Поделиться через

Меморандум 22-09. Система управления удостоверениями на уровне предприятия

  • Статья

М 22-09 Меморандум о главах исполнительных департаментов и учреждений требует, чтобы учреждения разработали план консолидации для своих платформ идентификации. Цель состоит в том, чтобы иметь как можно меньше систем управляемых агентством удостоверений в течение 60 дней после даты публикации (28 марта 2022 г.). Существует несколько преимуществ консолидации платформы удостоверений:

  • Централизованное управление жизненным циклом удостоверений, применением политик и проверяемыми элементами управления
  • Единые возможности и паритет принудительного применения.
  • Сокращение необходимости обучения ресурсов в нескольких системах
  • Разрешить пользователям войти один раз, а затем получить доступ к приложениям и службам в ИТ-среде
  • Интеграция с максимально возможным количеством приложений агентства
  • Использование общих служб проверки подлинности и отношений доверия для упрощения интеграции между агентствами

Почему идентификатор Microsoft Entra ID?

Используйте идентификатор Microsoft Entra для реализации рекомендаций из меморандума 22-09. Идентификатор Microsoft Entra id содержит элементы управления удостоверениями, поддерживающие инициативы нулевого доверия. С Microsoft Office 365 или Azure идентификатор Microsoft Entra id является поставщиком удостоверений (IdP). Подключение приложения и ресурсы в идентификатор Microsoft Entra в качестве корпоративной системы удостоверений.

Требования к единому входу

Для этого требуется, чтобы пользователи войдите один раз, а затем получите доступ к приложениям. С помощью единого входа Майкрософт пользователи войдите один раз, а затем получите доступ к облачным службам и приложениям. См. простой единый вход Microsoft Entra.

Интеграция между учреждениями

Используйте совместную работу Microsoft Entra B2B, чтобы обеспечить интеграцию и совместную работу между агентствами. Пользователи могут находиться в клиенте Майкрософт в том же облаке. Клиенты могут находиться в другом облаке Майкрософт или в клиенте, отличном от Azure AD (поставщик удостоверений SAML/WS-Fed).

С помощью параметров доступа между клиентами Microsoft Entra агентства управляют тем, как они взаимодействуют с другими организациями Microsoft Entra и другими облаками Microsoft Azure:

  • Ограничение доступа пользователей клиентов Майкрософт
  • Параметры для доступа внешних пользователей, включая применение многофакторной проверки подлинности и сигнал устройства

Подробнее:

Подключение приложений

Чтобы объединить и использовать идентификатор Microsoft Entra в качестве корпоративной системы удостоверений, просмотрите ресурсы, которые находятся в область.

Регистрация приложений и служб

Создайте инвентаризацию доступа пользователей приложений и служб. Система управления удостоверениями защищает то, что он знает.

Классификация ресурсов.

  • Конфиденциальность данных в нем
  • Законы и правила для конфиденциальности, целостности или доступности данных и /или информации в основных системах
    • Указанные законы и правила, применимые к требованиям к системной защите информации

Для инвентаризации приложений определите приложения, использующие облачные протоколы или устаревшие протоколы проверки подлинности:

  • Приложения, готовые к облаку, поддерживают современные протоколы для проверки подлинности:
    • SAML
    • WS-Federation/Trust
    • OpenID Connect (OIDC)
    • OAuth 2.0.
  • Устаревшие приложения проверки подлинности используют старые или собственные методы проверки подлинности:
    • Kerberos/NTLM (проверка подлинности Windows)
    • Проверка подлинности на основе заголовков
    • LDAP
    • Обычная проверка подлинности

Дополнительные сведения об интеграции Microsoft Entra с протоколами проверки подлинности.

Средства обнаружения приложений и служб

Корпорация Майкрософт предлагает следующие средства для поддержки обнаружения приложений и служб.

Средство Использование
Аналитика по использованию для служб федерации Active Directory (AD FS) Анализирует трафик проверки подлинности федеративного сервера. См. мониторинг AD FS с помощью Microsoft Entra Подключение Health
Microsoft Defender для облачных приложений Сканирует журналы брандмауэра для обнаружения облачных приложений, служб инфраструктуры как службы (IaaS) и платформы как службы (PaaS). Интеграция приложений Defender для облака с Defender для конечной точки для обнаружения данных, проанализированных с клиентских устройств Windows. Общие сведения о приложениях Microsoft Defender для облака
Лист обнаружения приложений Задокументируйте текущие состояния приложений. См. лист обнаружения приложений

Ваши приложения могут находиться в системах, отличных от Майкрософт, и средства Майкрософт могут не обнаруживать эти приложения. Убедитесь в полном инвентаризации. Поставщики нуждаются в механизмах обнаружения приложений, использующих свои службы.

Приоритизация приложений до подключения

После обнаружения приложений в вашей среде определите приоритеты для миграции. Необходимо учесть следующие моменты.

  • Важность для бизнеса
  • Профили пользователей
  • Использование
  • Срок службы

Дополнительные сведения. Перенос проверки подлинности приложения на идентификатор Microsoft Entra.

Подключение ваши облачные приложения в порядке приоритета. Определите приложения, использующие устаревшие протоколы проверки подлинности.

Для приложений, использующих устаревшие протоколы проверки подлинности:

  • Для приложений с современной проверкой подлинности перенастройка их для использования идентификатора Microsoft Entra
  • Для приложений без современной проверки подлинности существует два варианта:
    • Обновление кода приложения для использования современных протоколов путем интеграции библиотеки проверки подлинности Майкрософт (MSAL)
    • Использование прокси приложения Microsoft Entra или безопасного гибридного доступа партнера для безопасного доступа
  • Прекращение доступа к приложениям больше не требуется или не поддерживается

Подробнее

Подключение устройств

Часть централизованной системы управления удостоверениями позволяет пользователям входить на физические и виртуальные устройства. Вы можете подключить устройства Windows и Linux в централизованной системе Microsoft Entra, что устраняет несколько отдельных систем удостоверений.

Во время инвентаризации и области определите устройства и инфраструктуру для интеграции с идентификатором Microsoft Entra. Интеграция централизованно выполняет проверку подлинности и управление с помощью политик условного доступа с многофакторной проверкой подлинности, применяемой с помощью идентификатора Microsoft Entra.

Средства для обнаружения устройств

Вы можете использовать учетные записи службы автоматизации Azure для идентификации устройств с помощью коллекции инвентаризации, подключенной к Azure Monitor. Microsoft Defender для конечной точки имеет функции инвентаризации устройств. Найдите устройства с настроенными Defender для конечной точки и теми, которые не настроены. Инвентаризация устройств поступает из локальных систем, таких как System Center Configuration Manager или другие системы, управляющие устройствами и клиентами.

Подробнее:

Интеграция устройств с идентификатором Microsoft Entra

Устройства, интегрированные с идентификатором Microsoft Entra, являются гибридными устройствами или устройствами, присоединенными к Microsoft Entra. Разделение подключения устройств по клиентским и пользовательским устройствам, а также физическим и виртуальным машинам, работающим в качестве инфраструктуры. Дополнительные сведения о стратегии развертывания для пользовательских устройств см. в следующих рекомендациях.

Следующие шаги

В эту документацию входят следующие статьи: