Udostępnij za pośrednictwem


Memo 22-09 — system zarządzania tożsamościami w całym przedsiębiorstwie

M 22-09 Memorandum dla szefów departamentów wykonawczych i agencji wymaga od agencji opracowania planu konsolidacji dla swoich platform tożsamości. Celem jest posiadanie jak najmniej systemów tożsamości zarządzanych przez agencję w ciągu 60 dni od daty publikacji (28 marca 2022 r.). Istnieje kilka zalet konsolidowania platformy tożsamości:

  • Scentralizowane zarządzanie cyklem życia tożsamości, wymuszanie zasad i kontrolek z możliwością inspekcji
  • Jednolite możliwości i parzystość wymuszania
  • Zmniejszanie konieczności trenowania zasobów w wielu systemach
  • Umożliwianie użytkownikom logowania się raz, a następnie uzyskiwanie dostępu do aplikacji i usług w środowisku IT
  • Integracja z jak największą liczbą aplikacji agencyjnych
  • Używanie udostępnionych usług uwierzytelniania i relacji zaufania w celu ułatwienia integracji między agencjami

Dlaczego microsoft Entra ID?

Użyj identyfikatora Entra firmy Microsoft, aby wdrożyć zalecenia z memorandum 22-09. Identyfikator Entra firmy Microsoft ma kontrolki tożsamości, które obsługują inicjatywy Zero Trust. W przypadku usługi Microsoft Office 365 lub platformy Azure identyfikator Entra firmy Microsoft jest dostawcą tożsamości. Połączenie aplikacji i zasobów do identyfikatora Entra firmy Microsoft jako systemu tożsamości w całym przedsiębiorstwie.

Wymagania dotyczące logowania jednokrotnego

Notatka wymaga, aby użytkownicy logali się raz, a następnie uzyskiwali dostęp do aplikacji. Za pomocą logowania jednokrotnego (SSO) firmy Microsoft użytkownicy loguje się raz, a następnie uzyskują dostęp do usług i aplikacji w chmurze. Zobacz Microsoft Entra seamless single sign-on (Bezproblemowe logowanie jednokrotne firmy Microsoft).

Integracja między agencjami

Skorzystaj ze współpracy firmy Microsoft Entra B2B, aby spełnić wymagania ułatwiające integrację i współpracę między agencjami. Użytkownicy mogą znajdować się w dzierżawie firmy Microsoft w tej samej chmurze. Dzierżawy mogą znajdować się w innej chmurze firmy Microsoft lub w dzierżawie usługi Azure AD (dostawca tożsamości SAML/WS-Fed).

W przypadku ustawień dostępu między dzierżawami firmy Microsoft agencje zarządzają sposobem współpracy z innymi organizacjami firmy Microsoft Entra i innymi chmurami platformy Microsoft Azure:

  • Ogranicz dostęp użytkowników dzierżawców firmy Microsoft
  • Ustawienia na potrzeby dostępu użytkowników zewnętrznych, w tym wymuszania uwierzytelniania wieloskładnikowego i sygnału urządzenia

Więcej informacji:

Połączenie aplikacji

Aby skonsolidować i używać identyfikatora Entra firmy Microsoft jako systemu tożsamości w całym przedsiębiorstwie, przejrzyj zasoby, które znajdują się w zakresie.

Dokumentowanie aplikacji i usług

Utwórz spis aplikacji i usług, do których uzyskują dostęp użytkownicy. System zarządzania tożsamościami chroni to, co wie.

Klasyfikacja zasobów:

  • Poufność danych w tym miejscu
  • Przepisy dotyczące poufności, integralności lub dostępności danych i/lub informacji w głównych systemach
    • Powiedział prawa i przepisy, które mają zastosowanie do wymagań dotyczących ochrony informacji systemowych

W przypadku spisu aplikacji określ aplikacje korzystające z protokołów gotowych do użycia w chmurze lub starszych protokołów uwierzytelniania:

  • Aplikacje gotowe do chmury obsługują nowoczesne protokoły uwierzytelniania:
    • SAML
    • WS-Federation/Trust
    • Połączenie OpenID (OIDC)
    • OAuth 2.0.
  • Starsze aplikacje uwierzytelniania korzystają ze starszych lub zastrzeżonych metod uwierzytelniania:
    • Kerberos/NTLM (uwierzytelnianie systemu Windows)
    • Uwierzytelnianie na podstawie nagłówków
    • LDAP
    • Uwierzytelnianie podstawowe

Dowiedz się więcej o integracji firmy Microsoft z protokołami uwierzytelniania.

Narzędzia do odnajdywania aplikacji i usług

Firma Microsoft oferuje następujące narzędzia do obsługi odnajdywania aplikacji i usług.

