Playbook di PoC di Azure Active Directory: implementazioneAzure Active Directory Proof of Concept Playbook: Implementation

Introduzione: sincronizzazione di AD con Azure ADFoundation - Syncing AD to Azure AD

Un'identità ibrida è la base per la maggior parte dei clienti aziendali che dispongono già di una directory locale.A hybrid identity is the foundation for most of the enterprise customers who already have an on-premises directory. L'obiettivo qui è intenzionalmente di trascorrere il minor tempo possibile per mostrare il valore degli scenari di identità e di accessi effettivi.The goal here is to intentionally spend as less time here as possible to show the value of the actual identity and access scenarios.

ScenarioScenario Blocchi predefinitiBuilding Blocks
Estensione dell'identità locale nel cloudExtending your on-premises identity to the cloud Sincronizzazione directory: sincronizzazione dell'hash delle passwordDirectory Synchronization - Password Hash Sync
Nota: se si dispone già di DirSync/ADSync o di versioni precedenti di Azure AD Connect, questo passaggio è facoltativo.Note: If you already have DirSync/ADSync or earlier versions of Azure AD Connect, this step is optional. Alcuni scenari in questa guida potrebbero richiedere la versione più recente di Azure AD Connect.Some scenarios in this guide might require newer version of Azure AD Connect.
PersonalizzazioneBranding
Assegnare licenze di Azure AD usando i gruppiAssigning Azure AD licenses using groups Licenze basate sui gruppiGroup based licensing

Estensione dell'identità locale nel cloudExtending your on-premises identity to the cloud

  1. Bob è l'amministratore di Active Directory in Contoso.Bob is the Active Directory administrator at Contoso. Ha il compito di abilitare l'identità come servizio per un gruppo di utenti.He gets the requirement to enable identity as a service for a set of users. Dopo l'esecuzione della procedura guidata di Azure AD Connect, l'identità degli utenti di destinazione è disponibile nel cloud.After execution of Azure AD Connect wizard, the identity of the target users available in the cloud.
  2. Bob chiede a Susie, una utente di destinazione, di accedere al pannello di accesso di Azure Active Directory e verificare di poter eseguire l'autenticazione.Bob asks Susie, one of the target users, to access the Azure Active Directory access panel and confirm that she can authenticate. Susie vedrà una pagina di accesso personalizzata e un pannello di accesso vuoto pronto per l'abilitazione dell'accesso futuro alle applicazioni.Susie sees a branded login page and an empty access panel which is ready for enabling future application access.

Assegnare le licenze di Azure AD usando i gruppiAssigning Azure AD licenses using Groups

  1. Bob, l'amministratore globale di Azure AD, vuole assegnare le licenze di Azure AD a un gruppo specifico di utenti come parte della distribuzione iniziale di Azure AD.Bob is the Azure AD Global Admin and wants to allocate Azure AD licenses to a specific set of users as part of the initial rollout of Azure AD.
  2. Bob crea un gruppo per gli utenti pilota.Bob creates a group for the pilot users.
  3. Assegna le licenze al gruppoBob assigns the licenses to the group
  4. Susie, una delle Information Worker, viene aggiunta al gruppo di sicurezza nell'ambito delle sue funzioni lavorativeSusie, one of the information workers, is added to the security group as part of her job functions
  5. Dopo un certo tempo, Susie ha accesso alla licenza Premium di Azure AD.After some time, Susie has access to the Azure AD premium license. Ciò abiliterà più degli scenari PoC in seguito.This will enable more of the POC scenarios later on.

Tema: molte app, una sola identitàTheme - Lots of apps, one identity

ScenarioScenario Blocchi predefinitiBuilding Blocks
Integrare applicazioni SaaS: SSO federatoIntegrate SaaS Applications - Federated SSO SaaS: configurazione SSO federatoSaaS Federated SSO Configuration
Gruppi: proprietà delegataGroups - Delegated Ownership
Integrare applicazioni SaaS: SSO con passwordIntegrate SaaS Applications - Password SSO SaaS: configurazione SSO con passwordSaaS Password SSO Configuration
SSO ed eventi del ciclo di vita delle identitàSSO and Identity Lifecycle Events SaaS e ciclo di vita delle identitàSaaS and Identity Lifecycle
Proteggere l'accesso agli account condivisiSecure Access to Shared Accounts SaaS: configurazione di account condivisiSaaS Shared Accounts Configuration
Proteggere l'accesso remoto alle applicazioni localiSecure Remote Access to On-Premises Applications Configurazione del proxy delle appApp Proxy Configuration
Sincronizzare le identità LDAP con Azure ADSynchronize LDAP identities to Azure AD Configurazione del connettore LDAP genericoGeneric LDAP Connector configuration

Integrare applicazioni SaaS: SSO federatoIntegrate SaaS Applications - Federated SSO

  1. Bob, l'amministratore globale di Azure AD, riceve una richiesta dal reparto marketing di abilitare l'accesso all'istanza di ServiceNow.Bob is the Azure AD Global Admin and receives a request from the Marketing department to enable access to their ServiceNow Instance. Bob trova ed esegue l'esercitazione dettagliata nella documentazione di Azure AD e delega l'assegnazione di utenti per l'app a Kevin, il responsabile del team di marketing.Bob finds the step-by-step tutorial in Azure AD documentation and follows it, and delegates the assignment of users to the app to Kevin, the head of Marketing team.
  2. Kevin accede come proprietario dei diritti per ServiceNow e assegna Susie all'app.Kevin logs in as the owner of ServiceNow entitlements and assigns Susie to the app. Kevin nota anche che il profilo di Susie è stato creato automaticamente in ServiceNow.Kevin also notices that Susie's profile was created in ServiceNow automatically
  3. Susie è una Information Worker del reparto marketing.Susie is an information worker in the Marketing department. Accede ad Azure AD e vede tutte le applicazioni SaaS a cui è stata assegnata nel portale App personali.She logs in to azure AD and finds all SaaS applications she is assigned to in myapps portal. Da qui accede senza problemi a ServiceNow.From there, she seamlessly gets access to ServiceNow.
  4. Il reparto marketing vuole controllare chi ha avuto accesso a ServiceNow.The Marketing department wants to audit who accessed ServiceNow. Bob scarica un report delle attività e lo condivide con Kevin tramite posta elettronica.Bob downloads an activity report and shares it with Kevin over email.

SSO ed eventi del ciclo di vita delle identitàSSO and Identity Lifecycle Events

  1. Susie prende un congedo e l'account AD locale viene disabilitato temporaneamente in base ai criteri aziendali.Susie takes a leave of absence, and by corporate policy the on-premises AD account is temporary disabled. Susie ora non può eseguire l'accesso ad Azure AD e quindi non può accedere a ServiceNow.Susie now can't log in to Azure AD and therefore can't access ServiceNow.
  2. Susie accetta un trasferimento laterale dal reparto marketing a quello vendite.Susie makes a lateral move from Marketing to Sales. Kevin rimuove il suo accesso da ServiceNow.Kevin removes her access from ServiceNow. Susie accede al portale App personali di Azure AD e il riquadro ServiceNow non è più visibile.Susie logs in the azure ad myapps and she no longer sees the ServiceNow Tile. Dopo 10 minuti Kevin conferma che l'account di Susie è stato disabilitato dalla console di gestione di ServiceNow.After 10 minutes, Kevin confirms that Susie account was disabled from ServiceNow Management console.

Integrare applicazioni SaaS: SSO con passwordIntegrate SaaS Applications - Password SSO

  1. Bob configura l'accesso ad Atlassian HipChat.Bob configures access to Atlassian HipChat. HipChat prevede l'integrazione dell'accesso SSO con password e concede l'accesso a SusieHipChat has Password SSO integration and grant access to Susie
  2. Susie accede al portale App personali dove è presente un collegamento per scaricare l'estensione del browser IE di AD Azure che Susie scaricaSusie logs in to the myapps portal and sees a link to download the Azure AD IE browser extension, which she downloads
  3. Facendo clic, vengono richieste le credenziali nome utente e password per HipChat.Upon clicking, she gets prompted for her HipChat username and password credentials. Si tratta di un'operazione occasionale; al termine Susie ha accesso a HipChatThis is a one-time operation, and after completing it she has access to HipChat
  4. Pochi giorni dopo Susie apre il portale App personali e fa clic di nuovo su HipChat.A few days later, Susie opens myapps portal and clicks HipChat again. Questa volta ottiene l'accesso in modo trasparenteThis time around, she gets seamless access
  5. Kevin, il proprietario dell'app HipChat, vuole verificare chi ha avuto accesso all'applicazione.Kevin, the HipChat app owner, wants to audit who accessed the application. Bob scarica un report di controllo e lo condivide con Kevin tramite posta elettronica.Bob downloads an audit report and shares it with Kevin over email.

Proteggere l'accesso agli account condivisiSecure Access to Shared Accounts

  1. A Bob viene affidato il compito di proteggere l'handle Twitter condiviso per i membri del team vendite.Bob is tasked to secure the shared Twitter handle for members of the Sales team. Aggiunge Twitter come applicazione SSO e assegna l'applicazione al gruppo di sicurezza del team vendite.He adds Twitter as an SSO application, and assigns it to the security group of the Sales Team. Ha ricevuto le credenziali per l'account condiviso e le fornisce nel sistema.He was given the credentials to the shared account and he supplies it in the system.
  2. La condivisione delle credenziali Twitter non risulta più attendibile poiché sono note e più persone.Sharing Twitter credentials is no longer trusted due to multiple people knowing it. Bob abilita il rollover automatico della password di Twitter.Bob enables automatic rollover of the Twitter password.
  3. Susie, un membro del team vendite, accede al portale App personali, dove è presente un collegamento per scaricare l'estensione del browser IE di AD Azure.Susie, a member of the Sales team, logs in to the myapps portal and sees a link to download the Azure AD IE browser extension. Esegue l'installazione.She installs it.
  4. Facendo clic ottiene l'accesso direttamente a Twitter.Upon clicking she get access directly to Twitter. Non conosce la password.She does not know the password.
  5. Anche Arnold fa parte del team vendite.Arnold is also part of the sales team. La sua esperienza è la stessa di Susie nei passaggi 3 e 4He has the same experience as Susie in steps 3-4
  6. Il reparto vendite desidera controllare chi ha avuto accesso Twitter.The Sales department wants to audit who accessed Twitter. Bob scarica un report delle attività e lo condivide con Kevin tramite posta elettronica.Bob downloads an activity report and shares it with Kevin over email.

Proteggere l'accesso remoto alle applicazioni localiSecure Remote Access to On-Premises Applications

  1. Bob, l'amministratore globale di AD Azure, ha ricevuto numerose richieste di consentire ai dipendenti di accedere alle numerose e utili risorse locali, ad esempio l'applicazione per le spese, mentre lavorano in modalità remota.Bob, the Azure AD Global Admin, has gotten numerous requests to enable employees to access several useful on-premises resources, such as the expenses application, while working remotely. Segue le indicazioni nella documentazione del Proxy di applicazione di installare un connettore e pubblica l'applicazione per le spese come applicazione Proxy dell'applicazione.He follows the Application Proxy documentation to install a connector and publish Expenses as an Application Proxy application.
  2. Bob condivide l'URL dell'applicazione per le spese esterna con Susie, una delle dipendenti che necessita dell'accesso remoto.Bob share the external Expenses application URL with Susie, one of the employees who needs remote access. Susie accede al collegamento e dopo l'autenticazione con AAD è in grado di accedere all'app per le spese e restare produttiva con l'accesso remoto.She accesses the link, and after authenticating against AAD, she is able to access the Expenses app and continue to be productive while remote.
  3. Bob continua quindi a pubblicare applicazioni locali aggiuntive usando lo stesso processo e concedendo l'accesso agli utenti in base alle esigenze.Bob then continues to publish additional on-premises applications using the same process and giving access to users as needed. Aggiunge l'accesso condizionale e l'autenticazione Multi-Factor Authentication per le applicazioni più sensibili che pubblica, per garantire una protezione aggiuntiva.He adds conditional access and multi-factor authentication for the more sensitive applications that he publishes, to ensure additional security.

Sincronizzare le identità LDAP con Azure ADSynchronize LDAP identities to Azure AD

  1. L'azienda di Bob ha un'infrastruttura delle identità complessa.Bob's company has complex identity infrastructure. La maggior parte degli utenti viene gestita all'interno di Active Directory Domain Services (ADDS) di Windows Server.Most of the users are maintained inside Windows Server Active Directory Domain Services (ADDS). Alcuni utenti vengono gestiti dal sistema HR all'interno di Active Directory Lightweight Directory Services (ADLDS).Some of them, are managed by HR system inside Active Directory Lightweight Directory Services (ADLDS).
  2. A Bob viene assegnato il compito di abilitazione l'accesso alle app SaaS per tutti gli utenti, anche quelli non presenti in ADDS.Bob is tasked with enabling access to SaaS apps for all users (also these not present in ADDS).
  3. Bob configura il connettore LDAP generico per estrarre i dati da ADLDS in Azure AD Connect.Bob configures Generic LDAP Connector to pull data from ADLDS in Azure AD Connect.
  4. Bob crea le regole di sincronizzazione per consentire che gli utenti LDAP vengano popolati in Metaverse e Azure ADBob creates synchronization rules so LDAP users are populated into Metaverse and to Azure AD
  5. Susie, come utente LDAP, accede alla propria app SaaS usando l'identità sincronizzataSusie being LDAP user accesses her SaaS app using synchronized identity

