Pm 22-09 system för företagsomfattande identitetshantering
M 22-09 Memorandum for Heads of Executive Departments and Agencies kräver att byråerna utvecklar en konsolideringsplan för sina identitetsplattformar. Målet är att ha så få byråhanterade identitetssystem som möjligt inom 60 dagar från publiceringsdatumet (28 mars 2022). Det finns flera fördelar med att konsolidera identitetsplattformen:
- Centralisera hantering av identitetslivscykel, principframtvingande och granskningsbara kontroller
- Enhetlig kapacitet och paritet för tillämpning
- Minska behovet av att träna resurser i flera system
- Gör det möjligt för användare att logga in en gång och sedan komma åt program och tjänster i IT-miljön
- Integrera med så många agenturprogram som möjligt
- Använda delade autentiseringstjänster och förtroenderelationer för att underlätta integrering mellan byråer
Varför Microsoft Entra-ID?
Använd Microsoft Entra-ID för att implementera rekommendationer från memorandum 22-09. Microsoft Entra ID har identitetskontroller som stöder Nolltillit initiativ. Med Microsoft Office 365 eller Azure är Microsoft Entra ID en identitetsprovider (IdP). Anslut dina program och resurser till Microsoft Entra ID som ditt företagsomfattande identitetssystem.
Krav för enkel inloggning
Pm:et kräver att användarna loggar in en gång och sedan kommer åt program. Med Microsofts SSO-användare (enkel inloggning) loggar användarna in en gång och får sedan åtkomst till molntjänster och program. Se, Sömlös enkel inloggning med Microsoft Entra.
Integrering mellan byråer
Använd Microsoft Entra B2B-samarbete för att uppfylla kraven på att underlätta integrering och samarbete mellan byråer. Användare kan finnas i en Microsoft-klientorganisation i samma moln. Klienter kan finnas i ett annat Microsoft-moln eller i en icke-Azure AD-klientorganisation (SAML/WS-Fed-identitetsprovider).
Med microsoft entra-inställningar för åtkomst mellan klientorganisationer hanterar byråer hur de samarbetar med andra Microsoft Entra-organisationer och andra Microsoft Azure-moln:
- Begränsa vad Microsoft-klientorganisationer kan komma åt
- Inställningar för extern användaråtkomst, inklusive tillämpning av multifaktorautentisering och enhetssignal
Läs mer:
- Översikt över B2B-samarbete
- Microsoft Entra B2B i myndighetsmoln och nationella moln
- Federation med SAML/WS-Fed-identitetsprovidrar för gästanvändare
Anslut program
Om du vill konsolidera och använda Microsoft Entra-ID som det företagsomfattande identitetssystemet granskar du de tillgångar som finns i omfånget.
Dokumentera program och tjänster
Skapa en inventering av de program och tjänster som användarna har åtkomst till. Ett identitetshanteringssystem skyddar vad det vet.
Tillgångsklassificering:
- Känsligheten för data däri
- Lagar och föreskrifter för konfidentialitet, integritet eller tillgänglighet för data och/eller information i större system
- Nämnda lagar och förordningar som gäller för systeminformationsskyddskrav
För programinventeringen ska du fastställa program som använder molnklara protokoll eller äldre autentiseringsprotokoll:
- Molnklara program stöder moderna protokoll för autentisering:
- SAML
- WS-federation/förtroende
- OpenID Anslut (OIDC)
- OAuth 2.0.
- Äldre autentiseringsprogram förlitar sig på äldre eller patentskyddade autentiseringsmetoder:
- Kerberos/NTLM (Windows-autentisering)
- Huvudbaserad autentisering
- LDAP
- Grundläggande autentisering
Läs mer om Microsoft Entra-integreringar med autentiseringsprotokoll.
