Průvodce nasazením funkcí Azure Active Directory

Může se zdát děsivé, že nasadíte Azure Active Directory (Azure AD) pro vaši organizaci a zajistíte jeho zabezpečení. Tento článek identifikuje běžné úlohy, které zákazníci hledají užitečné k dokončení ve fázích, v průběhu 30, 60, 90 dnů nebo více, aby zlepšili stav zabezpečení. I organizace, které už službu Azure AD nasadily, můžou tuto příručku využít k zajištění toho, aby se jejich investice co nejvíce využily.

Dobře plánovaná a spuštěná infrastruktura identit umožňuje zabezpečený přístup k pracovním úlohám a datům, které používají jenom známí uživatelé a zařízení.

Zákazníci navíc můžou zkontrolovat skóre zabezpečení identity a zjistit, jak jsou sladění s osvědčenými postupy Microsoftu. Zkontrolujte bezpečnostní skóre před implementací těchto doporučení a po jejich implementaci a zjistěte, jak dobře jste ve srovnání s ostatními ve vašem oboru a s jinými organizacemi vaší velikosti.

Požadavky

Mnoho doporučení v této příručce lze implementovat s Azure AD Free nebo bez licence vůbec. V případě, že se vyžaduje licence, uvádíme, která licence se vyžaduje minimálně k provedení úkolu.

Další informace o licencování najdete na následujících stránkách:

Fáze 1: Vytvoření základu zabezpečení

V této fázi správci umožňují základním funkcím zabezpečení vytvořit bezpečnější a snadno použitelné základy v Azure AD před importem nebo vytvořením normálních uživatelských účtů. Tato základní fáze zajišťuje, že jste od začátku v bezpečnějším stavu a že koncoví uživatelé musí být zavedeni pouze do nových konceptů jednou.

Úkol Podrobnosti Požadovaná licence
Vytvoření více než jednoho globálního správce Přiřaďte alespoň dva trvalé účty globálního správce cloudu pro použití v nouzovém stavu. Tyto účty se nepoužívají každý den a měly by mít dlouhá a složitá hesla. Azure AD Free
Pokud je to možné, použijte jiné než globální role pro správu. Udělte správcům přístup jenom do oblastí, ke kterým potřebují přístup. Ne všichni správci musí být globálními správci. Azure AD Free
Povolení Privileged Identity Management pro sledování použití role správce Pokud chcete začít sledovat využití rolí správy, povolte Privileged Identity Management. Azure AD Premium P2
Zavedení samoobslužného resetování hesla Omezte volání helpdesku k resetování hesel tím, že zaměstnancům umožníte resetovat vlastní hesla pomocí zásad, které jste jako řízení správce. Azure AD Premium P1
Vytvoření vlastního seznamu zakázaných hesel pro konkrétní organizaci Znemožněte uživatelům vytvářet hesla, která obsahují běžná slova nebo fráze z vaší organizace nebo oblasti. Azure AD Premium P1
Povolení místní integrace s ochranou hesel Azure AD Rozšiřte seznam zakázaných hesel na místní adresář, abyste měli jistotu, že hesla nastavená místně jsou také v souladu s globálními seznamy zakázaných hesel a seznamy zakázaných hesel pro konkrétního tenanta. Azure AD Premium P1
Povolení pokynů k heslu Microsoftu Přestaňte vyžadovat, aby si uživatelé změnili heslo podle nastaveného plánu, zakázali požadavky na složitost a vaši uživatelé si lépe zapamatovali svá hesla a zachovali si něco, co je zabezpečené. Azure AD Free
Zakázání pravidelných resetování hesel pro cloudové uživatelské účty Pravidelné resetování hesel uživatelům doporučí zvýšit jejich stávající hesla. Pokyny k heslům microsoftu použijte v dokumentaci k pokynům k heslům a zrcadlení místních zásad jenom pro uživatele v cloudu. Azure AD Free
Přizpůsobení inteligentního uzamčení Azure Active Directory Zastavení uzamčení cloudových uživatelů z replikace do místní Active Directory uživatelů Azure AD Premium P1
Povolení inteligentního uzamčení extranetu pro SLUŽBU AD FS Uzamčení extranetu služby AD FS chrání před útoky hrubou silou při odhadování hesla a zároveň umožňuje platným uživatelům služby AD FS dál používat své účty.
Blokování starší verze ověřování ve službě Azure AD pomocí podmíněného přístupu Zablokujte starší ověřovací protokoly, jako jsou POP, SMTP, IMAP a MAPI, které nemůžou vynutit vícefaktorové ověřování, což je upřednostňovaným vstupním bodem pro nežádoucí uživatele. Azure AD Premium P1
Nasazení služby Azure AD Multi-Factor Authentication pomocí zásad podmíněného přístupu Vyžadovat, aby uživatelé při přístupu k citlivým aplikacím pomocí zásad podmíněného přístupu udělali dvoustupňové ověření. Azure AD Premium P1
Povolení služby Azure Active Directory Identity Protection Povolte sledování rizikových přihlášení a ohrožených přihlašovacích údajů pro uživatele ve vaší organizaci. Azure AD Premium P2
Použití detekce rizik k aktivaci vícefaktorového ověřování a změn hesel Povolte automatizaci, která může aktivovat události, jako je vícefaktorové ověřování, resetování hesla a blokování přihlášení na základě rizika. Azure AD Premium P2
Povolení kombinované registrace samoobslužného resetování hesla a azure AD Multi-Factor Authentication Umožňuje uživatelům registrovat se z jednoho společného prostředí pro Azure AD Multi-Factor Authentication i samoobslužné resetování hesla. Azure AD Premium P1

Fáze 2: Import uživatelů, povolení synchronizace a správa zařízení

Dále přidáme k základu stanovenému ve fázi 1 importováním uživatelů a povolením synchronizace, plánováním přístupu hostů a přípravou na podporu dalších funkcí.

Úkol Podrobnosti Požadovaná licence
Instalace služby Azure AD Connect Připravte se na synchronizaci uživatelů z existujícího místního adresáře do cloudu. Azure AD Free
Implementace synchronizace hodnot hash hesel Synchronizujte hodnoty hash hesel, abyste umožnili replikaci změn hesel, detekci chybných hesel a nápravu a úniku sestav přihlašovacích údajů. Azure AD Free
Implementace zpětného zápisu hesla Povolte zápis změn hesel v cloudu zpět do místního prostředí Windows Server Active Directory. Azure AD Premium P1
Implementace služby Azure AD Připojení Health Povolte monitorování klíčových statistik stavu pro servery Připojení Azure AD, servery AD FS a řadiče domény. Azure AD Premium P1
Přiřazení licencí uživatelům podle členství ve skupině v Azure Active Directory Ušetřete čas a úsilí vytvořením skupin licencování, které umožňují nebo zakazují funkce podle skupin místo nastavení pro jednotlivé uživatele. Azure AD Premium P1
Vytvoření plánu pro přístup uživatelů typu host Spolupracujte s uživateli typu host tím, že jim umožníte přihlásit se k aplikacím a službám pomocí vlastních pracovních, školních nebo sociálních identit. Ceny externích identit Azure AD
Rozhodnutí o strategii správy zařízení Rozhodněte, co vaše organizace umožňuje ohledně zařízení. Registrace vs. připojení, Přineste si vlastní zařízení nebo společnost, která je k dispozici.
Nasazení Windows Hello pro firmy ve vaší organizaci Příprava na ověřování bez hesla pomocí Windows Hello
Nasazení metod ověřování bez hesla pro uživatele Poskytnutí pohodlných metod ověřování bez hesla uživatelům Azure AD Premium P1

Fáze 3: Správa aplikací

Vzhledem k tomu, že budeme dál stavět na předchozích fázích, identifikujeme kandidátské aplikace pro migraci a integraci se službou Azure AD a dokončíme nastavení těchto aplikací.

Úkol Podrobnosti Požadovaná licence
Identifikace aplikací Identifikujte aplikace používané ve vaší organizaci: místní aplikace SaaS v cloudu a další obchodní aplikace. Určete, jestli se tyto aplikace dají a měly by se spravovat pomocí Azure AD. Nevyžaduje se žádná licence.
Integrace podporovaných aplikací SaaS v galerii Azure AD má galerii, která obsahuje tisíce předem integrovaných aplikací. Některé aplikace, které vaše organizace používá, jsou pravděpodobně v galerii přístupné přímo z Azure Portal. Azure AD Free
Integrace místních aplikací pomocí proxy aplikací proxy aplikací umožňuje uživatelům přistupovat k místním aplikacím přihlášením pomocí svého účtu Azure AD. Azure AD Premium P1

Fáze 4: Audit privilegovaných identit, dokončení kontroly přístupu a správa životního cyklu uživatelů

Fáze 4 vidí správce vynucující zásady nejnižších oprávnění pro správu, dokončení prvních kontrol přístupu a povolení automatizace běžných úloh životního cyklu uživatelů.

Úkol Podrobnosti Požadovaná licence
Vynucení použití Privileged Identity Management Odeberte role pro správu z běžných každodenních uživatelských účtů. Umožňuje správcům používat svou roli po úspěšném ověření vícefaktorového ověřování, poskytnutí obchodního odůvodnění nebo vyžádání schválení od schvalovatelů. Azure AD Premium P2
Dokončení kontroly přístupu pro role adresáře Azure AD v PIM Spolupracujte se svými týmy zabezpečení a vedení a vytvořte zásadu kontroly přístupu, abyste mohli zkontrolovat přístup pro správu na základě zásad vaší organizace. Azure AD Premium P2
Implementace zásad členství v dynamických skupinách Pomocí dynamických skupin můžete uživatelům automaticky přiřadit skupiny na základě jejich atributů z personálního oddělení (nebo zdroje pravdy), jako je oddělení, název, oblast a další atributy. Azure AD Premium P1
Implementace zřizování aplikací založených na skupinách Pomocí zřizování správy přístupu na základě skupin můžete automaticky zřizovat uživatele pro aplikace SaaS. Azure AD Premium P1
Automatizace zřizování a rušení zřizování uživatelů Odeberte ruční kroky z životního cyklu účtu zaměstnance, abyste zabránili neoprávněnému přístupu. Synchronizujte identity ze zdroje pravdy (HR System) do Azure AD. Azure AD Premium P1

Další kroky

Podrobnosti o licencování a cenách Azure AD

Konfigurace identit a přístupu k zařízením

Běžné doporučené zásady přístupu k identitám a zařízením