Importante

Si tratta di una configurazione avanzata che richiede una certa conoscenza di FIM o MIM.This is an advanced configuration requiring some familiarity with FIM/MIM. Se usata in produzione, è consigliabile leggere le domande su questa configurazione in supporto tecnico Premier.If used in production, we advise questions about this configuration go through Premier Support.

Tema: aumentare la sicurezzaTheme - Increase your security

ScenarioScenario Blocchi predefinitiBuilding Blocks
Proteggere l'accesso all'account amministratoreSecure administrator account access Azure MFA con le chiamate telefonicheAzure MFA with Phone Calls
Proteggere l'accesso per le applicazioniSecure access for applications Accesso condizionale per applicazioni SaaSConditional Access for SaaS applications
Abilitare l'amministrazione JITEnable Just In Time administration Privileged Identity ManagementPrivileged Identity Management
Proteggere le identità in base al rischioProtect identities based on risk Rilevare eventi di rischioDiscovering risk events
Distribuire criteri di rischio di accessoDeploying Sign-in risk policies
Eseguire l'autenticazione senza password con l'autenticazione basata su certificatiAuthenticate without passwords using certificate based authentication Configurare l'autenticazione basata su certificatiConfiguring certificate based authentication

Proteggere l'accesso all'account amministratoreSecure administrator account access

  1. Bob è l'amministratore globale di Azure AD.Bob is the Azure AD Global Administrator. Ha identificato Stuart come co-amministratore del servizio.He has identified Stuart as a co-administrator of the service.
  2. Bob configura l'account di Stuart in modo che venga richiesta sempre l'autenticazione MFA per migliorare le condizioni di sicurezzaBob configures Stuart's account to always require MFA to improve the security posture
  3. Stuart accede al portale di Azure e verifica che deve registrare il suo numero di telefono per continuare l'accessoStuart logs in to the Azure portal, and notices that he needs to register his phone number to continue the login
  4. Gli accessi successivi di Stuart sono ora protetti con l'autenticazione Multi-Factor Authentication e Stuart riceve una telefonata a verifica della propria identità.Subsequent logins from Stuart are now protected with Multi-Factor Authentication, and he now gets a phone call to verify his identity.

Proteggere l'accesso alle applicazioniSecure access to applications

  1. Kevin è il proprietario aziendale dei diritti di ServiceNow.Kevin is the business owner of ServiceNow. L'azienda vuole ora che gli utenti eseguano l'accesso con l'autenticazione MFA quando accedono all'esterno della rete aziendale.The company now wants those users to login with MFA when accessing outside the corporate network.
  2. Bob, l'amministratore globale di Azure AD, aggiunge un criterio di accesso condizionale all'applicazione ServiceNow per abilitare l'autenticazione MFA per l'accesso esternoBob, our Azure AD Global admin, adds a conditional access policy to the ServiceNow application to enable MFA for outside access
  3. Susie, una Information Worker, accede al portale App personali e fa clic sul riquadro ServiceNow.Susie, our information worker, logs in my apps portal and clicks the ServiceNow tile. A Susie viene visualizzata una richiesta di autenticazione MFA.She is now challenged with MFA.

Abilitare l'amministrazione JITEnable Just in time (JIT) administration

  1. Bob e Stuart sono amministratori globali di Azure AD.Bob and Stuart are Azure AD Global Admins. Vogliono attivare l'accesso JIT ai ruoli di gestione e anche tenere traccia dell'uso dei ruoli con privilegi.They want to enable JIT access to the management roles and also to keep records on the usage of the privileged roles.
  2. Bob abilita la gestione PIM nel tenant di Azure AD e diventa amministratore della sicurezza.Bob enables PIM in the Azure AD tenant and becomes the security administrator. Modifica sia sé stesso come utente sia l'appartenenza al ruolo di amministratore globale di Stuart da permanente a idoneo.He changes both himself and Stuart's global admin role membership from permanent to eligible.
  3. Bob e Stuart ora devono attivare il proprio ruolo tramite il portale di Azure prima di eseguire eventuali modifiche alla configurazione di Azure AD.Bob and Stuart now require activating their role through the Azure portal before doing any changes to Azure AD Configuration.

Proteggere le identità in base al rischioProtect Identities based on risk

  1. Susie, una Information Worker, tenta di eseguire l'accesso da un browser Tor.Susie, an information worker attempts logging in from a tor browser.
  2. Bob controlla il dashboard Azure AD Identity Protection e visualizza l'account di accesso di Susie da un indirizzo IP anonimo.Bob checks the Azure AD identity protection dashboard, and sees Susie's login from an anonymous IP address. Il team che gestisce la sicurezza vuole richiedere l'autenticazione MFA per questi accessiThe security team wants to challenge such accesses users with MFA
  3. Bob abilita i criteri di Azure AD Identity Protection per richiedere l'autenticazione MFA per gli eventi a medio o alto rischioBob enables Azure AD Identity Protection Policy to challenge MFA for medium or higher risk events
  4. Dopo un po' di tempo Susie accede di nuovo dal browser Tor.Time goes by, and Susie logs in from Tor browser again. Questa volta le verrà visualizzata la richiesta di autenticazione MFAThis time, she will see the MFA challenge

Eseguire l'autenticazione senza password con l'autenticazione basata su certificatiAuthenticate without passwords using certificate based authentication

  1. Bob è l'amministratore globale per l'istituto finanziario, che impedisce l'uso di password come fattore di autenticazione per le proprie applicazioni.Bob is Global Administrator for financial institution, that forbids use of passwords as an authentication factor for their applications.
  2. Bob abilita e applica l'autenticazione mediante certificato in ADFS e Azure ADBob enables and enforces certificate authentication on ADFS and Azure AD
  3. Durante l'accesso dell'applicazione a Susie viene richiesto di eseguire l'autenticazione tramite il certificatoSusie while accessing application is prompted to authenticate using certificate

Tema: scalabilità self-serviceTheme - Scale with Self Service

ScenarioScenario Blocchi predefinitiBuilding Blocks
Reimpostazione password self-serviceSelf Service Password Reset Reimpostazione password self-serviceSelf Service Password Reset
Accesso self-service alle applicazioniSelf Service Access to Applications Accesso self-service alle applicazioniSelf Service Access to Applications

Reimpostazione della password self-serviceSelf Service Password Reset

  1. Bob, l'amministratore globale di Azure AD, consente la gestione delle password self-service a un gruppo specifico di utenti, tra cui Susie.Bob is the Azure AD Global admin and enables Self Service Password Management to a subset of users, including Susie.
  2. Susie accede al portale App personali, dove viene visualizzato un messaggio che indica di registrare le informazioni di sicurezza per eventi futuri di reimpostazione delle password.Susie logs in to myapps portal and see a message to register her security information for future password reset events.
  3. Dopo pochi giorni Susie dimentica la password e la reimposta tramite il portale di Azure ADFast forward a few days, Susie forgets her password, and resets it through Azure AD portal

Accesso self-service alle applicazioniSelf Service Access to Applications

  1. Kevin è il proprietario aziendale dei diritti di ServiceNow.Kevin is the business owner of ServiceNow. Vuole che gli utenti si "registrino"su richiesta, anziché aggiungerli tutti contemporaneamenteHe wants users to "sign up" for it on demand, instead of adding them all at once
  2. Bob, l'amministratore globale di Azure AD, modifica l'applicazione ServiceNow per abilitare le richieste self-serviceBob, our Azure AD Global admin, modifies the ServiceNow application to enable self service requests
  3. Susie, una Information Worker, accede al portale App personali e fa clic sul pulsante "Aggiungi altre applicazioni"; ServiceNow è presente come una delle applicazioni consigliate.Susie, our information worker, logs in my apps portal and clicks the "Add more applications" button and see ServiceNow as one of the recommended applications. Quindi Susie torna al portale App personali dove è visibile l'applicazione ServiceNow.Then she navigates back to my apps portal and see the ServiceNow application.

Procedura di studioPlaybook Steps

  1. IntroduzioneIntroduction
  2. IngredientiIngredients
  3. ImplementazioneImplementation
  4. Blocchi predefinitiBuilding Blocks