoft przeznaczone do osiągania celów związanych z tożsamością hybrydową i osiągania ich. Dzięki temu można zapewnić wspólną tożsamość dla użytkowników aplikacji platformy Microsoft 365, platformy Azure i SaaS zintegrowanych z identyfikatorem Entra firmy Microsoft. Oferuje ono następujące funkcje:

• Synchronizacja
• Integracja usług AD FS i federacji
• Przekazywanie uwierzytelniania
• Monitorowanie kondycji

Więcej informacji:

• Oficjalny dokument tożsamości hybrydowej
• Tożsamość Microsoft Entra

Przeglądy dostępu firmy Microsoft Entra

Przeglądy dostępu firmy Microsoft Entra umożliwiają organizacjom efektywne zarządzanie członkostwem w grupach, dostępem do aplikacji dla przedsiębiorstw i przypisaniami ról uprzywilejowanych.

Dowiedz się więcej: Przeglądy dostępu firmy Microsoft Entra