Přehled zabezpečení správy identit v Azure

  • Článek
  • 8 min ke čtení

Správa identit je proces ověřování a autorizace objektů zabezpečení. Zahrnuje také řízení informací o těchto objektech zabezpečení (identity). Objekty zabezpečení (identity) můžou zahrnovat služby, aplikace, uživatele, skupiny atd. Řešení pro správu identit a přístupu od Microsoftu umožňují IT chránit přístup k aplikacím a prostředkům v podnikovém datovém centru a do cloudu. Taková ochrana umožňuje další úrovně ověřování, například Multi-Factor Authentication a zásady podmíněného přístupu. Monitorování podezřelých aktivit prostřednictvím pokročilých sestav zabezpečení, auditování a upozorňování pomáhá zmírnit možné problémy se zabezpečením. Azure Active Directory Premium poskytuje jednotné přihlašování (SSO) k tisícům aplikací SaaS (cloud software as a service) a přístup k webovým aplikacím, které spouštíte místně.

díky výhodám zabezpečení Azure Active Directory (Azure AD) můžete:

  • Umožňuje vytvořit a spravovat jednu identitu pro každého uživatele v celém podniku a přitom zajistit synchronizaci uživatelů, skupin a zařízení.
  • Poskytněte přístup k vašim aplikacím bez jednotného přihlašování, včetně tisíců předem integrovaných aplikací SaaS.
  • Zajistit zabezpečení přístupu k aplikacím tím, že u místních i cloudových aplikací budete vynucovat vícefaktorové ověřování na základě pravidel.
  • Zajištění zabezpečeného vzdáleného přístupu k místním webovým aplikacím prostřednictvím Azure Proxy aplikací služby AD.

Cílem tohoto článku je poskytnout přehled základních funkcí zabezpečení Azure, které vám pomůžou se správou identit. Poskytujeme také odkazy na články, které poskytují podrobné informace o jednotlivých funkcích, abyste se mohli dozvědět víc.

Článek se zaměřuje na následující základní možnosti správy identit Azure:

  • Jednotné přihlašování
  • Reverzní proxy server
  • Multi-Factor Authentication
  • Řízení přístupu na základě role Azure (Azure RBAC)
  • Monitorování zabezpečení, výstrahy a sestavy založené na strojovém učení
  • Správa identit a přístupu uživatelů
  • Registrace zařízení
  • Privileged Identity Management
  • Ochrana identit
  • Hybridní Správa identit/Azure AD Connect
  • Kontroly přístupu Azure AD

Jednotné přihlašování

SSO znamená přístup k všem aplikacím a prostředkům, které musíte udělat v podniku, a to tak, že se jednou přihlásíte pomocí jednoho uživatelského účtu. Jakmile se přihlásíte, budete mít přístup ke všem aplikacím, které potřebujete, aniž by bylo nutné je ověřit (například zadat heslo) podruhé.

mnoho organizací spoléhá na SaaS aplikace, jako jsou Microsoft 365, Box a Salesforce, pro produktivitu uživatelů. Historicky zaměstnanci IT potřebují pro jednotlivé aplikace SaaS vytvářet a aktualizovat uživatelské účty a uživatelé si museli pamatovat heslo pro každou aplikaci SaaS.

Azure AD rozšiřuje místní prostředí Active Directory do cloudu a umožňuje uživatelům používat jejich primární účet organizace k přihlašování nejen ke svým zařízením připojeným k doméně a prostředkům společnosti, ale také ke všem webovým a SaaS aplikacím, které potřebují pro své úlohy.

Nejen uživatelé nepotřebují spravovat více sad uživatelských jmen a hesel, můžete automaticky zřídit nebo zrušit přístup k aplikaci na základě jejich organizačních skupin a jejich stavu zaměstnanců. Azure AD zavádí zabezpečení a přístup k řízení zásad správného řízení, pomocí kterých můžete centrálně spravovat přístup uživatelů napříč SaaS aplikacemi.

