Säkerhetsöversikt för identitetshantering i Azure

  • Artikel

Identitetshantering är processen att autentisera och auktorisera säkerhetsobjekt. Det handlar också om att kontrollera information om dessa huvudnamn (identiteter). Säkerhetsobjekt (identiteter) kan omfatta tjänster, program, användare, grupper osv. Microsofts lösningar för identitets- och åtkomsthantering hjälper IT att skydda åtkomsten till program och resurser i företagets datacenter och till molnet. Ett sådant skydd möjliggör ytterligare valideringsnivåer, till exempel multifaktorautentisering och principer för villkorsstyrd åtkomst. Genom att övervaka misstänkt aktivitet via avancerad säkerhetsrapportering, granskning och aviseringar kan du undvika potentiella säkerhetsproblem. Microsoft Entra ID P1 eller P2 tillhandahåller enkel inloggning (SSO) till tusentals saaS-appar (molnprogramvara som en tjänst) och åtkomst till webbappar som du kör lokalt.

Genom att dra nytta av säkerhetsfördelarna med Microsoft Entra ID kan du:

  • Skapa och hantera en enda identitet för varje användare i hybridföretaget och synkronisera användare, grupper och enheter.
  • Ge enkel inloggning till dina program, inklusive tusentals förintegrerade SaaS-appar.
  • Aktivera säkerhet för programåtkomst genom att framtvinga regelbaserad multifaktorautentisering för både lokala program och molnprogram.
  • Etablera säker fjärråtkomst till lokala webbprogram via Microsoft Entra-programproxy.

Målet med den här artikeln är att ge en översikt över de grundläggande Säkerhetsfunktionerna i Azure som hjälper till med identitetshantering. Vi tillhandahåller även länkar till artiklar som ger information om varje funktion så att du kan lära dig mer.

Artikeln fokuserar på följande grundläggande funktioner för azure-identitetshantering:

  • Enkel inloggning
  • Omvänd proxy
  • Multifaktorautentisering
  • Rollbaserad åtkomstkontroll i Azure (Azure RBAC)
  • Säkerhetsövervakning, aviseringar och maskininlärningsbaserade rapporter
  • Hantering av konsumentidentitet och åtkomst
  • Enhetsregistrering
  • Privileged Identity Management
  • Identity Protection
  • Hybrididentitetshantering/Azure AD Connect
  • Microsoft Entra-åtkomstgranskningar

Enkel inloggning

Enkel inloggning innebär att du kan komma åt alla program och resurser som du behöver för att göra affärer genom att bara logga in en gång med ett enda användarkonto. När du har loggat in kan du komma åt alla program som du behöver utan att behöva autentisera (till exempel ange ett lösenord) en andra gång.

Många organisationer förlitar sig på SaaS-program som Microsoft 365, Box och Salesforce för användarproduktivitet. Tidigare behövde IT-personalen skapa och uppdatera användarkonton individuellt i varje SaaS-program, och användarna var tvungna att komma ihåg ett lösenord för varje SaaS-program.

Microsoft Entra-ID utökar lokal Active Directory miljöer till molnet, vilket gör det möjligt för användare att använda sitt primära organisationskonto för att logga in inte bara på sina domänanslutna enheter och företagsresurser, utan även till alla webb- och SaaS-program som de behöver för sina jobb.

Användare behöver inte bara hantera flera uppsättningar med användarnamn och lösenord, du kan etablera eller avetablera programåtkomst automatiskt, baserat på deras organisationsgrupper och deras anställdas status. Microsoft Entra ID introducerar säkerhets- och åtkomststyrningskontroller som du centralt kan hantera användarnas åtkomst till i SaaS-program.

Läs mer:

Omvänd proxy

Med Microsoft Entra-programproxy kan du publicera program i ett privat nätverk, till exempel SharePoint-webbplatser , Outlook Web App och IIS-baserade appar i ditt privata nätverk och ge säker åtkomst till användare utanför nätverket. Programproxy ger fjärråtkomst och enkel inloggning för många typer av lokala webbprogram med de tusentals SaaS-program som Microsoft Entra ID stöder. Anställda kan logga in på dina appar hemifrån på sina egna enheter och autentisera via den här molnbaserade proxyn.

