Průvodce nasazením funkcí Azure Active Directory
může se zdát, že těžké nasadit Azure Active Directory (Azure AD) pro vaši organizaci a zajistit jejich zabezpečení. Tento článek popisuje běžné úkoly, které zákazníci vyhledají ve fázích, a to v průběhu 30, 60, 90 dnů nebo víc, aby zvýšili jejich stav zabezpečení. I organizace, které už mají nasazenou službu Azure AD, můžou pomocí tohoto průvodce zajistit, aby jejich investice byly na maximum.
Dobře plánovaná a spuštěná infrastruktura identity PAVES způsob zabezpečení přístupu k vašim úlohám produktivity a datům jenom známými uživateli a zařízeními.
Zákazníci navíc můžou ověřit své zabezpečené skóre identity a zjistit, jak se budou zarovnávat podle osvědčených postupů Microsoftu. Před a po implementaci těchto doporučení Zkontrolujte své zabezpečené skóre, abyste viděli, jak dobře pracujete v porovnání s ostatními uživateli ve vašem odvětví a s jinými organizacemi vaší velikosti.
Požadavky
mnohé z doporučení v tomto průvodci můžete implementovat pomocí Azure AD Free nebo bez licence vůbec. Tam, kde jsou licence požadovány, je pro splnění této smlouvy nutné zadat, jaká licence je vyžadována minimálně.
Další informace o licencování najdete na následujících stránkách:
- Licencování Azure AD
- Microsoft 365 Enterprise
- Enterprise Mobility + Security
- Ceny služby Azure AD External identity
Fáze 1: sestavení základu zabezpečení
V této fázi můžou správci ve službě Azure AD před importem nebo vytvořením normálních uživatelských účtů vytvořit bezpečnější a snadno ovladatelné základní funkce zabezpečení. Tato základní fáze vám zajistí, aby se od začátku nastavilější stav a aby se koncoví uživatelé museli do nových konceptů zavádět jenom jednou.
| Úkol | Podrobnosti | Požadovaná licence |
|---|---|---|
| Určení více než jednoho globálního správce | Pokud je to možné, přiřaďte alespoň dva trvalé účty globálního správce jenom v cloudu. Tyto účty se nepoužívají denně a měly by mít dlouhá a složitá hesla. | Azure AD Free |
| Pokud je to možné, používejte jiné než globální role správy | Poskytněte správcům jenom přístup, který potřebují jenom pro oblasti, ke kterým potřebují přístup. Ne všichni správci musí být globální správci. | Azure AD Free |
| povolit Privileged Identity Management pro sledování použití role správce | povolí Privileged Identity Management zahájení sledování využití role správy. | Azure AD Premium P2 |
| Zavedení samoobslužného resetování hesla | Omezení výzvy helpdesku pro resetování hesel tím, že zaměstnancům umožní resetovat vlastní hesla pomocí zásad, které jste jako ovládací prvek správce. | |
| Vytvořit vlastní seznam zakázaných hesel pro konkrétní organizaci | Uživatelům zabránit ve vytváření hesel, která budou obsahovat běžná slova nebo fráze z vaší organizace nebo oblasti. | |
| Povolit místní integraci s ochranou hesel Azure AD | Rozšíříte seznam zakázaných hesel na váš místní adresář, abyste měli jistotu, že jsou nastavená místní hesla taky v souladu se seznamy zakázaných hesel a globálních seznamů. | Azure AD Premium P1 |
| Povolit pokyny pro heslo Microsoftu | Zastavení vyžadování uživatelů ke změně hesla podle nastaveného plánu, zakázání požadavků na složitost a vašim uživatelům je více apt, aby si zapamatovali hesla a zajistili, že jsou zabezpečená. | Azure AD Free |
| Zakázat pravidelná resetování hesla pro cloudové uživatelské účty | Periodické resetování hesla připomáhají uživatelům zvyšovat stávající hesla. Použijte pokyny v dokumentu pokyny pro heslo od Microsoftu a zrcadlte své místní zásady na uživatele jenom pro Cloud. | Azure AD Free |
| přizpůsobení Azure Active Directoryho inteligentního uzamčení | Zastavení uzamčení od cloudových uživatelů při jejich replikaci do místních uživatelů Active Directory | |
| Povolit extranetové inteligentní uzamčení pro AD FS | AD FS uzamčení extranetu chrání před útoky hrubou silou hesla, zatímco umožňuje platným AD FSm uživatelům nadále používat své účty. | |
| Blokování staršího ověřování do Azure AD s podmíněným přístupem | Zablokuje starší protokoly ověřování jako POP, SMTP, IMAP a MAPI, které nemůžou vyhovět Multi-Factor Authentication, takže jim vyhovuje vstupnímu bodu pro nežádoucí osoby. | Azure AD Premium P1 |
| Nasazení Multi-Factor Authentication Azure AD pomocí zásad podmíněného přístupu | Vyžaduje, aby uživatelé prováděli dvoustupňové ověřování při přístupu k citlivým aplikacím pomocí zásad podmíněného přístupu. | Azure AD Premium P1 |
| povolit Azure Active Directory Identity Protection | Povolte sledování rizikových přihlášení a napadených přihlašovacích údajů uživatelům ve vaší organizaci. | Azure AD Premium P2 |
| Použití zjišťování rizik ke spuštění vícefaktorového ověřování a změn hesel | Povolte automatizaci, která může aktivovat události, jako je vícefaktorové ověřování, resetování hesla a blokování přihlášení na základě rizika. | Azure AD Premium P2 |
| Povolení kombinované registrace pro Samoobslužné resetování hesla a službu Azure AD Multi-Factor Authentication | Umožněte uživatelům, aby se zaregistrovali z jednoho společného prostředí pro Azure AD Multi-Factor Authentication a Samoobslužné resetování hesla. | Azure AD Premium P1 |
Fáze 2: import uživatelů, povolení synchronizace a Správa zařízení
V dalším kroku přidáme do základu, která je ve fázi 1, importem uživatelů a povolením synchronizace, plánováním přístupu hostů a přípravou k podpoře dalších funkcí.