Další informace:

Reverzní proxy server

Azure Proxy aplikací služby AD umožňuje publikovat místní aplikace, jako jsou SharePoint weby, Outlook Web Appa aplikace založené na službě IISv privátní síti a poskytuje zabezpečený přístup uživatelům mimo vaši síť. Proxy aplikací poskytuje vzdálený přístup a jednotné přihlašování pro mnoho typů místních webových aplikací s tisíci SaaS aplikacemi, které Azure AD podporuje. Zaměstnanci se můžou k aplikacím přihlašovat z domova na svých vlastních zařízeních a ověřovat prostřednictvím tohoto cloudového proxy serveru.

Další informace:

Multi-Factor Authentication

Azure AD Multi-Factor Authentication je metoda ověřování, která vyžaduje použití více než jedné metody ověřování a přidává kritickou druhou vrstvu zabezpečení pro přihlášení a transakce uživatelů. Multi-Factor Authentication pomáhá chránit přístup k datům a aplikacím a současně plnit požadavky uživatelů na jednoduchý proces přihlašování. Poskytuje silné ověřování prostřednictvím řady možností ověřování: telefonní hovory, textové zprávy nebo oznámení mobilní aplikace nebo ověřovací kódy a tokeny OAuth třetích stran.

Další informace:

Azure RBAC

Azure RBAC je autorizační systém založený na Azure Resource Manager, který poskytuje jemně odstupňovanou správu přístupu k prostředkům v Azure. Azure RBAC umožňuje detailní kontrolu úrovně přístupu uživatelů. Můžete například omezit uživatele tak, aby spravovali jenom virtuální sítě a jiného uživatele a spravovali všechny prostředky ve skupině prostředků. Azure obsahuje několik předdefinovaných rolí, které můžete využít. V následujícím seznamu najdete čtyři základní předdefinované role. První tři se vztahují ke všem typům prostředků.

  • Vlastník – má plný přístup ke všem prostředkům, včetně práva delegovat přístup na ostatní uživatele.
  • Přispěvatel – může vytvářet a spravovat všechny typy prostředků Azure, ale nemůže udělovat přístup ostatním.
  • Čtenář – může zobrazit existující prostředky Azure.
  • Správce uživatelských přístupů – může spravovat uživatelský přístup k prostředkům Azure.

Další informace:

Monitorování zabezpečení, výstrahy a sestavy založené na strojovém učení

Monitorování zabezpečení, výstrahy a sestavy založené na strojovém učení, které identifikují nekonzistentní vzory přístupu, vám můžou přispět k ochraně vaší firmy. K získání přehledu o integritě a zabezpečení adresáře vaší organizace můžete použít sestavy přístupu a využití Azure AD. S těmito informacemi může správce adresáře lépe určit, kde můžou být potenciální bezpečnostní rizika, aby mohli přiměřeně naplánovat zmírnění těchto rizik.

Sestavy v Azure Portal spadají do následujících kategorií:

  • Sestavy anomálií: obsahují události přihlášení, které jsme zjistili, že jsou neobvyklé. Naším cílem je, abyste věděli o takové činnosti a bylo možné určit, jestli je událost podezřelá.
  • Integrované sestavy aplikací: poskytují přehled o tom, jak se ve vaší organizaci používají cloudové aplikace. Azure AD nabízí integraci s tisíci cloudových aplikací.
  • Zprávy o chybách: označuje chyby, které mohou nastat při zřizování účtů pro externí aplikace.
  • Sestavy specifické pro uživatele: zobrazení dat aktivit přihlašování zařízení pro určitého uživatele.
  • Protokoly aktivit: obsahují záznam všech auditovaných událostí za posledních 24 hodin, posledních 7 dní nebo posledních 30 dnů, a změny aktivity skupiny a aktivity resetování hesla a registrace.

Další informace:

Správa identit a přístupu uživatelů

Azure AD B2C je vysoce dostupná, globální služba pro správu identit pro zákaznické aplikace, která se škáluje na stovky milionů identit. Dá se integrovat do mobilních i webových platforem. Vaši uživatelé se můžou přihlásit ke všem aplikacím prostřednictvím přizpůsobitelného prostředí pomocí svých stávajících účtů sociálních sítí nebo vytvořením nových přihlašovacích údajů.

V minulosti si vývojáři aplikací, kteří chtěli zaregistrovat zákazníky a přihlásili jim své aplikace, museli napsat svůj vlastní kód. A použili by místní databáze nebo systémy k ukládání uživatelských jmen a hesel. Azure AD B2C nabízí vaší organizaci lepší způsob integrace správy identit uživatelů do aplikací s využitím zabezpečené, standardizované platformy a rozsáhlé sady rozšiřitelných zásad.

Když použijete Azure AD B2C, můžou si vaši zákazníci zaregistrovat své aplikace pomocí svých stávajících účtů sociálních sítí (Facebook, Google, Amazon, LinkedIn) nebo vytvořením nových přihlašovacích údajů (e-mailová adresa a heslo nebo uživatelského jména a hesla).

Další informace:

Registrace zařízení

Registrace zařízení v Azure AD je základem pro scénáře podmíněného přístupu na základě zařízení. Když je zařízení zaregistrované, registrace zařízení azure AD poskytne zařízení identitu, kterou používá k ověření zařízení při přihlášení uživatele. Ověřené zařízení a jeho atributy je pak možné použít k vynucování zásad podmíněného přístupu pro aplikace hostované v cloudu i v místním prostředí.

V kombinaci s řešením pro správu mobilních zařízení, jako je intune, se atributy zařízení v Azure AD aktualizují o další informace o zařízení. Pak můžete vytvořit pravidla podmíněného přístupu, která vynucuje přístup ze zařízení, aby splňovala vaše standardy zabezpečení a dodržování předpisů.

Další informace:

Privileged Identity Management

S Azure AD Privileged Identity Management můžete spravovat, řídit a monitorovat privilegované identity a přístup k prostředkům v Azure AD i k dalším prostředkům Microsoft online služby, jako jsou Microsoft 365 a Microsoft Intune.

Uživatelé někdy potřebují provádět privilegované operace v Azure nebo Microsoft 365 prostředky nebo v jiných aplikacích SaaS. Tato potřeba často znamená, že organizace musí uživatelům poskytnout trvalý privilegovaný přístup v Azure AD. Takový přístup je rostoucím bezpečnostním rizikem pro prostředky hostované v cloudu, protože organizace nemůže dostatečně monitorovat, co uživatelé dělají se svými oprávněními správce. Kromě toho, pokud dojde k ohrožení zabezpečení uživatelského účtu s privilegovaný přístup, může toto porušení zabezpečení ovlivnit celkové zabezpečení cloudu organizace. Azure AD Privileged Identity Management pomáhá toto riziko zmírnit.

Azure AD Privileged Identity Management umožňuje:

  • Podívejte se, kteří uživatelé jsou správci Azure AD.
  • Povolte přístup pro správu za běhu (JIT) na vyžádání k služby Microsoft, jako jsou Microsoft 365 a Intune.
  • Získejte sestavy o historii přístupu správce a změnách v přiřazeních správce.
  • Získejte upozornění na přístup k privilegované roli.

Další informace:

Ochrana identit

Azure AD Identity Protection je služba zabezpečení, která poskytuje konsolidované zobrazení detekce rizik a potenciálních ohrožení zabezpečení, která ovlivňují identity vaší organizace. Služba Identity Protection využívá stávající funkce detekce anomálií Azure AD, které jsou k dispozici prostřednictvím sestav neobvyklé aktivity Azure AD. Identity Protection také zavádí nové typy detekce rizik, které mohou detekovat anomálie v reálném čase.

Další informace:

Hybridní správa identit / Azure AD Connect

Řešení pro správu identit od Microsoftu pokrývá místní i cloudové funkce a vytvářejí jedinou identitu uživatele pro ověřování a autorizaci u všech prostředků bez ohledu na umístění. Tomu se říká hybridní identita. Azure AD Connect je nástroj od Microsoftu, jehož účelem je splnit a zajistit cíle hybridní identity. Umožňuje zajistit pro vaše uživatele společnou identitu pro Microsoft 365, Azure a aplikace SaaS integrované s využitím Azure AD. Má následující funkce:

  • Synchronizace
  • AD FS a integrace federace
  • Předávat ověřování
  • Monitorování stavu

Další informace:

Kontroly přístupu Azure AD

Kontroly přístupu Azure Active Directory (Azure AD) umožňují organizacím efektivně spravovat členství ve skupinách, přístup k podnikovým aplikacím a přiřazení privilegovaných rolí.

Další informace: