Průvodce nasazením funkce Azure Active DirectoryAzure Active Directory feature deployment guide

Může se zdát, že těžké nasadit Azure Active Directory (Azure AD) pro vaši organizaci a zajistit jejich zabezpečení.It can seem daunting to deploy Azure Active Directory (Azure AD) for your organization and keep it secure. Tento článek popisuje běžné úkoly, které zákazníci vyhledají ve fázích, a to v průběhu 30, 60, 90 dnů nebo víc, aby zvýšili jejich stav zabezpečení.This article identifies common tasks that customers find helpful to complete in phases, over the course of 30, 60, 90 days, or more, to enhance their security posture. I organizace, které už mají nasazenou službu Azure AD, můžou pomocí tohoto průvodce zajistit, aby jejich investice byly na maximum.Even organizations who have already deployed Azure AD can use this guide to ensure they are getting the most out of their investment.

Dobře plánovaná a spuštěná infrastruktura identity PAVES způsob zabezpečení přístupu k vašim úlohám produktivity a datům jenom známými uživateli a zařízeními.A well-planned and executed identity infrastructure paves the way for secure access to your productivity workloads and data by known users and devices only.

Zákazníci navíc můžou ověřit své zabezpečené skóre identity a zjistit, jak se budou zarovnávat podle osvědčených postupů Microsoftu.Additionally customers can check their identity secure score to see how aligned they are to Microsoft best practices. Před a po implementaci těchto doporučení Zkontrolujte své zabezpečené skóre, abyste viděli, jak dobře pracujete v porovnání s ostatními uživateli ve vašem odvětví a s jinými organizacemi vaší velikosti.Check your secure score before and after implementing these recommendations to see how well you are doing compared to others in your industry and to other organizations of your size.

PředpokladyPrerequisites

Mnohé z doporučení v tomto průvodci můžete implementovat pomocí Azure AD Free nebo bez licence vůbec.Many of the recommendations in this guide can be implemented with Azure AD Free or no license at all. Tam, kde jsou licence požadovány, je pro splnění této smlouvy nutné zadat, jaká licence je vyžadována minimálně.Where licenses are required we state which license is required at minimum to accomplish the task.

Další informace o licencování najdete na následujících stránkách:Additional information about licensing can be found on the following pages:

Fáze 1: sestavení základu zabezpečeníPhase 1: Build a foundation of security

V této fázi můžou správci ve službě Azure AD před importem nebo vytvořením normálních uživatelských účtů vytvořit bezpečnější a snadno ovladatelné základní funkce zabezpečení.In this phase, administrators enable baseline security features to create a more secure and easy to use foundation in Azure AD before we import or create normal user accounts. Tato základní fáze vám zajistí, aby se od začátku nastavilější stav a aby se koncoví uživatelé museli do nových konceptů zavádět jenom jednou.This foundational phase ensures you are in a more secure state from the start and that your end-users only have to be introduced to new concepts one time.