Läs mer:

Multifaktorautentisering

Microsoft Entra multifaktorautentisering är en autentiseringsmetod som kräver användning av mer än en verifieringsmetod och lägger till ett kritiskt andra säkerhetslager för användarinloggningar och transaktioner. Multifaktorautentisering hjälper till att skydda åtkomsten till data och program samtidigt som användarens efterfrågan på en enkel inloggningsprocess uppfylls. Det ger stark autentisering via en rad verifieringsalternativ: telefonsamtal, textmeddelanden eller mobilappaviseringar eller verifieringskoder och OAuth-token från tredje part.

Läs mer: Så här fungerar Multifaktorautentisering i Microsoft Entra

Azure RBAC

Azure RBAC är ett auktoriseringssystem som bygger på Azure Resource Manager som ger detaljerad åtkomsthantering av resurser i Azure. Med Azure RBAC kan du kontrollera vilken åtkomstnivå som användarna har. Du kan till exempel begränsa en användare till att endast hantera virtuella nätverk och en annan användare för att hantera alla resurser i en resursgrupp. Azure innehåller flera inbyggda roller som du kan använda. Följande listar fyra grundläggande inbyggda roller. De första tre gäller för alla resurstyper.

  • Ägare – Har fullständig åtkomst till alla resurser, inklusive rätten att delegera åtkomst till andra.
  • Deltagare – Kan skapa och hantera alla typer av Azure-resurser, men kan inte bevilja åtkomst till andra.
  • Läsare – kan visa befintliga Azure-resurser.
  • Administratör för användaråtkomst – Kan hantera användarnas åtkomst till Azure-resurser.

Läs mer:

Säkerhetsövervakning, aviseringar och maskininlärningsbaserade rapporter

Säkerhetsövervakning, aviseringar och maskininlärningsbaserade rapporter som identifierar inkonsekventa åtkomstmönster kan hjälpa dig att skydda ditt företag. Du kan använda Åtkomst- och användningsrapporter för Microsoft Entra-ID för att få insyn i integriteten och säkerheten i din organisations katalog. Med den här informationen kan en katalogadministratör bättre avgöra var möjliga säkerhetsrisker kan ligga så att de kan planera för att minska dessa risker på ett lämpligt sätt.

I Azure-portalen finns rapporter i följande kategorier:

  • Avvikelserapporter: Innehåller inloggningshändelser som vi fann vara avvikande. Vårt mål är att göra dig medveten om sådan aktivitet och göra det möjligt för dig att avgöra om en händelse är misstänkt.
  • Integrerade programrapporter: Ge insikter om hur molnprogram används i din organisation. Microsoft Entra ID erbjuder integrering med tusentals molnprogram.
  • Felrapporter: Ange fel som kan uppstå när du etablerar konton till externa program.
  • Användarspecifika rapporter: Visa aktivitetsdata för enhetsinloggning för en viss användare.
  • Aktivitetsloggar: Innehåller en post med alla granskade händelser under de senaste 24 timmarna, de senaste 7 dagarna eller de senaste 30 dagarna samt ändringar av gruppaktivitet och lösenordsåterställning och registreringsaktivitet.

Läs mer: Rapporteringsguide för Microsoft Entra-ID

Hantering av konsumentidentitet och åtkomst

Azure AD B2C är en global identitetshanteringstjänst med hög tillgänglighet för konsumentinriktade program som skalar till hundratals miljoner identiteter. Den kan integreras över mobila plattformar och webbaserade plattformar. Dina konsumenter kan logga in på alla dina program via anpassningsbara upplevelser med hjälp av sina befintliga sociala konton eller genom att skapa nya autentiseringsuppgifter.

Tidigare skulle programutvecklare som ville registrera kunder och logga in dem i sina program ha skrivit sin egen kod. Och de använde lokala databaser eller system för att lagra användarnamn och lösenord. Azure AD B2C erbjuder din organisation ett bättre sätt att integrera hantering av konsumentidentitet i program med hjälp av en säker, standardbaserad plattform och en stor uppsättning utökningsbara principer.

