Планы развертывания Azure Active Directory

Ищете полное руководство по развертыванию возможностей Azure Active Directory (Azure AD)? В планах развертывания AAD описаны бизнес-преимущества, рекомендации по планированию и операционные процедуры, необходимые для успешного развертывания самых распространенных возможностей AAD.

На любой из страниц плана можно воспользоваться предоставляемой браузером функцией печати в PDF, чтобы создать автономную версию актуальной документации.

Развертывание проверки подлинности

Возможности Описание
Многофакторная проверка подлинности в Azure AD Многофакторная проверка подлинности (MFA) Azure AD — это решение Майкрософт для двухэтапной проверки. С помощью утвержденных администратором методов проверки подлинности Azure AD MFA помогает защитить доступ к данным и приложениям, при этом не усложняя простой процесс входа в систему. Посмотрите видео, о том, как настраивать и применять многофакторную проверку подлинности в клиенте.
Условный доступ Благодаря условному доступу вы можете внедрять автоматизированные решения по управлению доступом, определяющие, кто может получать доступ к облачным приложениям, исходя из условий.
Самостоятельный сброс пароля Самостоятельный сброс пароля дает пользователям возможность сбрасывать пароль без вмешательства администратора где и когда им нужно.
Вход без пароля Реализация аутентификации без пароля в организации с помощью приложения Microsoft Authenticator или ключей безопасности FIDO2

Развертывание управления устройствами и приложениями

Возможности Описание
Единый вход Единый вход помогает пользователям обращаться ко всем приложениям и ресурсам, которые им нужны для работы, выполнив вход всего один раз. После успешной проверки подлинности они смогут свободно переключаться между Microsoft Office, SalesForce, Box и внутренними приложениями без повторных запросов на ввод учетных данных.
Мои приложения Предоставляет пользователям простой центр для обнаружения приложений и доступа к ним. Повысьте продуктивность сотрудников, предоставив им возможности самообслуживания. Разрешите им, например, запрашивать доступ к приложениям и группам или управлять доступом к ресурсам от лица других пользователей.
Устройства Эта статья поможет вам оценить методы интеграции устройства с Azure AD, выбрать план реализации и предоставить основные ссылки на поддерживаемые средства управления устройствами.

Развертывание гибридных сценариев

Возможности Описание
Переход с AD FS к аутентификации пользователей в облаке Узнайте, как перенести аутентификацию пользователей из федерации в облако с помощью сквозной аутентификации или синхронизации хэшей паролей.
Azure Active Directory Application Proxy Сегодня сотрудникам нужно продуктивно работать без привязки к расположению, времени и оборудованию. Им требуется доступ к приложениям SaaS в облаке и корпоративным приложениям в локальной среде. Прокси приложения Azure AD обеспечивает такой надежный доступ без дорогостоящих и сложных виртуальных частных сетей (VPN) и промежуточных подсетей.
Простой единый вход Простой единый вход Azure Active Directory автоматически обеспечивает пользователям вход в систему, когда они работают на корпоративных устройствах, подключенных к корпоративной сети. Благодаря этой возможности пользователям не нужно вводить пароль для входа в AAD, а в большинстве случаев даже не нужно вводить имя пользователя. Полномочные пользователи получат удобный доступ к облачным приложениям без установки дополнительных локальных компонентов.

Развертывание подготовки пользователей

Возможности Описание
Подготовка пользователей Служба Azure AD помогает автоматизировать процесс создания, обслуживания и удаления удостоверений пользователей в облачных приложениях (SaaS), таких как Dropbox, Salesforce, ServiceNow и других.
Подготовка пользователей с помощью облачной службы для отдела кадров Подготовка пользователей для Active Directory с помощью облачной службы для отдела кадров создает основу для текущих процессов управления удостоверениями и улучшает бизнес-процессы, которые зависят от достоверных данных удостоверений. Используя эту возможность совместно с Workday, Successfactors или другим облачным решением для отдела кадров, вы можете легко управлять жизненным циклом удостоверений сотрудников с полной и частичной занятостью, настроив правила, которые сопоставляют процессы приема на работу, перехода в другой отдел и увольнения (например, "Новый сотрудник", "Увольнение", "Перевод") с действиями по подготовке, которую выполняют сотрудники ИТ-отдела (создание, включение, отключение).
Взаимодействие бизнес-бизнес Azure AD Azure AD позволяет взаимодействовать с любым внешним пользователем и разрешить ему безопасно получать доступ к приложениям SaaS и бизнес-приложениям.

Развертывание системы управления и создания отчетов

Возможности Описание
Управление привилегированными пользователями Azure AD Privileged Identity Management (PIM) позволяет управлять привилегированными административными ролями в Azure AD, ресурсах Azure и других службах Microsoft Online Services. PIM предоставляет такие решения, как JIT-доступ, рабочие процессы утверждения запросов и полностью интегрированные проверки доступа, что позволяет выявлять, обнаруживать и предотвращать вредоносные действия привилегированных ролей в режиме реального времени.
Создание отчетов и мониторинг Архитектура решения для создания отчетов и мониторинга в AAD будет разной в зависимости от действующих требований законодательства, безопасности и эксплуатации, а также от существующих сред и процессов. В этой статье представлены разные варианты архитектуры и рекомендации по выбору стратегии развертывания.
Проверки доступа Проверки доступа являются важной частью стратегии управления, позволяя вам узнать, кто и к чему имеет доступ. Эта статья поможет вам спланировать и развернуть проверки доступа для достижения желаемых условий для безопасности и совместной работы.
Управление удостоверениями для приложений В набор элементов управления вашей организации, предназначенных для обеспечения соответствия и управления рисками при управлении доступом в критически важных приложениях, можно включить возможности Azure AD по настройке и применению нужного уровня доступа.

Включение соответствующих заинтересованных лиц

При планировании развертывания новой возможности важно с самого начала привлечь всех заинтересованных лиц в организации. Мы рекомендуем определить и задокументировать конкретных людей, которые выполняют каждую из следующих ролей, а затем совместно с ними определить порядок их участия в проекте.

Можно использовать следующие роли:

Роль Описание
Пользователь Репрезентативная группа пользователей, для которых будет реализована новая возможность. Часто им предоставляется возможность испытать изменения в рамках пилотной программы.
Менеджер по ИТ-поддержке Представитель организации, обеспечивающей ИТ-поддержку, который может оценить возможности по поддержке предложенного изменения с точки зрения службы технической поддержки. 
Архитектор удостоверений или глобальный администратор Azure Представитель команды по управлению удостоверениями, ответственный за определение соответствия изменения основной инфраструктуре управления удостоверениями в организации.
Ответственный за приложение Руководитель в организации, ответственный за изменяемое приложение и, возможно, выполняющий управление им.  Также может предоставлять информацию о взаимодействии с пользователями и полезности предлагаемого изменения для пользователей.
Ответственный за безопасность Представитель команды обеспечения безопасности, который может подтвердить соответствие плана требованиям к безопасности вашей организации.
Диспетчер соответствия требованиям Представитель организации, отвечающий за обеспечение соответствия корпоративным, отраслевым или государственным требованиям.

Можно использовать такие уровни участия:

  • ответственность за создание и применение плана проекта;

  • утверждение создания и применения плана проекта;

  • участие в создании и применении плана проекта;

  • получение информации о создании и применении плана проекта.

Рекомендации по пилотным проектам

Пилотный проект позволяет протестировать возможность на небольшой группе, прежде чем включать ее для всех. Убедитесь, что в рамках тестирования тщательно проверяется каждый вариант использования в вашей организации. Лучше всего предоставить возможность конкретной группе пилотных пользователей, прежде чем развертывать ее для всей организации.

Первая волна должна быть нацелена на ИТ-специалистов, специалистов по удобству использования и других пользователей, которые могут тестировать и предоставлять отзывы. Используйте эти отзывы для дальнейшей разработки коммуникаций и инструкций, которые вы отправляете пользователям, а также для предоставления ценных сведений о типах проблем, с которыми могут столкнуться сотрудники службы поддержки.

Расширение развертывания на более широкие группы пользователей должно выполняться путем расширения области охвата. Это можно сделать с помощью динамического членства в группе или вручную путем добавления пользователей в целевые группы.