| Úkol | Podrobnosti | Požadovaná licence |
|---|---|---|
| Instalace služby Azure AD Connect | Připravte se na synchronizaci uživatelů ze stávajícího místního adresáře do cloudu. | Azure AD Free |
| Implementace synchronizace hodnot hash hesel | Synchronizuje hodnoty hash hesel, aby bylo možné replikovat změny hesel, chybnou detekci a nápravu hesla a nevrácené zprávy o přihlašovacích údajích. | Azure AD Free |
| Implementace zpětného zápisu hesla | povolí zápis změn hesel v cloudu zpátky do místního Windows Server Active Directory prostředí. | Azure AD Premium P1 |
| implementovat Azure AD Connect Health | povolte monitorování statistik stavu klíčů pro Azure AD Connect servery, servery AD FS a řadiče domény. | Azure AD Premium P1 |
| Přiřazení licencí uživatelům podle členství ve skupině v Azure Active Directory | Ušetřete čas a úsilí vytvořením skupin licencí, které umožňují povolit nebo zakázat funkce podle skupin namísto nastavení na uživatele. | |
| Vytvoření plánu pro přístup uživatele typu Host | Spolupracujte s uživateli typu Host tím, že jim umožníte přihlašovat se k vašim aplikacím a službám s vlastními pracovními, školními nebo sociálními identitami. | Ceny služby Azure AD External identity |
| Rozhodnutí o strategii správy zařízení | Rozhodněte se, co vaše organizace povoluje pro zařízení. Při registraci vs se spojí vaše vlastní zařízení a společnost. | |
| nasazení Windows Hello pro firmy ve vaší organizaci | Příprava ověřování pomocí hesla pomocí Windows Hello | |
| Nasazení metod ověřování neheslem pro vaše uživatele | Poskytněte uživatelům praktické metody ověřování bez hesla | Azure AD Premium P1 |
Fáze 3: Správa aplikací
Jak pokračujeme v sestavách v předchozích fázích, identifikujeme kandidátské aplikace pro migraci a integraci s Azure AD a dokončíte nastavení těchto aplikací.
| Úkol | Podrobnosti | Požadovaná licence |
|---|---|---|
| Identifikujte své aplikace | Identifikujte aplikace používané ve vaší organizaci: místní, SaaS aplikace v cloudu a další obchodní aplikace. Určete, jestli tyto aplikace můžou a by měly být spravované pomocí Azure AD. | Není vyžadována žádná licence. |
| Integrace podporovaných aplikací SaaS v galerii | Azure AD obsahuje galerii obsahující tisíce předem integrovaných aplikací. Některé aplikace, které vaše organizace používá, jsou pravděpodobně v galerii přístupné přímo z Azure Portal. | Azure AD Free |
| Použití proxy aplikací k integraci místních aplikací | Proxy aplikací umožňuje uživatelům přístup k místním aplikacím přihlášením pomocí svého účtu služby Azure AD. |
Fáze 4: Auditovat privilegované identity, dokončit kontrolu přístupu a spravovat životní cyklus uživatele
Fáze 4 se dohlíží k správcům, kteří vynucují zásady minimálního oprávnění pro správu, dokončují první kontroly přístupu a povolují automatizaci běžných úkolů životního cyklu uživatele.
| Úkol | Podrobnosti | Požadovaná licence |
|---|---|---|
| Vynutilo použití Privileged Identity Management | Odeberte role pro správu z normálního denního uživatelského účtu. Uživatelé s právy pro správu mají nárok na používání své role po úspěšném ověření služby Multi-Factor Authentication, poskytování obchodního odůvodnění nebo žádosti o schválení od určených schvalovatelů. | Azure AD Premium P2 |
| Dokončení kontroly přístupu pro role adresáře Azure AD v PIM | Spolupracujte se svými týmy zabezpečení a vedoucími k vytvoření zásady kontroly přístupu ke kontrole přístupu pro správu na základě zásad vaší organizace. | Azure AD Premium P2 |
| Implementace zásad členství v dynamické skupině | Pomocí dynamických skupin můžete automaticky přiřazovat uživatele do skupin na základě jejich atributů z HR (nebo ze zdroje pravdy), jako je oddělení, název, oblast a další atributy. | |
| Implementace zřizování aplikace založené na skupinách | Pro Automatické zřizování uživatelů pro aplikace SaaS použijte zřizování skupinového přístupu na základě skupin. | |
| Automatizace zřizování a rušení zřizování uživatelů | Odebrání ručních kroků z životního cyklu účtu zaměstnance, aby nedocházelo k neoprávněnému přístupu Synchronizujte identity ze zdroje pravdy (systému HR) do Azure AD. |
Další kroky
Podrobnosti o licencování a cenách Azure AD