Verktyg för program- och tjänstidentifiering
Microsoft erbjuder följande verktyg för att stödja program- och tjänstidentifiering.
| Verktyg | Användning |
|---|---|
| Användningsanalys för Active Directory Federation Services (AD FS) (AD FS) | Analyserar federerad serverautentiseringstrafik. Se Övervaka AD FS med Microsoft Entra Anslut Health |
| Microsoft Defender för Cloud Apps | Genomsöker brandväggsloggar för att identifiera molnappar, IaaS-tjänster (infrastruktur som en tjänst) och PaaS-tjänster (plattform som en tjänst). Integrera Defender för molnet-appar med Defender för Endpoint för att identifiera data som analyserats från Windows-klientenheter. Se översikt över Microsoft Defender för molnet-appar |
| Kalkylblad för programidentifiering | Dokumentera de aktuella tillstånden för dina program. Se kalkylbladet Application Discovery |
Dina appar kan finnas i andra system än Microsoft och Microsoft-verktyg kanske inte identifierar dessa appar. Kontrollera en fullständig inventering. Leverantörer behöver mekanismer för att identifiera program som använder sina tjänster.
Prioritera program för anslutning
När du har upptäckt programmen i din miljö prioriterar du dem för migrering. Tänk på att:
- Verksamhetskritisk
- Användarprofiler
- Användning
- Livslängd
Läs mer: Migrera programautentisering till Microsoft Entra-ID.
Anslut dina molnklara appar i prioritetsordning. Fastställa vilka appar som använder äldre autentiseringsprotokoll.
För appar som använder äldre autentiseringsprotokoll:
- För appar med modern autentisering konfigurerar du om dem så att de använder Microsoft Entra-ID
- För appar utan modern autentisering finns det två alternativ:
- Uppdatera programkoden så att den använder moderna protokoll genom att integrera Microsoft Authentication Library (MSAL)
- Använda Microsoft Entra-programproxy eller säker hybridpartneråtkomst för säker åtkomst
- Inaktivera åtkomst till appar som inte längre behövs eller som inte stöds
Läs mer
- Microsoft Entra-integreringar med autentiseringsprotokoll
- Vad är Microsofts identitetsplattform?
- Säker hybridåtkomst: Skydda äldre appar med Microsoft Entra-ID
Anslut enheter
En del av centraliseringen av ett identitetshanteringssystem gör det möjligt för användare att logga in på fysiska och virtuella enheter. Du kan ansluta Windows- och Linux-enheter i ditt centraliserade Microsoft Entra-system, vilket eliminerar flera separata identitetssystem.
Under inventeringen och omfånget identifierar du de enheter och den infrastruktur som ska integreras med Microsoft Entra-ID. Integrering centraliserar din autentisering och hantering med hjälp av principer för villkorsstyrd åtkomst med multifaktorautentisering som framtvingas via Microsoft Entra-ID.
Verktyg för att identifiera enheter
Du kan använda Azure Automation-konton för att identifiera enheter via inventeringsinsamling som är ansluten till Azure Monitor. Microsoft Defender för Endpoint har enhetsinventeringsfunktioner. Identifiera de enheter som har Defender för Endpoint konfigurerat och de som inte har det. Enhetsinventering kommer från lokala system som System Center Configuration Manager eller andra system som hanterar enheter och klienter.
Läs mer:
- Hantera inventeringsinsamling från virtuella datorer
- Översikt över Microsoft Defender för Endpoint
- Introduktion till maskinvaruinventering
Integrera enheter med Microsoft Entra-ID
Enheter som är integrerade med Microsoft Entra-ID är hybrid-anslutna enheter eller Microsoft Entra-anslutna enheter. Separera enhetsregistrering efter klient- och användarenheter samt fysiska och virtuella datorer som fungerar som infrastruktur. Mer information om distributionsstrategi för användarenheter finns i följande vägledning.
- Planera distributionen av Microsoft Entra-enheten
- Microsoft Entra Hybrid-anslutna enheter
- Microsoft Entra-anslutna enheter
- Logga in på en virtuell Windows-dator i Azure med hjälp av Microsoft Entra-ID, inklusive lösenordslöst
- Logga in på en virtuell Linux-dator i Azure med hjälp av Microsoft Entra ID och OpenSSH
- Microsoft Entra-anslutning för Azure Virtual Desktop
- Enhetsidentitet och skrivbordsvirtualisering
Nästa steg
Följande artiklar ingår i den här dokumentationsuppsättningen:
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för