Vier stappen voor een sterke identiteits foundation met Azure Active Directory

Het beheren van toegang tot apps en gegevens kan niet langer afhankelijk zijn van de traditionele netwerkbeveiligingsgrensstrategieën, zoals perimeternetwerken en firewalls, vanwege de snelle verplaatsing van apps naar de cloud. Organisaties moeten nu hun identiteitsoplossing vertrouwen om te bepalen wie en wat toegang heeft tot de apps en gegevens van de organisatie. Steeds meer organisaties bieden werknemers de mogelijkheid om hun eigen apparaten naar hun werk te brengen en hun apparaten te gebruiken vanaf elke locatie waar ze verbinding kunnen maken met internet. Ervoor zorgen dat deze apparaten compatibel en veilig zijn, is een belangrijke overweging geworden in de identiteitsoplossing die een organisatie wil implementeren. In de huidige digitale werkplek is identiteit het primaire besturingsvlak van elke organisatie die overstapt naar de cloud.

Bij de overname van een hybride identiteitsoplossing van Azure Active Directory (Azure AD) krijgen organisaties toegang tot Premium-functies die productiviteit ontgrendelen via automatiserings-, delegerings-, selfservice- en mogelijkheden voor een enkele aanmelding. Het biedt uw werknemers toegang tot bedrijfsbronnen vanaf waar ze hun werk moeten doen, terwijl uw IT-team die toegang kan beheren door ervoor te zorgen dat de juiste mensen de juiste toegang hebben tot de juiste resources om veilige productiviteit te bereiken.

Op basis van onze kennis kunt u met deze controlelijst met aanbevolen procedures snel aanbevolen acties implementeren om een sterke identiteitsbasis in uw organisatie te bouwen:

  • Verbinding maken eenvoudig naar apps
  • Automatisch één identiteit voor elke gebruiker vaststellen
  • Uw gebruikers veilig helpen
  • Uw inzichten operationeel maken

Stap 1: eenvoudig Verbinding maken apps

Door uw apps te verbinden met Azure AD, kunt u de productiviteit en beveiliging van eindgebruikers verbeteren door eenmalige aanmelding (SSO) in teschakelen en gebruikers in terichten. Door uw apps op één plek te beheren, Azure AD, kunt u de administratieve overhead minimaliseren en één beheerpunt voor uw beveiligings- en nalevingsbeleid realiseren.

In deze sectie worden uw opties voor het beheren van gebruikerstoegang tot apps, het inschakelen van beveiligde externe toegang tot interne apps en de voordelen van het migreren van uw apps naar Azure AD be bespreken.

Apps naadloos beschikbaar maken voor uw gebruikers

Met Azure AD kunnen beheerders toepassingen toevoegen aan de galerie met bedrijfstoepassingen in Azure Portal. Door toepassingen toe te voegen aan de galerie met bedrijfstoepassingen kunt u toepassingen eenvoudiger configureren om Azure AD te gebruiken als uw id-provider. U kunt hiermee ook gebruikerstoegang tot de toepassing beheren met beleid voor voorwaardelijke toegang en eenmalige aanmelding (SSO) voor toepassingen configureren, zodat gebruikers hun wachtwoorden niet herhaaldelijk hoeven in te voeren en automatisch worden aangemeld bij zowel on-premises als cloudtoepassingen.

Zodra toepassingen zijn toegevoegd aan de Azure AD-galerie, kunnen gebruikers apps zien die aan hen zijn toegewezen en zoeken en andere apps aanvragen als dat nodig is. Azure AD biedt verschillende methoden voor gebruikers om toegang te krijgen tot hun apps:

  • Toegangsvenster/Mijn apps
  • Startprogramma voor apps van Microsoft 365
  • Directe aanmelding bij federatieve apps
  • Koppelingen voor directe aanmelding

Zie voor meer informatie over gebruikerstoegang tot apps Stap 3: uw gebruikers machtigen in dit artikel.

Apps migreren van Active Directory Federation Services naar Azure AD

Als u de configuratie voor een enkele aanmelding migreert van Active Directory Federation Services (ADFS) naar Azure AD, zijn er aanvullende mogelijkheden voor beveiliging, een consistentere beheerbaarheid en samenwerking mogelijk. Voor optimale resultaten wordt u aangeraden uw apps te migreren van AD FS naar Azure AD. Het gebruik van uw toepassingsverificatie en -autorisatie voor Azure AD biedt de volgende voordelen:

  • Kosten beheren
  • Risico's beheren
  • Productiviteit verhogen
  • Naleving en governance aanpakken

Zie het whitepaper Uw toepassingen migreren naar Azure Active Directory meer informatie.

Beveiligde externe toegang tot apps inschakelen

Azure AD toepassingsproxy een eenvoudige oplossing voor organisaties om on-premises apps naar de cloud te publiceren voor externe gebruikers die op een veilige manier toegang nodig hebben tot interne apps. Na een een aanmelding bij Azure AD hebben gebruikers toegang tot zowel cloudtoepassingen als on-premises toepassingen via externe URL's of een interne toepassingsportal.

Azure AD toepassingsproxy de volgende voordelen:

  • Azure AD uitbreiden naar on-premises resources
    • Beveiliging en beveiliging op cloudschaal
    • Functies zoals voorwaardelijke toegang en Multi-Factor Authentication die eenvoudig in te schakelen zijn
  • Geen onderdelen in het perimeternetwerk, zoals VPN en traditionele oplossingen voor omgekeerde proxy's
  • Er zijn geen binnenkomende verbindingen vereist
  • Eenmalige aanmelding (SSO) voor apparaten, resources en apps in de cloud en on-premises
  • Stelt eindgebruikers in staat om overal en altijd productief te zijn

Schaduw-IT ontdekken met Microsoft Defender voor Cloud Apps

In moderne ondernemingen zijn IT-afdelingen vaak niet op de hoogte van alle cloudtoepassingen die door de gebruikers worden gebruikt om hun werk te doen. Wanneer IT-beheerders wordt gevraagd hoeveel cloud-apps ze denken te gebruiken door hun werknemers, zeggen ze gemiddeld 30 of 40. In werkelijkheid zijn er gemiddeld meer dan 1000 afzonderlijke apps die worden gebruikt door werknemers in uw organisatie. 80% van de werknemers gebruikt niet-goedgekeurde apps die niemand heeft beoordeeld en die mogelijk niet compatibel zijn met uw beveiligings- en nalevingsbeleid.

Microsoft Defender voor Cloud Apps kan u helpen bij het identificeren van nuttige apps die populair zijn bij gebruikers die DOOR IT kunnen worden goedgekeurd en aan de galerie met bedrijfstoepassingen kunnen toevoegen, zodat gebruikers kunnen profiteren van mogelijkheden zoals SSO en voorwaardelijke toegang.

"Defender for Cloud Apps helpt ons ervoor te zorgen dat onze mensen onze cloud- en SaaS-toepassingen op de juiste manier gebruiken, op een manier die ondersteuning biedt voor het basisbeveiligingsbeleid waarmee Accenture wordt beschermd." --- John Blasi, Managing Director, Information Security, Accenture

Naast het detecteren van schaduw-IT kan Defender for Cloud Apps ook het risiconiveau van apps bepalen, onbevoegde toegang tot bedrijfsgegevens, mogelijke gegevenslekken en andere beveiligingsrisico's die inherent zijn aan de toepassingen voorkomen.

Stap 2: automatisch één identiteit voor elke gebruiker vaststellen

Door on-premises en clouddirecties samen te brengen in een hybride Identiteitsoplossing van Azure AD kunt u uw bestaande on-premises Active Directory-investering hergebruiken door uw bestaande identiteiten in terichten in de cloud. De oplossing synchroniseert on-premises identiteiten met Azure AD, terwijl IT de on-premises Active Directory wordt uitgevoerd met bestaande governance-oplossingen als de primaire bron van waarheid voor identiteiten. De hybride identiteitsoplossing van Microsoft Azure AD omvat on-premises en cloudfuncties, waardoor een gemeenschappelijke gebruikersidentiteit wordt gemaakt voor verificatie en autorisatie voor alle resources, ongeacht hun locatie.

Als u uw on-premises directories integreert met Azure AD, worden uw gebruikers productiever en voorkomt u dat gebruikers meerdere accounts in apps en services gebruiken door een gemeenschappelijke identiteit te bieden voor toegang tot zowel cloudresources als on-premises resources. Het gebruik van meerdere accounts is een lastig punt voor zowel eindgebruikers als IT. Vanuit het perspectief van eindgebruikers betekent het hebben van meerdere accounts dat u meerdere wachtwoorden moet onthouden. Om dit te voorkomen, gebruiken veel gebruikers hetzelfde wachtwoord voor elk account, wat vanuit het oogpunt van beveiliging slecht is. Hergebruik vanuit IT-perspectief leidt vaak tot meer wachtwoordresets en helpdeskkosten, samen met de klachten van eindgebruikers.

Azure AD Verbinding maken is het hulpprogramma dat wordt gebruikt voor het synchroniseren van uw on-premises identiteiten met Azure AD, dat vervolgens kan worden gebruikt voor toegang tot cloudtoepassingen. Zodra de identiteiten zich in Azure AD hebben, kunnen ze worden ingericht voor SaaS-toepassingen zoals Salesforce of Concur.

In deze sectie worden aanbevelingen vermeld voor het bieden van hoge beschikbaarheid, moderne verificatie voor de cloud en het verminderen van uw on-premises footprint.

Notitie

Als u meer wilt weten over Azure AD Verbinding maken, zie Wat is Azure AD Verbinding maken Sync?

Een faseringsserver instellen voor Azure AD Verbinding maken deze up-to-date te houden

Azure AD Verbinding maken een belangrijke rol in het inrichtingsproces. Als de synchronisatieserver om een of andere reden offline gaat, worden wijzigingen in on-premises niet bijgewerkt in de cloud en veroorzaken ze toegangsproblemen voor gebruikers. Het is belangrijk om een failoverstrategie te definiëren waarmee beheerders de synchronisatie snel kunnen hervatten nadat de synchronisatieserver offline is gegaan.

Als u hoge beschikbaarheid wilt bieden wanneer uw primaire Azure AD Verbinding maken-server offline gaat, is het raadzaam om een afzonderlijke faseringsserver voor Azure AD-Verbinding maken. Door een server te implementeren, kan de beheerder de faseringsserver 'promoveren' naar productie door een eenvoudige configuraties switch. Als u een stand-byserver hebt geconfigureerd in de faseringsmodus, kunt u ook nieuwe configuratiewijzigingen testen en implementeren en een nieuwe server introduceren bij het buiten gebruik stellen van de oude server.

Tip

Azure AD Verbinding maken regelmatig bijgewerkt. Daarom is het raadzaam om de faseringsserver actueel te houden om te profiteren van de prestatieverbeteringen, foutfixes en nieuwe mogelijkheden die elke nieuwe versie biedt.

Cloudverificatie inschakelen

Organisaties met on-premises Active Directory moeten hun directory uitbreiden naar Azure AD met behulp van Azure AD Verbinding maken en de juiste verificatiemethode configureren. Het kiezen van de juiste verificatiemethode voor uw organisatie is de eerste stap in het traject van het verplaatsen van apps naar de cloud. Het is een essentieel onderdeel omdat hiermee de toegang tot alle cloudgegevens en -resources wordt gecontroleerd.

De eenvoudigste en aanbevolen methode voor het inschakelen van cloudverificatie voor on-premises adreslijstobjecten in Azure AD is het inschakelen van Wachtwoord-hashsynchronisatie (PHS). Sommige organisaties kunnen ook overwegen pass-through-verificatie (PTA) in te schakelen.

Of u nu VOOR PHS of PTA kiest, vergeet niet naadloze een aanmelding in te stellen om gebruikers toegang te geven tot cloud-apps zonder voortdurend hun gebruikersnaam en wachtwoord in de app in te voeren wanneer u Windows 7- en 8-apparaten in uw bedrijfsnetwerk gebruikt. Zonder een enkele aanmelding moeten gebruikers toepassingsspecifieke wachtwoorden onthouden en zich aanmelden bij elke toepassing. It-medewerkers moeten ook gebruikersaccounts maken en bijwerken voor elke toepassing, zoals Microsoft 365, Box en Salesforce. Gebruikers moeten hun wachtwoorden onthouden en de tijd besteden om zich aan te melden bij elke toepassing. Het bieden van een gestandaardiseerd mechanisme voor een enkele aanmelding voor de hele onderneming is van cruciaal belang voor de beste gebruikerservaring, het verminderen van risico's, de mogelijkheid om te rapporteren en governance.

Voor organisaties die al gebruikmaken van AD FS of een andere on-premises verificatieprovider, kan de overstap naar Azure AD als uw id-provider de complexiteit verminderen en de beschikbaarheid verbeteren. Tenzij u specifieke gebruiksgevallen hebt voor het gebruik van federatie, raden we u aan om te migreren van federatieverificatie naar PHS en Naadloze eenmalige aanmelding of PTA en naadloze eenmalige aanmelding om te profiteren van de voordelen van een verminderde on-premises footprint en de flexibiliteit die de cloud biedt met verbeterde gebruikerservaringen. Zie Migrate from federation to password hash synchronization for Azure Active Directory (Migreren van federatie naar wachtwoordhashsynchronisatie voor Azure Active Directory.

Automatische deprovisioning van accounts inschakelen

Het inschakelen van geautomatiseerde inrichting en de inrichting van de inrichting voor uw toepassingen is de beste strategie voor het beheren van de levenscyclus van identiteiten in meerdere systemen. Azure AD ondersteunt geautomatiseerde inrichting en de inrichting van gebruikersaccounts op basis van beleid voor diverse populaire SaaS-toepassingen, zoals ServiceNow en Salesforce, en andere toepassingen die het SCIM 2.0-protocol implementeren. In tegenstelling tot traditionele inrichtingsoplossingen, waarvoor aangepaste code of handmatig uploaden van CSV-bestanden is vereist, wordt de inrichtingsservice gehost in de cloud en bevat deze vooraf geïntegreerde connectors die kunnen worden ingesteld en beheerd met behulp van de Azure Portal. Een belangrijk voordeel van automatische deprovisioning is dat het helpt uw organisatie te beveiligen door de identiteiten van gebruikers direct te verwijderen uit belangrijke SaaS-apps wanneer ze de organisatie verlaten.

Zie Automate User Provisioning and Deprovisioning to SaaS Applicationswith Azure Active Directory voor meer informatie over het automatisch inrichten van gebruikersaccounts en hoe het werkt.

Stap 3: uw gebruikers veilig helpen

In de huidige digitale werkplek is het belangrijk om beveiliging in balans te brengen met productiviteit. Eindgebruikers pushen echter vaak terug naar beveiligingsmaatregelen die de productiviteit en toegang tot cloud-apps vertragen. Azure AD biedt selfservicemogelijkheden waarmee gebruikers productief kunnen blijven en tegelijkertijd de administratieve overhead minimaliseren.

In deze sectie vindt u aanbevelingen voor het wegnemen van frictie in uw organisatie door uw gebruikers te helpen en tegelijkertijd te blijven werken.

Wachtwoord opnieuw Self-Service alle gebruikers inschakelen

De selfservice voor wachtwoord opnieuw instellen (SSPR) van Azure biedt IT-beheerders een eenvoudige manier om gebruikers toe te staan hun wachtwoorden of accounts opnieuw in te stellen en te ontgrendelen zonder tussenkomst van de beheerder. Het systeem biedt gedetailleerde rapporten zodat u kunt volgen wanneer gebruikers het systeem openen. U ontvangt ook meldingen om u te waarschuwen over misbruik.

Azure AD ontgrendelt standaard accounts wanneer het wachtwoord opnieuw wordt ingesteld. Wanneer u Azure AD Verbinding maken-integratie on-premisesinschakelen, hebt u echter ook de mogelijkheid om deze twee bewerkingen te scheiden, waardoor gebruikers hun account kunnen ontgrendelen zonder dat ze het wachtwoord opnieuw moeten instellen.

Zorg ervoor dat alle gebruikers zijn geregistreerd voor MFA en SSPR

Azure biedt rapporten die door u en uw organisatie kunnen worden gebruikt om ervoor te zorgen dat gebruikers zijn geregistreerd voor MFA en SSPR. Gebruikers die zich niet hebben geregistreerd, moeten mogelijk worden geleid naar het proces.

Het rapport MFA-aanmeldingen bevat informatie over MFA-gebruik en geeft u inzicht in hoe MFA werkt in uw organisatie. Toegang tot aanmeldingsactiviteiten (en controles en risicodetecties) voor Azure AD is van cruciaal belang voor probleemoplossing, gebruiksanalyses en forensisch onderzoek.

Op dezelfde manier kan het selfservicerapport voor wachtwoordbeheer worden gebruikt om te bepalen wie wel (of niet) is geregistreerd voor SSPR.

Selfservice voor app-beheer

Voordat uw gebruikers zelf toepassingen kunnen ontdekken vanuit hun toegangsvenster, moet u selfservicetoepassingstoegang inschakelen tot toepassingen die u gebruikers zelf wilt laten ontdekken en toegang kunnen aanvragen. Selfservicetoepassingstoegang is een uitstekende manier om gebruikers toe te staan toepassingen zelf te ontdekken en optioneel de bedrijfsgroep de toegang tot deze toepassingen te laten goedkeuren. U kunt de bedrijfsgroep toestaan om de referenties te beheren die zijn toegewezen aan die gebruikers voor Wachtwoord Single-Sign op toepassingen vanaf hun toegangspaneel.

Groepsbeheer via selfservice

Het toewijzen van gebruikers aan toepassingen kan het beste worden toegewezen wanneer u groepen gebruikt, omdat ze veel flexibiliteit en mogelijkheden bieden om op schaal te beheren:

  • Op kenmerken gebaseerd met dynamisch groepslidmaatschap
  • Delegering aan app-eigenaren

Azure AD biedt de mogelijkheid om de toegang tot resources te beheren met behulp van beveiligingsgroepen en Microsoft 365 groepen. Deze groepen kunnen worden beheerd door een groepseigenaar die lidmaatschapsaanvragen kan goedkeuren of weigeren en het beheer van groepslidmaatschap kan delegeren. Deze functie, ook wel selfservicegroepsbeheergenoemd, bespaart tijd doordat groepseigenaren aan wie geen beheerdersrol is toegewezen, groepen kunnen maken en beheren zonder dat ze afhankelijk zijn van beheerders om hun aanvragen te verwerken.

Stap 4: uw inzichten operationeel maken

Controle en logboekregistratie van beveiligingsgebeurtenissen en gerelateerde waarschuwingen zijn essentiële onderdelen van een efficiënte strategie om ervoor te zorgen dat gebruikers productief blijven en uw organisatie veilig is. Beveiligingslogboeken en -rapporten kunnen helpen bij het beantwoorden van vragen zoals:

  • Gebruikt u waarvoor u betaalt?
  • Gebeurt er iets verdachts of kwaadwillends in mijn tenant?
  • Wie is beïnvloed tijdens een beveiligingsincident?

Beveiligingslogboeken en -rapporten bieden u een elektronisch overzicht van verdachte activiteiten en helpen u bij het detecteren van patronen die kunnen wijzen op pogingen of geslaagde externe penetratie van het netwerk en interne aanvallen. U kunt controles gebruiken om gebruikersactiviteiten te bewaken, naleving van regelgeving vast te documenteren, forensische analyse uit te voeren en meer. Waarschuwingen bieden meldingen over beveiligingsgebeurtenissen.

Minst bevoorrechte beheerdersrollen toewijzen voor bewerkingen

Als u nadenk over uw benadering van bewerkingen, zijn er een aantal niveaus van beheer om rekening mee te houden. Op het eerste niveau wordt de beheerlast voor uw globale beheerder(s) belast. Altijd de rol van globale beheerder gebruiken, is mogelijk geschikt voor kleinere bedrijven. Maar voor grotere organisaties met helpdeskmedewerkers en beheerders die verantwoordelijk zijn voor specifieke taken, kan het toewijzen van de rol van globale beheerder een beveiligingsrisico vormen, omdat het deze personen de mogelijkheid biedt om taken te beheren die hoger zijn dan wat ze zouden moeten kunnen doen.

In dit geval moet u rekening houden met het volgende beheerniveau. Met Behulp van Azure AD kunt u eindgebruikers aanwijzen als 'beperkte beheerders' die taken met minder bevoorrechte rollen kunnen beheren. U kunt uw helpdeskmedewerkers bijvoorbeeld de rol beveiligingslezer geven om hen de mogelijkheid te bieden om beveiligingsfuncties met alleen-lezentoegang te beheren. Of misschien is het zinvol om de rol van verificatiebeheerder toe te wijzen aan personen, om hen de mogelijkheid te geven om referenties die niet zijn van een wachtwoord opnieuw in te stellen of om deze te lezen en te Azure Service Health.

Zie Machtigingen voor beheerdersrol in Azure Active Directory voor meer Azure Active Directory.

Hybride onderdelen bewaken (Azure AD Verbinding maken sync, AD FS) met behulp van Azure AD Verbinding maken Health

Azure AD Verbinding maken en AD FS zijn essentiële onderdelen die levenscyclusbeheer en -verificatie kunnen breken en uiteindelijk kunnen leiden tot uitval. Daarom moet u Azure AD Verbinding maken Health implementeren voor het bewaken en rapporteren van deze onderdelen.

Lees Monitor AD FS using Azure AD Verbinding maken Health (Azure AD Verbinding maken Health) voor meer informatie.

Gebruik Azure Monitor voor het verzamelen van gegevenslogboeken voor analyse

Azure Monitor is een geïntegreerde bewakingsportal voor alle Azure AD-logboeken, die uitgebreide inzichten, geavanceerde analyses en slimme machine learning. Met Azure Monitor kunt u metrische gegevens en logboeken gebruiken in de portal en via API's om meer inzicht te krijgen in de status en prestaties van uw resources. Het biedt één venster met een betere ervaring in de portal en tegelijkertijd een breed scala aan productintegraties via API's en opties voor gegevensexport die ondersteuning bieden voor traditionele SIEM-systemen van derden. Azure Monitor biedt u ook de mogelijkheid om waarschuwingsregels te configureren om een melding te ontvangen of om geautomatiseerde acties uit te voeren op problemen die van invloed zijn op uw resources.

Azure Monitor

Aangepaste dashboards maken voor uw leiderschap en uw dagelijkse

Organisaties die geen SIEM-oplossing hebben, kunnen het inhoudspakket Power BI Azure AD downloaden. Het Power BI-inhoudspakket bevat vooraf gebouwde rapporten om u te helpen begrijpen hoe uw gebruikers Azure AD-functies aannemen en gebruiken, zodat u inzicht krijgt in alle activiteiten in uw directory. U kunt ook uw eigen aangepaste dashboard maken en delen met uw managementteam om te rapporteren over dagelijkse activiteiten. Dashboards zijn een uitstekende manier om uw bedrijf te bewaken en al uw belangrijkste metrische gegevens in één oogopslag te bekijken. De visualisaties op een dashboard kunnen afkomstig zijn uit een of meer onderliggende gegevenssets en rapporten. Een dashboard combineert on-premises gegevens en gegevens in de cloud om zo een geconsolideerde weergave te bieden van uw gegevens, ongeacht waar deze zich bevinden.

Power BI dashboard maken

Inzicht in uw stuurprogramma's voor ondersteuningsoproepen

Wanneer u een hybride identiteitsoplossing implementeert zoals beschreven in dit artikel, moet u uiteindelijk een vermindering van uw ondersteuningsoproepen merken. Veelvoorkomende problemen, zoals vergeten wachtwoorden en accountvergrendelingen, worden beperkt door de selfservice voor wachtwoord opnieuw instellen van Azure te implementeren, terwijl het inschakelen van toegang tot self-servicetoepassingen gebruikers in staat stelt om zelf toepassingen te ontdekken en aan te vragen zonder dat ze afhankelijk zijn van uw IT-personeel.

Als u geen vermindering van ondersteuningsoproepen ziet, raden we u aan om uw stuurprogramma's voor ondersteuningsoproepen te analyseren in een poging om te bevestigen of SSPR of selfservicetoepassingstoegang correct is geconfigureerd of dat er andere nieuwe problemen zijn die systematisch kunnen worden opgelost.

'In ons digitale transformatietraject hadden we een betrouwbare provider voor identiteits- en toegangsbeheer nodig om naadloze maar veilige integratie tussen ons, partners en cloudserviceproviders mogelijk te maken voor een effectief ecosysteem; Azure AD was de beste optie om ons de benodigde mogelijkheden en zichtbaarheid te bieden waarmee we risico's konden detecteren en erop konden reageren." --- Yazan Warensri, Global Information Security Director, Aramex

Uw gebruik van apps bewaken om inzichten te verkrijgen

Naast het detecteren van Shadow IT kan het bewaken van het app-gebruik in uw organisatie met behulp van Microsoft Defender voor Cloud Apps uw organisatie helpen om optimaal te profiteren van de belofte van cloudtoepassingen. Het kan u helpen de controle over uw assets te houden door de zichtbaarheid van activiteiten te verbeteren en de beveiliging van kritieke gegevens in cloudtoepassingen te verbeteren. Het bewaken van het app-gebruik in uw organisatie met Defender for Cloud Apps kan u helpen de volgende vragen te beantwoorden:

  • Welke niet-geanctioneerde apps gebruiken werknemers om gegevens in op te slaan?
  • Waar en wanneer worden gevoelige gegevens opgeslagen in de cloud?
  • Wie hebt u toegang tot gevoelige gegevens in de cloud?

"Met Defender for Cloud Apps kunnen we snel afwijkingen opsporen en actie ondernemen." --- Eric LePenske, Senior Manager, Information Security, Accenture

Samenvatting

Er zijn veel aspecten bij het implementeren van een hybride identiteitsoplossing, maar deze controlelijst met vier stappen helpt u snel een identiteitsinfrastructuur te realiseren waarmee gebruikers productiever en veiliger kunnen zijn.

  • Verbinding maken eenvoudig aan apps toe te werken
  • Automatisch één identiteit voor elke gebruiker vaststellen
  • Uw gebruikers veilig helpen
  • Uw inzichten operationeel maken

We hopen dat dit document een nuttig schema is voor het opzetten van een sterke identiteits foundation voor uw organisatie.

Controlelijst voor identiteit

U wordt aangeraden de volgende controlelijst ter referentie af te drukken wanneer u begint met uw traject naar een solidere identiteits foundation in uw organisatie.

Today

Klaar? Item
Self-service voor wachtwoord opnieuw instellen (SSPR) voor een groep
Hybride onderdelen bewaken met Behulp van Azure AD Verbinding maken Health
Minst bevoorrechte beheerdersrollen toewijzen voor bewerking
Schaduw-IT ontdekken met Microsoft Defender for Cloud Apps
Gebruik Azure Monitor om gegevenslogboeken te verzamelen voor analyse

Volgende twee weken

Klaar? Item
Een app beschikbaar maken voor uw gebruikers
Azure AD-inrichting piloten voor een SaaS-app naar keuze
Een faseringsserver voor Azure AD Verbinding maken en up-to-date houden
Beginnen met het migreren van apps van ADFS naar Azure AD
Aangepaste dashboards maken voor uw leiderschap en uw dagelijkse

Volgende maand

Klaar? Item
Uw gebruik van apps bewaken om inzichten te verkrijgen
Test veilige externe toegang tot apps
Zorg ervoor dat alle gebruikers zijn geregistreerd voor MFA en SSPR
Cloudverificatie inschakelen

Volgende drie maanden

Klaar? Item
Selfservice voor app-beheer inschakelen
Selfservicegroepsbeheer inschakelen
Uw gebruik van apps bewaken om inzichten te verkrijgen
Inzicht in uw stuurprogramma's voor ondersteuningsoproepen

Volgende stappen

Ontdek hoe u uw beveiligde postuur kunt verbeteren met behulp van de mogelijkheden van Azure Active Directory en deze controlelijst met vijf stappen: vijf stappen voor het beveiligen van uw identiteitsinfrastructuur.

Ontdek hoe de identiteitsfuncties in Azure AD u kunnen helpen uw overgang naar beheerd cloudbeheer te versnellen door de oplossingen en mogelijkheden te bieden waarmee organisaties snel meer van hun identiteitsbeheer kunnen overstappen van traditionele on-premises systemen naar Azure AD- Hoe Azure AD cloudbeheer levert voor on-premises workloads.