Så levererar Microsoft Entra-ID molnstyrd hantering för lokala arbetsbelastningar

Microsoft Entra ID är en omfattande IDaaS-lösning (identitet som en tjänst) som används av miljontals organisationer som omfattar alla aspekter av identitet, åtkomsthantering och säkerhet. Microsoft Entra-ID innehåller mer än en miljard användaridentiteter och hjälper användare att logga in och få säker åtkomst till båda:

• Externa resurser, till exempel Microsoft 365, administrationscentret för Microsoft Entra och tusentals andra SaaS-program (Software-as-a-Service).
• Interna resurser, till exempel program i en organisations företagsnätverk och intranät, tillsammans med alla molnprogram som utvecklats av den organisationen.

Organisationer kan använda Microsoft Entra-ID om de är "rent moln" eller som en hybriddistribution om de har lokala arbetsbelastningar. En hybriddistribution av Microsoft Entra-ID kan ingå i en strategi för en organisation att migrera sina IT-tillgångar till molnet eller att fortsätta att integrera befintlig lokal infrastruktur tillsammans med nya molntjänster.

Tidigare har "hybridorganisationer" sett Microsoft Entra-ID som en förlängning av sin befintliga lokala infrastruktur. I dessa distributioner är den lokala identitetsstyrningsadministrationen, Windows Server Active Directory eller andra interna katalogsystem kontrollpunkter och användare och grupper synkroniseras från dessa system till en molnkatalog som Microsoft Entra-ID. När dessa identiteter finns i molnet kan de göras tillgängliga för Microsoft 365, Azure och andra program.

När organisationer flyttar mer av sin IT-infrastruktur tillsammans med sina program till molnet letar många efter de förbättrade säkerhets- och förenklade hanteringsfunktionerna för identitetshantering som en tjänst. De molnlevererade IDaaS-funktionerna i Microsoft Entra ID påskyndar övergången till molnstyrd hantering genom att tillhandahålla lösningar och funktioner som gör det möjligt för organisationer att snabbt införa och flytta mer av sin identitetshantering från traditionella lokala system till Microsoft Entra ID, samtidigt som de fortsätter att stödja befintliga och nya program.

Det här dokumentet beskriver Microsofts strategi för hybrid-IDaaS och beskriver hur organisationer kan använda Microsoft Entra-ID för sina befintliga program.

Microsoft Entra ID-metoden för molnstyrd identitetshantering

När organisationer övergår till molnet behöver de garantier för att de har kontroller över hela miljön – mer säkerhet och mer insyn i aktiviteter som stöds av automatisering och proaktiva insikter. "Molnstyrd hantering" beskriver hur organisationer hanterar och styr sina användare, program, grupper och enheter från molnet.

I denna moderna värld måste organisationer kunna hantera effektivt i stor skala på grund av spridningen av SaaS-program och den ökande rollen av samarbete och externa identiteter. Det nya risklandskapet i molnet innebär att en organisation måste vara mer responsiv – en illvillig aktör som komprometterar en molnanvändare kan påverka molnbaserade och lokala program.

I synnerhet måste hybridorganisationer kunna delegera och automatisera uppgifter, vilket TIDIGARE IT gjorde manuellt. För att automatisera uppgifter behöver de API:er och processer som samordnar livscykeln för de olika identitetsrelaterade resurserna (användare, grupper, program, enheter) så att de kan delegera den dagliga hanteringen av dessa resurser till fler personer utanför it-kärnpersonalen. Microsoft Entra-ID uppfyller dessa krav genom hantering av användarkonton och intern autentisering för användare utan att kräva lokal identitetsinfrastruktur. Att inte bygga ut lokal infrastruktur kan gynna organisationer som har nya användargrupper, till exempel affärspartners, som inte har sitt ursprung i deras lokala katalog, men vars åtkomsthantering är avgörande för att uppnå affärsresultat.

Dessutom är hanteringen inte fullständig utan styrning --- och styrning i den här nya världen är en integrerad del av identitetssystemet snarare än ett tillägg. Identitetsstyrning ger organisationer möjlighet att hantera identitets- och åtkomstlivscykeln för anställda, affärspartner och leverantörer samt tjänster och program.

Genom att implementera identitetsstyrning blir det enklare att göra det möjligt för organisationen att övergå till molnstyrd hantering, göra det möjligt för IT-avdelningen att skala, hantera nya utmaningar med gäster och ge djupare insikter och automatisering än vad kunderna hade med lokal infrastruktur. Styrning i den här nya världen innebär möjligheten för en organisation att ha transparens, synlighet och korrekta kontroller av åtkomsten till resurser i organisationen. Med Microsoft Entra-ID har säkerhets- och granskningsteam insyn i vem som har --- och vem som ska ha – åtkomst till vilka resurser i organisationen (på vilka enheter), vad dessa användare gör med den åtkomsten och om organisationen har och använder lämpliga kontroller för att ta bort eller begränsa åtkomsten i enlighet med företagets eller regelprinciperna.

Den nya hanteringsmodellen gynnar organisationer med både SaaS- och verksamhetsspecifika program eftersom de är enklare att hantera och skydda åtkomsten till dessa program. Genom att integrera program med Microsoft Entra-ID kan organisationer använda och hantera åtkomst i både molnbaserade och lokala identiteter konsekvent. Programlivscykelhanteringen blir mer automatiserad och Microsoft Entra-ID ger omfattande insikter om programanvändning som inte var lätt att uppnå i lokal identitetshantering. Via Microsoft Entra-ID, Microsoft 365-grupper och teams självbetjäningsfunktioner kan organisationer enkelt skapa grupper för åtkomsthantering och samarbete och lägga till eller ta bort användare i molnet för att möjliggöra krav på samarbets- och åtkomsthantering.

Om du väljer rätt Microsoft Entra-funktioner för molnstyrd hantering beror det på vilka program som ska användas och hur dessa program ska integreras med Microsoft Entra-ID. I följande avsnitt beskrivs metoderna för AD-integrerade program och program som använder federationsprotokoll (till exempel SAML, OAuth eller OpenID Anslut).

Molnstyrd hantering för AD-integrerade program

Microsoft Entra ID förbättrar hanteringen för en organisations lokal Active Directory-integrerade program genom säker fjärråtkomst och villkorlig åtkomst till dessa program. Dessutom tillhandahåller Microsoft Entra-ID även hantering av kontolivscykel och hantering av autentiseringsuppgifter för användarens befintliga AD-konton, inklusive:

• Säker fjärråtkomst och villkorlig åtkomst för lokala program

För många organisationer är det första steget i att hantera åtkomst från molnet för lokala AD-integrerade webb- och fjärrskrivbordsbaserade program att distribuera programproxyn framför dessa program för att ge säker fjärråtkomst.

Efter en enkel inloggning till Microsoft Entra-ID kan användarna komma åt både molnbaserade och lokala program via en extern URL eller en intern programportal. Till exempel ger Programproxy fjärråtkomst och enkel inloggning till Fjärrskrivbord, SharePoint, samt appar som Tableau och Qlik och verksamhetsspecifika program (LOB). Dessutom kan principer för villkorsstyrd åtkomst omfatta att visa användningsvillkoren och se till att användaren har gått med på dem innan de kan komma åt ett program.

• Automatisk livscykelhantering för Active Directory-konton

Identitetsstyrning hjälper organisationer att uppnå en balans mellan produktivitet --- hur snabbt kan en person få åtkomst till de resurser de behöver, till exempel när de går med i organisationen? --- och säkerhet --- hur ska deras åtkomst ändras över tid, till exempel när personens anställningsstatus ändras? Identitetslivscykelhantering är grunden för identitetsstyrning, och effektiv styrning i stor skala kräver modernisering av infrastrukturen för hantering av identitetslivscykel för program.

