Playbook di PoC di Azure Active Directory: implementazione

Introduzione: sincronizzazione di AD con Azure AD

Un'identità ibrida è la base per la maggior parte dei clienti aziendali che dispongono già di una directory locale. L'obiettivo qui è intenzionalmente di trascorrere il minor tempo possibile per mostrare il valore degli scenari di identità e di accessi effettivi.

Scenario Blocchi predefiniti
Estensione dell'identità locale nel cloud Sincronizzazione directory: sincronizzazione dell'hash delle password
Nota: se si dispone già di DirSync/ADSync o di versioni precedenti di Azure AD Connect, questo passaggio è facoltativo. Alcuni scenari in questa guida potrebbero richiedere la versione più recente di Azure AD Connect.
Personalizzazione
Assegnare licenze di Azure AD usando i gruppi Licenze basate sui gruppi

Estensione dell'identità locale nel cloud

  1. Bob è l'amministratore di Active Directory in Contoso. Ha il compito di abilitare l'identità come servizio per un gruppo di utenti. Dopo l'esecuzione della procedura guidata di Azure AD Connect, l'identità degli utenti di destinazione è disponibile nel cloud.
  2. Bob chiede a Susie, una utente di destinazione, di accedere al pannello di accesso di Azure Active Directory e verificare di poter eseguire l'autenticazione. Susie vedrà una pagina di accesso personalizzata e un pannello di accesso vuoto pronto per l'abilitazione dell'accesso futuro alle applicazioni.

Assegnare le licenze di Azure AD usando i gruppi

  1. Bob, l'amministratore globale di Azure AD, vuole assegnare le licenze di Azure AD a un gruppo specifico di utenti come parte della distribuzione iniziale di Azure AD.
  2. Bob crea un gruppo per gli utenti pilota.
  3. Assegna le licenze al gruppo
  4. Susie, una delle Information Worker, viene aggiunta al gruppo di sicurezza nell'ambito delle sue funzioni lavorative
  5. Dopo un certo tempo, Susie ha accesso alla licenza Premium di Azure AD. Ciò abiliterà più degli scenari PoC in seguito.

Tema: molte app, una sola identità

Scenario Blocchi predefiniti
Integrare applicazioni SaaS: SSO federato SaaS: configurazione SSO federato
Gruppi: proprietà delegata
Integrare applicazioni SaaS: SSO con password SaaS: configurazione SSO con password
SSO ed eventi del ciclo di vita delle identità SaaS e ciclo di vita delle identità
Proteggere l'accesso agli account condivisi SaaS: configurazione di account condivisi
Proteggere l'accesso remoto alle applicazioni locali Configurazione del proxy delle app
Sincronizzare le identità LDAP con Azure AD Configurazione del connettore LDAP generico

Integrare applicazioni SaaS: SSO federato

  1. Bob, l'amministratore globale di Azure AD, riceve una richiesta dal reparto marketing di abilitare l'accesso all'istanza di ServiceNow. Bob trova ed esegue l'esercitazione dettagliata nella documentazione di Azure AD e delega l'assegnazione di utenti per l'app a Kevin, il responsabile del team di marketing.
  2. Kevin accede come proprietario dei diritti per ServiceNow e assegna Susie all'app. Kevin nota anche che il profilo di Susie è stato creato automaticamente in ServiceNow.
  3. Susie è una Information Worker del reparto marketing. Accede ad Azure AD e vede tutte le applicazioni SaaS a cui è stata assegnata nel portale App personali. Da qui accede senza problemi a ServiceNow.
  4. Il reparto marketing vuole controllare chi ha avuto accesso a ServiceNow. Bob scarica un report delle attività e lo condivide con Kevin tramite posta elettronica.

SSO ed eventi del ciclo di vita delle identità

  1. Susie prende un congedo e l'account AD locale viene disabilitato temporaneamente in base ai criteri aziendali. Susie ora non può eseguire l'accesso ad Azure AD e quindi non può accedere a ServiceNow.
  2. Susie accetta un trasferimento laterale dal reparto marketing a quello vendite. Kevin rimuove il suo accesso da ServiceNow. Susie accede al portale App personali di Azure AD e il riquadro ServiceNow non è più visibile. Dopo 10 minuti Kevin conferma che l'account di Susie è stato disabilitato dalla console di gestione di ServiceNow.

Integrare applicazioni SaaS: SSO con password

  1. Bob configura l'accesso ad Atlassian HipChat. HipChat prevede l'integrazione dell'accesso SSO con password e concede l'accesso a Susie
  2. Susie accede al portale App personali dove è presente un collegamento per scaricare l'estensione del browser IE di AD Azure che Susie scarica
  3. Facendo clic, vengono richieste le credenziali nome utente e password per HipChat. Si tratta di un'operazione occasionale; al termine Susie ha accesso a HipChat
  4. Pochi giorni dopo Susie apre il portale App personali e fa clic di nuovo su HipChat. Questa volta ottiene l'accesso in modo trasparente
  5. Kevin, il proprietario dell'app HipChat, vuole verificare chi ha avuto accesso all'applicazione. Bob scarica un report di controllo e lo condivide con Kevin tramite posta elettronica.

Proteggere l'accesso agli account condivisi

  1. A Bob viene affidato il compito di proteggere l'handle Twitter condiviso per i membri del team vendite. Aggiunge Twitter come applicazione SSO e assegna l'applicazione al gruppo di sicurezza del team vendite. Ha ricevuto le credenziali per l'account condiviso e le fornisce nel sistema.
  2. La condivisione delle credenziali Twitter non risulta più attendibile poiché sono note e più persone. Bob abilita il rollover automatico della password di Twitter.
  3. Susie, un membro del team vendite, accede al portale App personali, dove è presente un collegamento per scaricare l'estensione del browser IE di AD Azure. Esegue l'installazione.
  4. Facendo clic ottiene l'accesso direttamente a Twitter. Non conosce la password.
  5. Anche Arnold fa parte del team vendite. La sua esperienza è la stessa di Susie nei passaggi 3 e 4
  6. Il reparto vendite desidera controllare chi ha avuto accesso Twitter. Bob scarica un report delle attività e lo condivide con Kevin tramite posta elettronica.

Proteggere l'accesso remoto alle applicazioni locali

  1. Bob, l'amministratore globale di AD Azure, ha ricevuto numerose richieste di consentire ai dipendenti di accedere alle numerose e utili risorse locali, ad esempio l'applicazione per le spese, mentre lavorano in modalità remota. Segue le indicazioni nella documentazione del Proxy di applicazione di installare un connettore e pubblica l'applicazione per le spese come applicazione Proxy dell'applicazione.
  2. Bob condivide l'URL dell'applicazione per le spese esterna con Susie, una delle dipendenti che necessita dell'accesso remoto. Susie accede al collegamento e dopo l'autenticazione con AAD è in grado di accedere all'app per le spese e restare produttiva con l'accesso remoto.
  3. Bob continua quindi a pubblicare applicazioni locali aggiuntive usando lo stesso processo e concedendo l'accesso agli utenti in base alle esigenze. Aggiunge l'accesso condizionale e l'autenticazione Multi-Factor Authentication per le applicazioni più sensibili che pubblica, per garantire una protezione aggiuntiva.

Sincronizzare le identità LDAP con Azure AD

  1. L'azienda di Bob ha un'infrastruttura delle identità complessa. La maggior parte degli utenti viene gestita all'interno di Active Directory Domain Services (ADDS) di Windows Server. Alcuni utenti vengono gestiti dal sistema HR all'interno di Active Directory Lightweight Directory Services (ADLDS).
  2. A Bob viene assegnato il compito di abilitazione l'accesso alle app SaaS per tutti gli utenti, anche quelli non presenti in ADDS.
  3. Bob configura il connettore LDAP generico per estrarre i dati da ADLDS in Azure AD Connect.
  4. Bob crea le regole di sincronizzazione per consentire che gli utenti LDAP vengano popolati in Metaverse e Azure AD
  5. Susie, come utente LDAP, accede alla propria app SaaS usando l'identità sincronizzata

Importante

Si tratta di una configurazione avanzata che richiede una certa conoscenza di FIM o MIM. Se usata in produzione, è consigliabile leggere le domande su questa configurazione in supporto tecnico Premier.