När du använder Azure AD B2C kan dina konsumenter registrera sig för dina program genom att använda sina befintliga sociala konton (Facebook, Google, Amazon, LinkedIn) eller genom att skapa nya autentiseringsuppgifter (e-postadress och lösenord eller användarnamn och lösenord).

Läs mer:

Enhetsregistrering

Microsoft Entra-enhetsregistrering är grunden för enhetsbaserade scenarier med villkorsstyrd åtkomst . När en enhet har registrerats ger Microsoft Entra-enhetsregistrering enheten en identitet som den använder för att autentisera enheten när en användare loggar in. Den autentiserade enheten och enhetens attribut kan sedan användas för att tillämpa principer för villkorsstyrd åtkomst för program som finns i molnet och lokalt.

I kombination med en lösning för hantering av mobila enheter, till exempel Intune, uppdateras enhetsattributen i Microsoft Entra-ID:t med ytterligare information om enheten. Du kan sedan skapa regler för villkorsstyrd åtkomst som framtvingar åtkomst från enheter för att uppfylla dina standarder för säkerhet och efterlevnad.

Läs mer:

Privileged Identity Management

Med Microsoft Entra Privileged Identity Management kan du hantera, styra och övervaka dina privilegierade identiteter och åtkomst till resurser i Microsoft Entra-ID samt andra Microsoft-onlinetjänster, till exempel Microsoft 365 och Microsoft Intune.

Användare behöver ibland utföra privilegierade åtgärder i Azure- eller Microsoft 365-resurser eller i andra SaaS-appar. Det här behovet innebär ofta att organisationer måste ge användarna permanent privilegierad åtkomst i Microsoft Entra-ID. Sådan åtkomst är en växande säkerhetsrisk för molnbaserade resurser, eftersom organisationer inte kan övervaka vad användarna gör med sina administratörsbehörigheter tillräckligt. Om ett användarkonto med privilegierad åtkomst komprometteras kan det dessutom påverka organisationens övergripande molnsäkerhet. Microsoft Entra Privileged Identity Management hjälper till att minska den här risken.

Med Microsoft Entra Privileged Identity Management kan du:

  • Se vilka användare som är Microsoft Entra-administratörer.
  • Aktivera administrativ åtkomst på begäran, just-in-time (JIT) till Microsoft-tjänster som Microsoft 365 och Intune.
  • Hämta rapporter om administratörsåtkomsthistorik och ändringar i administratörstilldelningar.
  • Få aviseringar om åtkomst till en privilegierad roll.

Läs mer:

Identity Protection

Microsoft Entra ID Protection är en säkerhetstjänst som ger en samlad vy över riskidentifieringar och potentiella sårbarheter som påverkar organisationens identiteter. Identity Protection utnyttjar befintliga Microsoft Entra-funktioner för avvikelseidentifiering, som är tillgängliga via Microsoft Entra-rapporter för avvikande aktivitet. Identity Protection introducerar också nya riskidentifieringstyper som kan identifiera avvikelser i realtid.

Läs mer: Microsoft Entra ID Protection

Hybrididentitetshantering (Microsoft Entra Anslut)

Microsofts identitetslösningar omfattar lokala och molnbaserade funktioner, vilket skapar en enskild användaridentitet för autentisering och auktorisering för alla resurser, oavsett plats. Vi kallar det för hybrididentitet. Microsoft Entra Anslut är Microsoft-verktyget som utformats för att uppfylla och uppnå dina hybrididentitetsmål. På så sätt kan du tillhandahålla en gemensam identitet för dina användare för Microsoft 365-, Azure- och SaaS-program som är integrerade med Microsoft Entra-ID. Den tillhandahåller följande funktioner:

  • Synkronisering
  • AD FS och federationsintegrering
  • Gå igenom autentisering
  • Hälsoövervakning

Läs mer:

Microsoft Entra-åtkomstgranskningar

Microsoft Entra-åtkomstgranskningar gör det möjligt för organisationer att effektivt hantera gruppmedlemskap, åtkomst till företagsprogram och privilegierade rolltilldelningar.

Läs mer: Microsoft Entra-åtkomstgranskningar