ÚkolTask DetailyDetail Požadovaná licenceRequired license
Určení více než jednoho globálního správceDesignate more than one global administrator Pokud je to možné, přiřaďte alespoň dva trvalé účty globálního správce jenom v cloudu.Assign at least two cloud-only permanent global administrator accounts for use if there is an emergency. Tyto účty se nepoužívají denně a měly by mít dlouhá a složitá hesla.These accounts are not be used daily and should have long and complex passwords. Azure AD FreeAzure AD Free
Pokud je to možné, používejte jiné než globální role správyUse non-global administrative roles where possible Poskytněte správcům jenom přístup, který potřebují jenom pro oblasti, ke kterým potřebují přístup.Give your administrators only the access they need to only the areas they need access to. Ne všichni správci musí být globální správci.Not all administrators need to be global administrators. Azure AD FreeAzure AD Free
Povolit Privileged Identity Management pro sledování použití role správceEnable Privileged Identity Management for tracking admin role use Povolí Privileged Identity Management zahájení sledování využití role správy.Enable Privileged Identity Management to start tracking administrative role usage. Azure AD Premium P2Azure AD Premium P2
Zavedení samoobslužného resetování heslaRoll out self-service password reset Omezení výzvy helpdesku pro resetování hesel tím, že zaměstnancům umožní resetovat vlastní hesla pomocí zásad, které jste jako ovládací prvek správce.Reduce helpdesk calls for password resets by allowing staff to reset their own passwords using policies you as an administrator control.
Vytvořit vlastní seznam zakázaných hesel pro konkrétní organizaciCreate an organization specific custom banned password list Uživatelům zabránit ve vytváření hesel, která budou obsahovat běžná slova nebo fráze z vaší organizace nebo oblasti.Prevent users from creating passwords that include common words or phrases from your organization or area.
Povolit místní integraci s ochranou hesel Azure ADEnable on-premises integration with Azure AD password protection Rozšíříte seznam zakázaných hesel na váš místní adresář, abyste měli jistotu, že jsou nastavená místní hesla taky v souladu se seznamy zakázaných hesel a globálních seznamů.Extend the banned password list to your on-premises directory, to ensure passwords set on-premises are also in compliance with the global and tenant-specific banned password lists. Azure AD Premium P1Azure AD Premium P1
Povolit pokyny pro heslo MicrosoftuEnable Microsoft's password guidance Zastavení vyžadování uživatelů ke změně hesla podle nastaveného plánu, zakázání požadavků na složitost a vašim uživatelům je více apt, aby si zapamatovali hesla a zajistili, že jsou zabezpečená.Stop requiring users to change their password on a set schedule, disable complexity requirements, and your users are more apt to remember their passwords and keep them something that is secure. Azure AD FreeAzure AD Free
Zakázat pravidelná resetování hesla pro cloudové uživatelské účtyDisable periodic password resets for cloud-based user accounts Periodické resetování hesla připomáhají uživatelům zvyšovat stávající hesla.Periodic password resets encourage your users to increment their existing passwords. Použijte pokyny v dokumentu pokyny pro heslo od Microsoftu a zrcadlte své místní zásady na uživatele jenom pro Cloud.Use the guidelines in Microsoft's password guidance doc and mirror your on-premises policy to cloud-only users. Azure AD FreeAzure AD Free
Přizpůsobení Azure Active Directoryho inteligentního uzamčeníCustomize Azure Active Directory smart lockout Zastavení uzamčení od cloudových uživatelů při jejich replikaci do místních uživatelů Active DirectoryStop lockouts from cloud-based users from being replicated to on-premises Active Directory users
Povolit extranetové inteligentní uzamčení pro AD FSEnable Extranet Smart Lockout for AD FS AD FS uzamčení extranetu chrání před útoky hrubou silou hesla, zatímco umožňuje platným AD FSm uživatelům nadále používat své účty.AD FS extranet lockout protects against brute force password guessing attacks, while letting valid AD FS users continue to use their accounts.
Nasazení Multi-Factor Authentication Azure AD pomocí zásad podmíněného přístupuDeploy Azure AD Multi-Factor Authentication using Conditional Access policies Vyžaduje, aby uživatelé prováděli dvoustupňové ověřování při přístupu k citlivým aplikacím pomocí zásad podmíněného přístupu.Require users to perform two-step verification when accessing sensitive applications using Conditional Access policies. Azure AD Premium P1Azure AD Premium P1
Povolit Azure Active Directory Identity ProtectionEnable Azure Active Directory Identity Protection Povolte sledování rizikových přihlášení a napadených přihlašovacích údajů uživatelům ve vaší organizaci.Enable tracking of risky sign-ins and compromised credentials for users in your organization. Azure AD Premium P2Azure AD Premium P2
Použití zjišťování rizik ke spuštění vícefaktorového ověřování a změn heselUse risk detections to trigger multi-factor authentication and password changes Povolte automatizaci, která může aktivovat události, jako je vícefaktorové ověřování, resetování hesla a blokování přihlášení na základě rizika.Enable automation that can trigger events such as multi-factor authentication, password reset, and blocking of sign-ins based on risk. Azure AD Premium P2Azure AD Premium P2
Povolení sblížené registrace pro Samoobslužné resetování hesla a Multi-Factor Authentication Azure AD (Preview)Enable converged registration for self-service password reset and Azure AD Multi-Factor Authentication (preview) Umožněte uživatelům, aby se zaregistrovali z jednoho společného prostředí pro Azure Multi-Factor Authentication a Samoobslužné resetování hesla.Allow your users to register from one common experience for both Azure Multi-Factor Authentication and self-service password reset. Azure AD Premium P1Azure AD Premium P1

Fáze 2: import uživatelů, povolení synchronizace a Správa zařízeníPhase 2: Import users, enable synchronization, and manage devices

V dalším kroku přidáme do základu, která je ve fázi 1, importem uživatelů a povolením synchronizace, plánováním přístupu hostů a přípravou k podpoře dalších funkcí.Next, we add to the foundation laid in phase 1 by importing our users and enabling synchronization, planning for guest access, and preparing to support additional functionality.

ÚkolTask DetailyDetail Požadovaná licenceRequired license
Instalace služby Azure AD ConnectInstall Azure AD Connect Připravte se na synchronizaci uživatelů ze stávajícího místního adresáře do cloudu.Prepare to synchronize users from your existing on-premises directory to the cloud. Azure AD FreeAzure AD Free
Implementace synchronizace hodnot hash heselImplement Password Hash Sync Synchronizuje hodnoty hash hesel, aby bylo možné replikovat změny hesel, chybnou detekci a nápravu hesla a nevrácené zprávy o přihlašovacích údajích.Synchronize password hashes to allow password changes to be replicated, bad password detection and remediation, and leaked credential reporting. Azure AD FreeAzure AD Free
Implementace zpětného zápisu heslaImplement Password Writeback Povolí zpětný zápis změn hesel v cloudu do místního prostředí Active Directory Windows serveru.Allow password changes in the cloud to be written back to an on-premises Windows Server Active Directory environment. Azure AD Premium P1Azure AD Premium P1
Implementovat Azure AD Connect HealthImplement Azure AD Connect Health Povolte monitorování statistik stavu klíčů pro Azure AD Connect servery, servery AD FS a řadiče domény.Enable monitoring of key health statistics for your Azure AD Connect servers, AD FS servers, and domain controllers. Azure AD Premium P1Azure AD Premium P1
Přiřazení licencí uživatelům podle členství ve skupině v Azure Active DirectoryAssign licenses to users by group membership in Azure Active Directory Ušetřete čas a úsilí vytvořením skupin licencí, které umožňují povolit nebo zakázat funkce podle skupin namísto nastavení na uživatele.Save time and effort by creating licensing groups that enable or disable features by group instead of setting per user.
Vytvoření plánu pro přístup uživatele typu HostCreate a plan for guest user access Spolupracujte s uživateli typu Host tím, že jim umožníte přihlašovat se k vašim aplikacím a službám s vlastními pracovními, školními nebo sociálními identitami.Collaborate with guest users by letting them sign in to your apps and services with their own work, school, or social identities. Pokyny k licencování Azure AD B2BAzure AD B2B licensing guidance
Rozhodnutí o strategii správy zařízeníDecide on device management strategy Rozhodněte se, co vaše organizace povoluje pro zařízení.Decide what your organization allows regarding devices. Při registraci vs se spojí vaše vlastní zařízení a společnost.Registering vs joining, Bring Your Own Device vs company provided.
Nasazení Windows Hello pro firmy ve vaší organizaciDeploy Windows Hello for Business in your organization Příprava ověřování pomocí hesla ve Windows HelloPrepare for passwordless authentication using Windows Hello
Nasazení metod ověřování neheslem pro vaše uživateleDeploy passwordless authentication methods for your users Poskytněte uživatelům praktické metody ověřování bez heslaProvide your users with convenient passwordless authentication methods Azure AD Premium P1Azure AD Premium P1

Fáze 3: Správa aplikacíPhase 3: Manage applications

Jak pokračujeme v sestavách v předchozích fázích, identifikujeme kandidátské aplikace pro migraci a integraci s Azure AD a dokončíte nastavení těchto aplikací.As we continue to build on the previous phases, we identify candidate applications for migration and integration with Azure AD and complete the setup of those applications.

ÚkolTask DetailyDetail Požadovaná licenceRequired license
Identifikujte své aplikaceIdentify your applications Identifikujte aplikace používané ve vaší organizaci: místní, SaaS aplikace v cloudu a další obchodní aplikace.Identify applications in use in your organization: on-premises, SaaS applications in the cloud, and other line-of-business applications. Určete, jestli tyto aplikace můžou a by měly být spravované pomocí Azure AD.Determine if these applications can and should be managed with Azure AD. Není vyžadována žádná licence.No license required
Integrace podporovaných aplikací SaaS v galeriiIntegrate supported SaaS applications in the gallery Azure AD obsahuje galerii obsahující tisíce předem integrovaných aplikací.Azure AD has a gallery that contains thousands of pre-integrated applications. Některé aplikace, které vaše organizace používá, jsou pravděpodobně v galerii přístupné přímo z Azure Portal.Some of the applications your organization uses are probably in the gallery accessible directly from the Azure portal. Azure AD FreeAzure AD Free
Použití proxy aplikací k integraci místních aplikacíUse Application Proxy to integrate on-premises applications Proxy aplikací umožňuje uživatelům přístup k místním aplikacím přihlášením pomocí svého účtu služby Azure AD.Application Proxy enables users to access on-premises applications by signing in with their Azure AD account.

Fáze 4: Auditovat privilegované identity, dokončit kontrolu přístupu a spravovat životní cyklus uživatelePhase 4: Audit privileged identities, complete an access review, and manage user lifecycle

Fáze 4 se dohlíží k správcům, kteří vynucují zásady minimálního oprávnění pro správu, dokončují první kontroly přístupu a povolují automatizaci běžných úkolů životního cyklu uživatele.Phase 4 sees administrators enforcing least privilege principles for administration, completing their first access reviews, and enabling automation of common user lifecycle tasks.

ÚkolTask DetailyDetail Požadovaná licenceRequired license
Vynutilo použití Privileged Identity ManagementEnforce the use of Privileged Identity Management Odeberte role pro správu z normálního denního uživatelského účtu.Remove administrative roles from normal day to day user accounts. Uživatelé s právy pro správu mají nárok na používání své role po úspěšném ověření služby Multi-Factor Authentication, poskytování obchodního odůvodnění nebo žádosti o schválení od určených schvalovatelů.Make administrative users eligible to use their role after succeeding a multi-factor authentication check, providing a business justification, or requesting approval from designated approvers. Azure AD Premium P2Azure AD Premium P2
Dokončení kontroly přístupu pro role adresáře Azure AD v PIMComplete an access review for Azure AD directory roles in PIM Spolupracujte se svými týmy zabezpečení a vedoucími k vytvoření zásady kontroly přístupu ke kontrole přístupu pro správu na základě zásad vaší organizace.Work with your security and leadership teams to create an access review policy to review administrative access based on your organization's policies. Azure AD Premium P2Azure AD Premium P2
Implementace zásad členství v dynamické skupiněImplement dynamic group membership policies Pomocí dynamických skupin můžete automaticky přiřazovat uživatele do skupin na základě jejich atributů z HR (nebo ze zdroje pravdy), jako je oddělení, název, oblast a další atributy.Use dynamic groups to automatically assign users to groups based on their attributes from HR (or your source of truth), such as department, title, region, and other attributes.
Implementace zřizování aplikace založené na skupináchImplement group based application provisioning Pro Automatické zřizování uživatelů pro aplikace SaaS použijte zřizování skupinového přístupu na základě skupin.Use group-based access management provisioning to automatically provision users for SaaS applications.
Automatizace zřizování a rušení zřizování uživatelůAutomate user provisioning and deprovisioning Odebrání ručních kroků z životního cyklu účtu zaměstnance, aby nedocházelo k neoprávněnému přístupuRemove manual steps from your employee account lifecycle to prevent unauthorized access. Synchronizujte identity ze zdroje pravdy (systému HR) do Azure AD.Synchronize identities from your source of truth (HR System) to Azure AD.

Další krokyNext steps

Podrobnosti o licencování a cenách Azure ADAzure AD licensing and pricing details

Konfigurace identit a přístupu k zařízenímIdentity and device access configurations

Běžné Doporučené zásady pro identitu a přístup k zařízenímCommon recommended identity and device access policies