Tema: aumentare la sicurezza

Scenario Blocchi predefiniti
Proteggere l'accesso all'account amministratore Azure MFA con le chiamate telefoniche
Proteggere l'accesso per le applicazioni Accesso condizionale per applicazioni SaaS
Abilitare l'amministrazione JIT Privileged Identity Management
Proteggere le identità in base al rischio Rilevare eventi di rischio
Distribuire criteri di rischio di accesso
Eseguire l'autenticazione senza password con l'autenticazione basata su certificati Configurare l'autenticazione basata su certificati

Proteggere l'accesso all'account amministratore

  1. Bob è l'amministratore globale di Azure AD. Ha identificato Stuart come co-amministratore del servizio.
  2. Bob configura l'account di Stuart in modo che venga richiesta sempre l'autenticazione MFA per migliorare le condizioni di sicurezza
  3. Stuart accede al portale di Azure e verifica che deve registrare il suo numero di telefono per continuare l'accesso
  4. Gli accessi successivi di Stuart sono ora protetti con l'autenticazione Multi-Factor Authentication e Stuart riceve una telefonata a verifica della propria identità.

Proteggere l'accesso alle applicazioni

  1. Kevin è il proprietario aziendale dei diritti di ServiceNow. L'azienda vuole ora che gli utenti eseguano l'accesso con l'autenticazione MFA quando accedono all'esterno della rete aziendale.
  2. Bob, l'amministratore globale di Azure AD, aggiunge un criterio di accesso condizionale all'applicazione ServiceNow per abilitare l'autenticazione MFA per l'accesso esterno
  3. Susie, una Information Worker, accede al portale App personali e fa clic sul riquadro ServiceNow. A Susie viene visualizzata una richiesta di autenticazione MFA.

Abilitare l'amministrazione JIT

  1. Bob e Stuart sono amministratori globali di Azure AD. Vogliono attivare l'accesso JIT ai ruoli di gestione e anche tenere traccia dell'uso dei ruoli con privilegi.
  2. Bob abilita la gestione PIM nel tenant di Azure AD e diventa amministratore della sicurezza. Modifica sia sé stesso come utente sia l'appartenenza al ruolo di amministratore globale di Stuart da permanente a idoneo.
  3. Bob e Stuart ora devono attivare il proprio ruolo tramite il portale di Azure prima di eseguire eventuali modifiche alla configurazione di Azure AD.

Proteggere le identità in base al rischio

  1. Susie, una Information Worker, tenta di eseguire l'accesso da un browser Tor.
  2. Bob controlla il dashboard Azure AD Identity Protection e visualizza l'account di accesso di Susie da un indirizzo IP anonimo. Il team che gestisce la sicurezza vuole richiedere l'autenticazione MFA per questi accessi
  3. Bob abilita i criteri di Azure AD Identity Protection per richiedere l'autenticazione MFA per gli eventi a medio o alto rischio
  4. Dopo un po' di tempo Susie accede di nuovo dal browser Tor. Questa volta le verrà visualizzata la richiesta di autenticazione MFA

Eseguire l'autenticazione senza password con l'autenticazione basata su certificati

  1. Bob è l'amministratore globale per l'istituto finanziario, che impedisce l'uso di password come fattore di autenticazione per le proprie applicazioni.
  2. Bob abilita e applica l'autenticazione mediante certificato in ADFS e Azure AD
  3. Durante l'accesso dell'applicazione a Susie viene richiesto di eseguire l'autenticazione tramite il certificato

Tema: scalabilità self-service

Scenario Blocchi predefiniti
Reimpostazione password self-service Reimpostazione password self-service
Accesso self-service alle applicazioni Accesso self-service alle applicazioni

Reimpostazione della password self-service

  1. Bob, l'amministratore globale di Azure AD, consente la gestione delle password self-service a un gruppo specifico di utenti, tra cui Susie.
  2. Susie accede al portale App personali, dove viene visualizzato un messaggio che indica di registrare le informazioni di sicurezza per eventi futuri di reimpostazione delle password.
  3. Dopo pochi giorni Susie dimentica la password e la reimposta tramite il portale di Azure AD

Accesso self-service alle applicazioni

  1. Kevin è il proprietario aziendale dei diritti di ServiceNow. Vuole che gli utenti si "registrino"su richiesta, anziché aggiungerli tutti contemporaneamente
  2. Bob, l'amministratore globale di Azure AD, modifica l'applicazione ServiceNow per abilitare le richieste self-service
  3. Susie, una Information Worker, accede al portale App personali e fa clic sul pulsante "Aggiungi altre applicazioni"; ServiceNow è presente come una delle applicazioni consigliate. Quindi Susie torna al portale App personali dove è visibile l'applicazione ServiceNow.

Procedura di studio

  1. Introduzione
  2. Ingredienti
  3. Implementazione
  4. Blocchi predefiniti