För många organisationer är identitetslivscykeln för anställda knuten till representationen av användaren i ett HCM-system (Human Capital Management). För organisationer som använder Workday som sitt HCM-system kan Microsoft Entra-ID se till att användarkonton i AD etableras och avetableras automatiskt för arbetare i Workday. Detta leder till förbättrad användarproduktivitet genom automatisering av födelserättskonton och hanterar risker genom att säkerställa att programåtkomst uppdateras automatiskt när en användare ändrar roller eller lämnar organisationen. Distributionsplanen för workday-driven användaretablering är en steg-för-steg-guide som vägleder organisationer genom implementeringen av Workday till Active Directory User Provisioning i en femstegsprocess.

Microsoft Entra ID P1 eller P2 innehåller även Microsoft Identity Manager, som kan importera poster från andra lokala HCM-system, inklusive SAP, Oracle eBusiness och Oracle Personer Soft.

Samarbete mellan företag kräver i allt högre grad att personer utanför organisationen får åtkomst. Microsoft Entra B2B-samarbete gör det möjligt för organisationer att på ett säkert sätt dela sina program och tjänster med gästanvändare och externa partner samtidigt som de behåller kontrollen över sina egna företagsdata.

Microsoft Entra-ID kan automatiskt skapa konton i AD för gästanvändare efter behov, vilket gör det möjligt för företagsgäster att få åtkomst till lokala AD-integrerade program utan att behöva något annat lösenord. Organisationer kan konfigurera multifaktorautentiseringsprinciper för gästanvändareså att MFA-kontroller görs under programproxyautentisering. Dessutom gäller alla åtkomstgranskningar som görs på B2B-användare i molnet för lokala användare. Om molnanvändaren till exempel tas bort via livscykelhanteringsprinciper tas även den lokala användaren bort.

Hantering av autentiseringsuppgifter för Active Directory-konton

Lösenordsåterställning med självbetjäning i Microsoft Entra-ID gör att användare som har glömt sina lösenord kan autentiseras på nytt och återställa sina lösenord, med de ändrade lösenorden skrivna till lokal Active Directory. Processen för lösenordsåterställning kan också använda lokal Active Directory lösenordsprinciper: När en användare återställer sitt lösenord kontrolleras det för att säkerställa att det uppfyller lokal Active Directory-principen innan den checkas in i katalogen. Distributionsplanen för självbetjäning av lösenordsåterställning beskriver metodtips för att distribuera självbetjäning av lösenordsåterställning till användare via webb- och Windows-integrerade upplevelser.

För organisationer som tillåter användare att ändra sina lösenord i AD kan AD konfigureras för att använda samma lösenordsprincip som organisationen använder i Microsoft Entra-ID via microsoft Entra-funktionen för lösenordsskydd, som för närvarande är i offentlig förhandsversion.

När en organisation är redo att flytta ett AD-integrerat program till molnet genom att flytta operativsystemet som är värd för programmet till Azure tillhandahåller Microsoft Entra Domain Services AD-kompatibla domäntjänster (till exempel domänanslutning, grupprincip, LDAP och Kerberos/NTLM-autentisering). Microsoft Entra Domain Services integreras med organisationens befintliga Microsoft Entra-klientorganisation, vilket gör det möjligt för användare att logga in med sina företagsautentiseringsuppgifter. Dessutom kan befintliga grupper och användarkonton användas för att skydda åtkomsten till resurser, vilket säkerställer en smidigare "lift-and-shift" av lokala resurser till Azure-infrastrukturtjänster.

Molnstyrd hantering för lokala federationsbaserade program

För en organisation som redan använder en lokal identitetsprovider ger flytt av program till Microsoft Entra-ID säkrare åtkomst och en enklare administrativ upplevelse för federationshantering. Med Microsoft Entra-ID kan du konfigurera detaljerade åtkomstkontroller per program, inklusive Microsoft Entra multifaktorautentisering, med hjälp av villkorsstyrd åtkomst i Microsoft Entra. Microsoft Entra-ID stöder fler funktioner, inklusive programspecifika tokensigneringscertifikat och konfigurerbara förfallodatum för certifikat. Dessa funktioner, verktyg och vägledning gör det möjligt för organisationer att dra tillbaka sina lokala identitetsprovidrar. Microsofts egen IT har till exempel flyttat 17 987 program från Microsofts interna Active Directory Federation Services (AD FS) (AD FS) till Microsoft Entra-ID.

Om du vill börja migrera federerade program till Microsoft Entra-ID som identitetsprovider kan du läsa https://aka.ms/migrateapps det som innehåller länkar till:

• I vitboken Migrera dina program till Microsoft Entra ID, som visar fördelarna med migrering och beskriver hur du planerar för migrering i fyra tydligt skisserade faser: identifiering, klassificering, migrering och pågående hantering. Du får vägledning om hur du tänker på processen och delar upp projektet i lättförtärade delar. I hela dokumentet finns länkar till viktiga resurser som hjälper dig längs vägen.

• Lösningsguiden Migrera programautentisering från Active Directory Federation Services (AD FS) till Microsoft Entra ID utforskar mer detaljerat samma fyra faser i planeringen och körningen av ett programmigreringsprojekt. I den här guiden får du lära dig hur du tillämpar dessa faser på det specifika målet att flytta ett program från Active Directory Federation Services (AD FS) (AD FS) till Microsoft Entra ID.

• Skriptet för Active Directory Federation Services (AD FS) migreringsberedskap kan köras på befintliga AD FS-servrar (lokal Active Directory Federation Services) för att fastställa beredskapen för program för migrering till Microsoft Entra-ID.

Löpande åtkomsthantering i molnprogram och lokala program

Organisationer behöver en process för att hantera åtkomst som är skalbar. Användarna fortsätter att samla in åtkomsträttigheter och får mer än vad som ursprungligen etablerades för dem. Dessutom måste företagsorganisationer kunna skala effektivt för att utveckla och framtvinga åtkomstprinciper och kontroller kontinuerligt.

Vanligtvis delegerar IT-administratören beslut om godkännande till beslutsfattarna. Dessutom kan IT involvera användarna själva. Till exempel måste användare som har åtkomst till konfidentiella kunddata i ett företags marknadsföringsprogram i Europa känna till företagets principer. Gästanvändare kanske också inte känner till hanteringskraven för data i en organisation som de har bjudits in till.

Organisationer kan automatisera åtkomstens livscykelprocess genom tekniker som dynamiska grupper, tillsammans med användaretablering till SaaS-program eller program som är integrerade med hjälp av SCIM-standarden (System for Cross-Domain Identity Management). Organisationer kan också styra vilka gästanvändare som har åtkomst till lokala program. Dessa åtkomsträttigheter kan sedan regelbundet granskas med hjälp av återkommande Microsoft Entra-åtkomstgranskningar.

Framtida anvisningar

I hybridmiljöer är Microsofts strategi att aktivera distributioner där molnet är kontrollplanet för identitet, och lokala kataloger och andra identitetssystem, till exempel Active Directory och andra lokala program, är målet för etablering av användare med åtkomst. Den här strategin fortsätter att säkerställa rättigheter, identiteter och åtkomst i de program och arbetsbelastningar som förlitar sig på dem. I det här sluttillståndet kommer organisationer att kunna driva slutanvändarens produktivitet helt från molnet.

Nästa steg

Mer information om hur du kommer igång med den här resan finns i Microsoft Entra-distributionsplanerna. Dessa planer ger vägledning från slutpunkt till slutpunkt för distribution av Microsoft Entra-funktioner. Varje plan förklarar affärsvärdet, planeringsöverväganden, design och operativa procedurer som krävs för att framgångsrikt distribuera vanliga Microsoft Entra-funktioner. Microsoft uppdaterar kontinuerligt distributionsplanerna med metodtips som lärts från kunddistributioner och annan feedback när vi lägger till nya funktioner för att hantera från molnet med Microsoft Entra-ID.