Narzędzie Użycie
Analiza użycia usług Active Directory Federation Services (AD FS) Analizuje ruch uwierzytelniania serwera federacyjnego. Zobacz Monitorowanie usług AD FS przy użyciu usługi Microsoft Entra Połączenie Health
Microsoft Defender for Cloud Apps Skanuje dzienniki zapory w celu wykrywania aplikacji w chmurze, usług infrastruktury jako usługi (IaaS) i usług platformy jako usługi (PaaS). Integrowanie aplikacji Defender dla Chmury z usługą Defender dla punktu końcowego w celu odnajdywania danych analizowanych z urządzeń klienckich z systemem Windows. Zobacz omówienie aplikacji Microsoft Defender dla Chmury
Arkusz odnajdywania aplikacji Dokumentowanie bieżących stanów aplikacji. Zobacz arkusz odnajdywania aplikacji

Aplikacje mogą znajdować się w systemach innych niż microsoft, a narzędzia firmy Microsoft mogą nie odnajdywać tych aplikacji. Upewnij się, że pełny spis. Dostawcy potrzebują mechanizmów odnajdywania aplikacji korzystających z ich usług.

Określanie priorytetów aplikacji na potrzeby połączenia

Po odnalezieniu aplikacji w środowisku należy określić priorytety migracji. Rozważ następujące kwestie:

  • Znaczenie biznesowe
  • Profile użytkowników
  • Użycie
  • Żywotność

Dowiedz się więcej: Migrowanie uwierzytelniania aplikacji do identyfikatora Entra firmy Microsoft.

Połączenie aplikacji gotowych do chmury w kolejności priorytetów. Określ aplikacje korzystające ze starszych protokołów uwierzytelniania.

W przypadku aplikacji korzystających ze starszych protokołów uwierzytelniania:

  • W przypadku aplikacji z nowoczesnym uwierzytelnianiem skonfiguruj je ponownie, aby korzystały z identyfikatora Entra firmy Microsoft
  • W przypadku aplikacji bez nowoczesnego uwierzytelniania dostępne są dwie opcje:
    • Aktualizowanie kodu aplikacji w celu używania nowoczesnych protokołów przez zintegrowanie biblioteki Microsoft Authentication Library (MSAL)
    • Używanie serwera proxy aplikacji Firmy Microsoft Entra lub bezpiecznego dostępu partnera hybrydowego do bezpiecznego dostępu
  • Likwiduj dostęp do aplikacji, które nie są już potrzebne lub które nie są obsługiwane

Dowiedz się więcej

Połączenie urządzeń

Częścią scentralizowanego systemu zarządzania tożsamościami jest umożliwienie użytkownikom logowania się do urządzeń fizycznych i wirtualnych. Urządzenia z systemami Windows i Linux można połączyć w scentralizowanym systemie Microsoft Entra, co eliminuje wiele oddzielnych systemów tożsamości.

Podczas tworzenia spisu i określania zakresu zidentyfikuj urządzenia i infrastrukturę do zintegrowania z identyfikatorem Entra firmy Microsoft. Integracja umożliwia scentralizowanie uwierzytelniania i zarządzania przy użyciu zasad dostępu warunkowego z uwierzytelnianiem wieloskładnikowymi wymuszanymi za pośrednictwem identyfikatora Entra firmy Microsoft.

Narzędzia do odnajdywania urządzeń

Konta usługi Azure Automation umożliwiają identyfikowanie urządzeń za pośrednictwem kolekcji spisu połączonej z usługą Azure Monitor. Ochrona punktu końcowego w usłudze Microsoft Defender zawiera funkcje spisu urządzeń. Odnajdź urządzenia, na których skonfigurowano usługę Defender dla punktu końcowego, oraz te, które nie są skonfigurowane. Spis urządzeń pochodzi z systemów lokalnych, takich jak System Center Configuration Manager lub innych systemów, które zarządzają urządzeniami i klientami.

Więcej informacji:

Integrowanie urządzeń z identyfikatorem Entra firmy Microsoft

Urządzenia zintegrowane z identyfikatorem Entra firmy Microsoft są urządzeniami dołączonymi hybrydowo lub urządzeniami dołączonymi do firmy Microsoft Entra. Oddzielenie dołączania urządzeń według urządzeń klienckich i użytkowników oraz maszyn fizycznych i wirtualnych, które działają jako infrastruktura. Aby uzyskać więcej informacji na temat strategii wdrażania dla urządzeń użytkowników, zobacz poniższe wskazówki.

Następne kroki

Następujące artykuły są częścią tego zestawu dokumentacji: