Memo 22-09 nagyvállalati szintű identitáskezelési rendszer
M 22–09 Az ügyvezető részlegek és ügynökségek vezetőinek nyilatkozata megköveteli, hogy az ügynökségek konszolidáló tervet dolgozzanak ki identitásplatformjaikhoz. A cél az, hogy a közzététel napjától számított 60 napon belül (2022. március 28.) a lehető legkevesebb ügynökség által felügyelt identitásrendszer legyen. Az identitásplatform konszolidálásának számos előnye van:
- Az identitás életciklusának, a szabályzatkényszerítésnek és a naplózható vezérlők kezelésének központosítása
- A végrehajtás egységes képessége és paritása
- Az erőforrások több rendszeren való betanítása szükségletének csökkentése
- A felhasználók egyszeri bejelentkezésének engedélyezése, majd alkalmazások és szolgáltatások elérése az informatikai környezetben
- Integrálás a lehető legtöbb ügynökségi alkalmazással
- Megosztott hitelesítési szolgáltatások és megbízhatósági kapcsolatok használata az ügynökségek közötti integráció megkönnyítéséhez
Miért érdemes a Microsoft Entra-azonosítót?
A 22–09-s memorandumban szereplő javaslatok implementálásához használja a Microsoft Entra ID-t. A Microsoft Entra ID olyan identitásvezérlőkkel rendelkezik, amelyek támogatják Teljes felügyelet kezdeményezéseket. A Microsoft Office 365-ben vagy az Azure-ban a Microsoft Entra ID identitásszolgáltató (IDP). Csatlakozás az alkalmazásokat és az erőforrásokat a Microsoft Entra ID-ra vállalati szintű identitásrendszerként.
Egyszeri bejelentkezésre vonatkozó követelmények
A feljegyzéshez a felhasználók egyszeri bejelentkezést, majd alkalmazások elérését igénylik. A Microsoft egyszeri bejelentkezéssel (SSO) a felhasználók egyszer jelentkeznek be, majd hozzáférhetnek a felhőszolgáltatásokhoz és alkalmazásokhoz. Lásd: Microsoft Entra közvetlen egyszeri bejelentkezés.
Integráció ügynökségek között
A Microsoft Entra B2B együttműködésével eleget tehet az ügynökségek közötti integráció és együttműködés megkönnyítése követelményének. A felhasználók egy Microsoft-bérlőben tartózkodhatnak ugyanabban a felhőben. A bérlők lehetnek egy másik Microsoft-felhőben vagy egy nem Azure AD-bérlőben (SAML/WS-Fed identitásszolgáltató).
A Microsoft Entra bérlők közötti hozzáférési beállításaival az ügynökségek kezelhetik, hogyan működnek együtt más Microsoft Entra-szervezetekkel és más Microsoft Azure-felhőkkel:
- A Microsoft-bérlők felhasználói számára elérhető hozzáférés korlátozása
- Gépház külső felhasználói hozzáféréshez, beleértve a többtényezős hitelesítés érvényesítését és az eszköz jelét
További információ:
- B2B-együttműködés áttekintése
- Microsoft Entra B2B kormányzati és nemzeti felhőkben
- Összevonás SAML/WS-Fed identitásszolgáltatókkal vendégfelhasználók számára
alkalmazások Csatlakozás
A Microsoft Entra ID vállalati szintű identitásrendszerként való konszolidálásához és használatához tekintse át a hatókörben lévő eszközöket.
Alkalmazások és szolgáltatások dokumentálása
Hozzon létre egy leltárt az alkalmazásokról és szolgáltatásokról, amelyekhez a felhasználók hozzáférnek. Az identitáskezelő rendszer védi az általa ismerteket.
Eszközbesorolás:
- Az ott található adatok bizalmassága
- A nagyobb rendszerekben lévő adatok és/vagy információk bizalmasságára, integritására vagy rendelkezésre állására vonatkozó törvények és szabályozások
- Az említett törvények és szabályozások, amelyek a rendszerinformációs védelmi követelményekre vonatkoznak
Az alkalmazásleltárhoz határozza meg azokat az alkalmazásokat, amelyek felhőalapú protokollokat vagy örökölt hitelesítési protokollokat használnak:
- A felhőalapú alkalmazások támogatják a modern hitelesítési protokollokat:
- SAML
- WS-összevonás/megbízhatóság
- OpenID Csatlakozás (OIDC)
- OAuth 2.0.
- Az örökölt hitelesítési alkalmazások régebbi vagy védett hitelesítési módszerekre támaszkodnak:
- Kerberos/NTLM (Windows-hitelesítés)
- Fejlécalapú hitelesítés
- LDAP
- Alapszintű hitelesítés
További információ a Microsoft Entra hitelesítési protokollokkal való integrációjáról.
Alkalmazás- és szolgáltatásfelderítési eszközök
A Microsoft az alábbi eszközöket kínálja az alkalmazások és szolgáltatások felderítésének támogatásához.
| Eszköz | Usage |
|---|---|
| Usage Analytics for Active Directory összevonási szolgáltatások (AD FS) (AD FS) | Az összevont kiszolgálóhitelesítési forgalmat elemzi. Lásd: AD FS monitorozása a Microsoft Entra Csatlakozás Health használatával |
| Microsoft Defender for Cloud Apps | Tűzfalnaplók vizsgálata a felhőalkalmazások, az infrastruktúra szolgáltatásként nyújtott szolgáltatások (IaaS) és a szolgáltatásként nyújtott platformszolgáltatások (PaaS) észleléséhez. Integrálja a Felhőhöz készült Defender-alkalmazásokat a Defender for Endpoint szolgáltatással a Windows-ügyféleszközökről elemzett adatok felderítéséhez. Lásd: Felhőhöz készült Microsoft Defender Alkalmazások áttekintése |
| Alkalmazásfelderítési munkalap | Dokumentálja az alkalmazások aktuális állapotát. Lásd: Application Discovery munkalap |
Előfordulhat, hogy az alkalmazásai a Microsofttól eltérő rendszerekben vannak, és előfordulhat, hogy a Microsoft eszközei nem fogják felderíteni ezeket az alkalmazásokat. Győződjön meg a teljes leltárról. A szolgáltatóknak mechanizmusokra van szükségük a szolgáltatásaikat használó alkalmazások felderítéséhez.
Alkalmazások rangsorolása a kapcsolathoz
Miután felfedezte az alkalmazásokat a környezetben, rangsorolja őket a migráláshoz. Consider:
- Üzleti kritikusság
- Felhasználói profilok
- Usage
- Élettartama
További információ: Alkalmazáshitelesítés migrálása a Microsoft Entra-azonosítóba.
Csatlakozás felhőre kész alkalmazásait prioritási sorrendben. Határozza meg az örökölt hitelesítési protokollokat használó alkalmazásokat.
Örökölt hitelesítési protokollokat használó alkalmazások esetén:
- Modern hitelesítéssel rendelkező alkalmazások esetén konfigurálja újra őket a Microsoft Entra ID használatára
- Modern hitelesítés nélküli alkalmazások esetén két lehetőség közül választhat:
- Az alkalmazás kódjának frissítése modern protokollok használatára a Microsoft Authentication Library (MSAL) integrálásával
- Microsoft Entra-alkalmazásproxy vagy biztonságos hibrid partnerhozzáférés használata a biztonságos hozzáféréshez
- Az alkalmazásokhoz való többé nem szükséges vagy nem támogatott alkalmazások leszerelése
Tudjon meg többet
- A Microsoft Entra integrációja hitelesítési protokollokkal
- Mi a Microsoft Identitásplatform?
- Biztonságos hibrid hozzáférés: Örökölt alkalmazások védelme a Microsoft Entra-azonosítóval
eszközök Csatlakozás
Az identitáskezelési rendszer központosításának része, hogy a felhasználók bejelentkezhessenek fizikai és virtuális eszközökre. Windows- és Linux-eszközöket csatlakoztathat a központosított Microsoft Entra rendszerben, ami kiküszöböli a több különálló identitásrendszert.
A leltározás és a hatókörkezelés során azonosítsa a Microsoft Entra ID-val integrálandó eszközöket és infrastruktúrát. Az integráció központosítja a hitelesítést és a felügyeletet feltételes hozzáférési szabályzatok használatával, a Microsoft Entra-azonosítón keresztül kikényszerített többtényezős hitelesítéssel.
Eszközök felderítése
Az Azure Automation-fiókok használatával azonosíthatja az eszközöket az Azure Monitorhoz csatlakoztatott leltárgyűjteményen keresztül. Végponthoz készült Microsoft Defender eszközleltár-funkciókkal rendelkezik. Fedezze fel azokat az eszközöket, amelyeken a Defender for Endpoint van konfigurálva, és melyek nem. Az eszközleltár olyan helyszíni rendszerekből származik, mint például a System Center Configuration Manager vagy az eszközöket és ügyfeleket kezelő egyéb rendszerek.
További információ:
- Készletgyűjtés kezelése virtuális gépekről
- Végponthoz készült Microsoft Defender áttekintése
- A hardverleltár bemutatása
Eszközök integrálása a Microsoft Entra-azonosítóval
A Microsoft Entra ID azonosítóval integrált eszközök hibrid csatlakoztatott eszközök vagy Microsoft Entra-csatlakoztatott eszközök. Különítse el az eszközök előkészítését ügyfél- és felhasználói eszközök, valamint infrastruktúraként működő fizikai és virtuális gépek alapján. A felhasználói eszközök üzembehelyezési stratégiájával kapcsolatos további információkért tekintse meg az alábbi útmutatást.
- A Microsoft Entra-eszköz üzembe helyezésének megtervezése
- Microsoft Entra hibrid csatlakoztatott eszközök
- Microsoft Entra csatlakoztatott eszközök
- Jelentkezzen be egy Windows rendszerű virtuális gépre az Azure-ban a Microsoft Entra azonosítójával, beleértve a jelszó nélkülit is
- Bejelentkezés Linux rendszerű virtuális gépre az Azure-ban a Microsoft Entra ID és az OpenSSH használatával
- Microsoft Entra-csatlakozás az Azure Virtual Desktophoz
- Eszközidentitás és asztali virtualizáció
Következő lépések
A következő cikkek a dokumentációs készlet részét képezik:
- A 22–09-s memorandum identitáskövetelményeinek teljesítése a Microsoft Entra-azonosítóval
- A 22-09-re vonatkozó memorandum többtényezős hitelesítési követelményeinek teljesítése
- A 22–09. számú memorandum engedélyezési követelményeinek teljesítése
- A 22–09. számú memorandumban tárgyalt Teljes felügyelet egyéb területei
- Identitás biztonságossá tétele Teljes felügyelet
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: