Hoe Azure AD cloudbeheer levert voor on-premises workloads

Azure Active Directory (Azure AD) is een uitgebreide IDaaS-oplossing (Identity as a Service) die wordt gebruikt door miljoenen organisaties die alle aspecten van identiteit, toegangsbeheer en beveiliging omvatten. Azure AD bevat meer dan een miljard gebruikersidentiteiten en helpt gebruikers zich aan te melden en veilig toegang te krijgen tot beide:

  • Externe resources, zoals Microsoft 365, de Azure Portal en duizenden andere SaaS-toepassingen (Software-as-a-Service).
  • Interne resources, zoals toepassingen in het bedrijfsnetwerk en intranet van een organisatie, samen met alle cloudtoepassingen die door die organisatie zijn ontwikkeld.

Organisaties kunnen Azure AD gebruiken als ze 'pure cloud' zijn of als een 'hybride' implementatie als ze on-premises workloads hebben. Een hybride implementatie van Azure AD kan deel uitmaken van een strategie voor een organisatie om de IT-assets naar de cloud te migreren of bestaande on-premises infrastructuur te blijven integreren met nieuwe cloudservices.

In het verleden hebben 'hybride' organisaties Azure AD gezien als een uitbreiding van hun bestaande on-premises infrastructuur. In deze implementaties zijn het beheer van on-premises identiteitsbeheer, Windows Server Active Directory of andere in-house directorysystemen de controlepunten en worden gebruikers en groepen vanuit deze systemen gesynchroniseerd naar een clouddirectory zoals Azure AD. Zodra deze identiteiten zich in de cloud hebben, kunnen ze beschikbaar worden gesteld Microsoft 365, Azure en andere toepassingen.

Identiteitslevenscyclus

Naarmate organisaties meer van hun IT-infrastructuur en hun toepassingen naar de cloud verplaatsen, zijn veel op zoek naar de verbeterde beveiligings- en vereenvoudigde beheermogelijkheden van identiteitsbeheer als een service. De cloudgebaseerde IDaaS-functies in Azure AD versnellen de overgang naar cloudbeheer door de oplossingen en mogelijkheden te bieden waarmee organisaties snel meer van hun identiteitsbeheer kunnen overstappen van traditionele on-premises systemen naar Azure AD en tegelijkertijd bestaande en nieuwe toepassingen kunnen blijven ondersteunen.

In dit document wordt de strategie van Microsoft voor hybride IDaaS beschreven en wordt beschreven hoe organisaties Azure AD kunnen gebruiken voor hun bestaande toepassingen.

De Azure AD-benadering voor identiteitsbeheer in de cloud

Wanneer organisaties overstappen naar de cloud, hebben ze de zekerheid nodig dat ze controle hebben over hun volledige omgeving: meer beveiliging en meer zichtbaarheid in activiteiten, ondersteund door automatisering en proactieve inzichten. 'Cloudbeheer' beschrijft hoe organisaties hun gebruikers, toepassingen, groepen en apparaten vanuit de cloud beheren en beheren.

In deze moderne wereld moeten organisaties effectief op schaal kunnen beheren, vanwege de toename van SaaS-toepassingen en de toenemende rol van samenwerking en externe identiteiten. Het nieuwe risicolandschap van de cloud betekent dat een organisatie responsiever moet zijn: een kwaadwillende gebruiker die een cloudgebruiker in gevaar kan brengen, kan invloed hebben op cloud- en on-premises toepassingen.

Met name hybride organisaties moeten taken kunnen delegeren en automatiseren, wat it in het verleden handmatig deed. Voor het automatiseren van taken hebben ze API's en processen nodig die de levenscyclus van de verschillende identiteitsresources (gebruikers, groepen, toepassingen, apparaten) indeelt, zodat ze het dagelijkse beheer van deze resources kunnen delegeren aan meer personen buiten het IT-personeel. Azure AD voldoet aan deze vereisten via gebruikersaccountbeheer en systeemeigen verificatie voor gebruikers zonder dat een on-premises identiteitsinfrastructuur is vereist. Het niet bouwen van een on-premises infrastructuur kan ten goede komen aan organisaties met nieuwe community's van gebruikers, zoals zakelijke partners, die niet afkomstig zijn uit hun on-premises adreslijst, maar waarvan toegangsbeheer essentieel is voor het bereiken van bedrijfsresultaten.

Bovendien is het beheer niet volledig zonder governance---- en is governance in deze nieuwe wereld een geïntegreerd onderdeel van het identiteitssysteem in plaats van een invoegvoeging. Identiteitsbeheer biedt organisaties de mogelijkheid om de identiteits- en toegangslevenscyclus te beheren voor werknemers, zakelijke partners en leveranciers, en services en toepassingen.

Door identiteitsgovernance in te bouwen, is het eenvoudiger om de organisatie in staat te stellen over te gaan naar beheer in de cloud, kan IT worden geschaald, nieuwe uitdagingen met gasten aanpakken en krijgt de organisatie meer inzichten en automatisering dan klanten hadden met de on-premises infrastructuur. Governance in deze nieuwe wereld betekent de mogelijkheid voor een organisatie om transparantie, zichtbaarheid en de juiste controle te hebben op de toegang tot resources binnen de organisatie. Met Azure AD hebben beveiligings- en controleteams inzicht in wie --- en wie moet hebben: toegang tot welke resources in de organisatie (op welke apparaten), wat die gebruikers met die toegang doen en of de organisatie de juiste besturingselementen heeft en gebruikt om de toegang te verwijderen of te beperken in overeenstemming met het bedrijfsbeleid of regelgevingsbeleid.

Het nieuwe beheermodel is voordelen voor organisaties met zowel SaaS- als LOB-toepassingen (Line-Of-Business), omdat ze de toegang tot deze toepassingen gemakkelijker kunnen beheren en beveiligen. Door toepassingen te integreren met Azure AD, kunnen organisaties de toegang in zowel de cloud als on-premises identiteiten consistent gebruiken en beheren. Het beheer van de toepassingslevenscyclus wordt steeds geautomatiseerder en Azure AD biedt uitgebreide inzichten in het gebruik van toepassingen die niet eenvoudig te realiseren waren in on-premises identiteitsbeheer. Via Azure AD, Microsoft 365-groepen en Teams selfservicefuncties kunnen organisaties eenvoudig groepen maken voor toegangsbeheer en samenwerking en gebruikers toevoegen aan of verwijderen in de cloud om vereisten voor samenwerking en toegangsbeheer mogelijk te maken.

Het selecteren van de juiste Azure AD-mogelijkheden voor cloudbeheer is afhankelijk van de toepassingen die moeten worden gebruikt en hoe deze toepassingen worden geïntegreerd met Azure AD. De volgende secties geven een overzicht van de benaderingen voor in AD geïntegreerde toepassingen en toepassingen die gebruikmaken van federatieprotocollen (bijvoorbeeld SAML, OAuth of OpenID Verbinding maken).

Cloudbeheer voor met AD geïntegreerde toepassingen

Azure AD verbetert het beheer voor de on-premises Active Directory geïntegreerde toepassingen van een organisatie via beveiligde externe toegang en voorwaardelijke toegang tot deze toepassingen. Daarnaast biedt Azure AD ook accountlevenscyclusbeheer en referentiebeheer voor de bestaande AD-accounts van de gebruiker, waaronder:

  • Externe toegang en voorwaardelijke toegang voor on-premises toepassingen beveiligen

Voor veel organisaties is de eerste stap bij het beheren van toegang vanuit de cloud voor on-premises, met AD geïntegreerde web- en extern bureaublad-toepassingen, het implementeren van de toepassingsproxy voor deze toepassingen om beveiligde externe toegang te bieden.

Na een een aanmelding bij Azure AD hebben gebruikers toegang tot zowel cloudtoepassingen als on-premises toepassingen via een externe URL of een interne toepassingsportal. Met toepassingsproxy biedt u bijvoorbeeld externe toegang en een aanmelding voor Extern bureaublad, SharePoint, evenals apps zoals Tableau en Qlik, en LOB-toepassingen (Line-Of-Business). Daarnaast kan het beleid voor voorwaardelijke toegang bestaan uit het weergeven van de gebruiksvoorwaarden en ervoor zorgen dat de gebruiker ermee heeft ingestemd voordat toegang tot een toepassing kan worden bereikt.

App Proxy-architectuur

  • Automatisch levenscyclusbeheer voor Active Directory-accounts

Identiteitsbeheer helpt organisaties een balans te vinden tussen productiviteit --- hoe snel kan een persoon toegang hebben tot de resources die ze nodig hebben, bijvoorbeeld wanneer ze lid worden van de organisatie? --- en beveiligingsbeleid --- hoe moet hun toegang na een periode veranderen, bijvoorbeeld wanneer de arbeidsstatus van die persoon verandert? Identiteitslevenscyclusbeheer is de basis voor identiteitsbeheer. Voor effectief beheer op schaal moet de infrastructuur voor identiteitslevenscyclusbeheer voor toepassingen worden gemoderniseerd.

Voor veel organisaties is de identiteitslevenscyclus voor werknemers gekoppeld aan de weergave van die gebruiker in een HCM-systeem (Human Capital Management). Voor organisaties die Workday als HCM-systeem gebruiken, kan Azure AD ervoor zorgen dat gebruikersaccounts in AD automatisch worden ingericht en de inrichting ervan wordt verwijderd voor werknemers in Workday. Dit leidt tot een verbeterde productiviteit van de gebruiker door de automatisering van geboorterechtaccounts en het beheer van risico's door ervoor te zorgen dat de toegang tot toepassingen automatisch wordt bijgewerkt wanneer een gebruiker van rol verandert of de organisatie verlaat. Het implementatieplan voor het inrichten van workday-gebruikers is een stapsgewijse handleiding die organisaties begeleidt bij de best practices voor de implementatie van de oplossing Workday naar Active Directory User Provisioning in een proces van vijf stappen.

Azure AD Premium omvat ook Microsoft Identity Manager, waarmee records kunnen worden geïmporteerd uit andere on-premises HCM-systemen, waaronder SAP, Oracle eBusiness en Oracle PeopleSoft.

Voor business-to-business-samenwerking is het in toenemende mate vereist dat toegang wordt verleent aan personen buiten uw organisatie. Met Azure AD B2B-samenwerking kunnen organisaties hun toepassingen en services veilig delen met gastgebruikers en externe partners, terwijl de controle over hun eigen bedrijfsgegevens behouden blijft.

Azure AD kan automatisch naar behoefte accounts maken in AD voor gastgebruikers, zodat zakelijke gasten toegang hebben tot on-premises, met AD geïntegreerde toepassingen zonder dat u een ander wachtwoord nodig hebt. Organisaties kunnen beleid voor meervoudige verificatie (MFA)instellen voor gastgebruikers, zodat MFA-controles worden uitgevoerd tijdens de verificatie van de toepassingsproxy. Toegangsbeoordelingen die worden uitgevoerd in B2B-cloudgebruikers zijn ook van toepassing op on-premises gebruikers. Als de cloudgebruiker bijvoorbeeld wordt verwijderd via beleid voor levenscyclusbeheer, wordt de on-premises gebruiker ook verwijderd.

Referentiebeheer voor Active Directory-accounts Met de selfservice voor wachtwoord opnieuw instellen van Azure AD kunnen gebruikers die hun wachtwoord zijn vergeten, opnieuw worden beveiligd en hun wachtwoord opnieuw instellen, waarbij de gewijzigde wachtwoordennaar on-premises Active Directory . Het proces voor wachtwoord opnieuw instellen kan ook gebruikmaken van het on-premises Active Directory-wachtwoordbeleid: wanneer een gebruiker zijn of haar wachtwoord opnieuw in stelt, wordt dit gecontroleerd om te controleren of het voldoet aan het on-premises Active Directory-beleid voordat deze wordt vastgezet in die map. Het selfserviceplan voor wachtwoord opnieuw instellen bevat een overzicht van de best practices voor het implementeren van selfservice voor wachtwoord opnieuw instellen voor gebruikers via internet en Windows geïntegreerde ervaringen.

Azure AD SSPR-architectuur

Ten slotte kan AD voor organisaties die gebruikers toestaan om hun wachtwoorden in AD te wijzigen, worden geconfigureerd voor het gebruik van hetzelfde wachtwoordbeleid als de organisatie in Azure AD gebruikt via de azure AD-functievoor wachtwoordbeveiliging, momenteel in openbare preview.

Wanneer een organisatie klaar is om een met AD geïntegreerde toepassing naar de cloud te verplaatsen door het besturingssysteem dat de toepassing host te verplaatsen naar Azure, biedt Azure AD Domain Services AD-compatibele domeinservices (zoals domein toevoegen, groepsbeleid, LDAP en Kerberos/NTLM-verificatie). Azure AD Domain Services kan worden geïntegreerd met de bestaande Azure AD-tenant van de organisatie, waardoor gebruikers zich kunnen aanmelden met hun bedrijfsreferenties. Daarnaast kunnen bestaande groepen en gebruikersaccounts worden gebruikt om de toegang tot resources te beveiligen, waardoor een soepelere 'lift-and-shift' van on-premises resources naar Azure-infrastructuurservices wordt gewaarborgd.

Azure AD Domain Services

Door de cloud beheerd beheer voor on-premises federatietoepassingen

Voor een organisatie die al gebruikmaakt van een on-premises id-provider, zorgt het verplaatsen van toepassingen naar Azure AD voor veiligere toegang en een eenvoudigere beheerervaring voor federatiebeheer. Met Azure AD kunt u gedetailleerde besturingselementen voor toegang per toepassing configureren, waaronder Azure AD Multi-Factor Authentication, met behulp van voorwaardelijke toegang van Azure AD. Azure AD ondersteunt meer mogelijkheden, waaronder toepassingsspecifieke certificaten voor token-ondertekening en configureerbare vervaldatums voor certificaten. Met deze mogelijkheden, hulpprogramma's en richtlijnen kunnen organisaties hun on-premises id-providers ingetrokken. De eigen IT van Microsoft heeft bijvoorbeeld 17.987 toepassingen verplaatst van de interne Active Directory Federation Services (AD FS) van Microsoft naar Azure AD.

Ontwikkeling van Azure AD

Als u federatief toepassingen wilt migreren naar Azure AD als id-provider, raadpleegt u deze koppelingen https://aka.ms/migrateapps naar:

  • Het whitepaper Migrating Your Applications to Azure Active Directory (Uwtoepassingen migreren naar Azure Active Directory) biedt de voordelen van migratie en beschrijft hoe u de migratie kunt plannen in vier duidelijk omschreven fasen: detectie, classificatie, migratie en doorlopend beheer. U wordt begeleid bij het nadenken over het proces en het opdelen van uw project in eenvoudig te gebruiken onderdelen. In het hele document vindt u koppelingen naar belangrijke resources die u daarbij helpen.

  • De oplossingshandleiding Toepassingsverificatie migreren van Active Directory Federation Services naar Azure Active Directory verkent in meer detail de vier fasen van het plannen en uitvoeren van een toepassingsmigratieproject. In deze handleiding leert u hoe u deze fasen kunt toepassen op het specifieke doel van het verplaatsen van een toepassing van Active Directory Federation Services (AD FS) naar Azure AD.

  • Het Active Directory Federation Services gereedheidsscript voor migratie kan worden uitgevoerd op bestaande on-premises Active Directory Federation Services-servers (AD FS) om te bepalen of toepassingen gereed zijn voor migratie naar Azure AD.

Doorlopend toegangsbeheer in cloud- en on-premises toepassingen

Organisaties hebben een proces nodig voor het beheren van schaalbare toegang. Gebruikers blijven toegangsrechten verzamelen en eindigen met meer dan wat in eerste instantie voor hen is ingericht. Daarnaast moeten bedrijfsorganisaties efficiënt kunnen schalen om doorlopend toegangsbeleid en -besturingselementen te ontwikkelen en af te dwingen.

Normaal gesproken worden goedkeuringsbeslissingen met betrekking tot de toegang door de IT-afdeling overgelaten aan besluitvormers van het bedrijf. Daarnaast kan de IT-afdeling de gebruikers hierbij betrekken. Gebruikers die toegang hebben tot vertrouwelijke klantgegevens in de marketingtoepassing van een bedrijf in Europa moeten bijvoorbeeld op de hoogte zijn van het bedrijfsbeleid. Gastgebruikers zijn mogelijk ook niet op de hoogte van de verwerkingsvereisten voor gegevens in een organisatie waarvoor ze zijn uitgenodigd.

Organisaties kunnen het levenscyclusproces voor toegang automatiseren via technologieën zoals dynamische groepen,in combinatie met het inrichten van gebruikers voor SaaS-toepassingenof toepassingen die zijn geïntegreerd met behulp van de SCIM-standaard (System for Cross-Domain Identity Management). Organisaties kunnen ook bepalen welke gastgebruikers toegang hebben tot on-premises toepassingen. Deze toegangsrechten kunnen vervolgens regelmatig worden geëvalueerd met behulp van herhaaldelijke Azure AD-toegangsbeoordelingen.

Toekomstige aanwijzingen

In hybride omgevingen is de strategie van Microsoft om implementaties mogelijk te maken waarbij de cloud het besturingsvlak voor identiteiten is, en on-premises directory's en andere identiteitssystemen, zoals Active Directory en andere on-premises toepassingen, het doel zijn voor het inrichten van gebruikers met toegang. Deze strategie blijft zorgen voor de rechten, identiteiten en toegang in de toepassingen en workloads die ervan afhankelijk zijn. Aan deze eindtoestand kunnen organisaties de productiviteit van eindgebruikers volledig vanuit de cloud stimuleren.

Azure AD-architectuur

Volgende stappen

Zie de Azure AD-implementatieplannen op voor meer informatie over hoe u aan de slag kunt gaan met dit https://aka.ms/deploymentplans traject. Ze bieden end-to-end richtlijnen voor het implementeren van Azure Active Directory (Azure AD) mogelijkheden. In elk plan worden de bedrijfswaarde, planningsoverwegingen, ontwerp en operationele procedures uitgelegd die nodig zijn voor het succesvol implementeren van algemene Azure AD-mogelijkheden. Microsoft werkt de implementatieplannen voortdurend bij met best practices die zijn geleerd uit klantimplementaties en andere feedback wanneer we nieuwe mogelijkheden toevoegen voor het beheren vanuit de cloud met Azure AD.