Microsoft Entra-implementatieplannen

Azure Active Directory is nu Microsoft Entra ID, waarmee uw organisatie kan worden beveiligd met cloudidentiteit en toegangsbeheer. De oplossing verbindt werknemers, klanten en partners met hun apps, apparaten en gegevens.

Gebruik de richtlijnen van dit artikel om uw plan te bouwen voor het implementeren van Microsoft Entra-id. Meer informatie over de basisprincipes van plannen en gebruik vervolgens de volgende secties voor verificatie-implementatie, apps en apparaten, hybride scenario's, gebruikersidentiteit en meer.

Belanghebbenden en rollen

Neem bij het starten van uw implementatieplannen uw belangrijkste belanghebbenden op. Identificeer en documenteer belanghebbenden, betrokken rollen en de gebieden van eigendom en verantwoordelijkheden die een effectieve implementatie mogelijk maken. Titels en rollen verschillen van de ene organisatie naar de andere, maar de eigendomsgebieden zijn vergelijkbaar. Zie de volgende tabel voor veelvoorkomende en invloedrijke rollen die van invloed zijn op een implementatieplan.

Role	Verantwoordelijkheid
Sponsor	Een senior leider van het bedrijf met autoriteit om budget en resources goed te keuren of toe te wijzen. De sponsor is de verbinding tussen managers en het leidinggevend team.
Eindgebruikers	De personen voor wie de service wordt geïmplementeerd. Gebruikers kunnen deelnemen aan een pilotprogramma.
IT-ondersteuningsmanager	Biedt input over de ondersteuning van voorgestelde wijzigingen
Identiteitsarchitect of Azure Global Beheer istrator	Definieert hoe de wijziging overeenkomt met de infrastructuur voor identiteitsbeheer
Eigenaar van toepassingsbedrijf	Eigenaar is van de betrokken toepassingen, waaronder toegangsbeheer. Biedt input over de gebruikerservaring.
Beveiligingseigenaar	Bevestigt dat het wijzigingsplan voldoet aan de beveiligingsvereisten
Compliance Manager	Zorgt voor naleving van bedrijfs-, branche- of overheidsvereisten

RACI

Verantwoordelijk, Verantwoordelijk, Geraadpleegd en Geïnformeerd (verantwoordelijk/verantwoordelijk/geraadpleegd/geïnformeerd(RACI)) is een model voor de deelname door verschillende rollen om taken of producten voor een project of bedrijfsproces te voltooien. Gebruik dit model om ervoor te zorgen dat de rollen in uw organisatie inzicht hebben in de implementatieverantwoordelijkheden.

• Verantwoordelijk : de personen die verantwoordelijk zijn voor de juiste voltooiing van de taak.
  • Er is ten minste één verantwoordelijke rol, hoewel u anderen kunt delegeren om het werk te leveren.
• Verantwoordelijk: de verantwoordelijke is uiteindelijk antwoordbaar voor de juistheid en voltooiing van het product of de taak. De rol Accountable zorgt ervoor dat aan taakvereisten wordt voldaan en gedelegeerden werken aan verantwoordelijke rollen. De rol Accountable keurt werk goed dat verantwoordelijk biedt. Wijs één accountable toe voor elke taak of product.
• Geraadpleegd - De geraadpleegde rol biedt richtlijnen, meestal een vakexpert (SME).
• Geïnformeerd : de mensen hebben op de hoogte gehouden van de voortgang, over het algemeen na voltooiing van een taak of product.

Verificatie-implementatie

Gebruik de volgende lijst om verificatie-implementatie te plannen.

• Microsoft Entra multifactor authentication (MFA): met behulp van door de beheerder goedgekeurde verificatiemethoden helpt meervoudige verificatie de toegang tot uw gegevens en toepassingen te beveiligen terwijl de vraag naar eenvoudige aanmelding wordt gewaarborgd:

  • Bekijk de video: Meervoudige verificatie configureren en afdwingen in uw tenant
  • Zie een implementatie van meervoudige verificatie plannen

• Voorwaardelijke toegang : implementeer geautomatiseerde beslissingen voor toegangsbeheer voor gebruikers voor toegang tot cloud-apps, op basis van voorwaarden:

  • Wat is voorwaardelijke toegang?
  • Een implementatie van voorwaardelijke toegang plannen

• Microsoft Entra selfservice voor wachtwoordherstel (SSPR): gebruikers helpen een wachtwoord opnieuw in te stellen zonder tussenkomst van de beheerder:

  • Zie de opties voor verificatie zonder wachtwoord voor Microsoft Entra-id

  • Zie een selfservice voor de implementatie van Microsoft Entra voor wachtwoordherstel plannen

• Verificatie zonder wachtwoord : implementeer verificatie zonder wachtwoord met behulp van de Microsoft Authenticator-app of FIDO2-beveiligingssleutels:

  • Zie, Aanmelden zonder wachtwoord inschakelen met Microsoft Authenticator
  • Zie, Plan a passwordless authentication deployment in Microsoft Entra ID

Toepassingen en apparaten

Gebruik de volgende lijst om toepassingen en apparaten te implementeren.

• Eenmalige aanmelding (SSO) - Gebruikerstoegang tot apps en resources met één aanmelding inschakelen zonder referenties opnieuw in te voeren:
  • Wat is eenmalige aanmelding in Microsoft Entra ID?
  • Een SSO-implementatie plannen
• Mijn apps portal - Toepassingen ontdekken en openen. Gebruikersproductiviteit met selfservice inschakelen, bijvoorbeeld toegang tot groepen aanvragen of de toegang tot resources namens anderen beheren.
  • Zie Mijn apps portaloverzicht
• Apparaten : evalueer apparaatintegratiemethoden met Microsoft Entra ID, kies het implementatieplan en meer.
  • Zie de implementatie van uw Microsoft Entra-apparaat plannen

Hybride scenario's

In de volgende lijst worden functies en services in hybride scenario's beschreven.

• Active Directory Federation Services (AD FS): gebruikersverificatie migreren van federatie naar de cloud met passthrough-verificatie of wachtwoord-hashsynchronisatie:
  • Wat is federatie met Microsoft Entra-id?
  • Zie, Migreren van federatie naar cloudverificatie
• Microsoft Entra-toepassingsproxy : ervoor zorgen dat werknemers productief kunnen zijn vanaf een apparaat. Meer informatie over SaaS-apps (Software as a Service) in de cloud en zakelijke apps on-premises. Microsoft Entra-toepassingsproxy maakt toegang mogelijk zonder VPN's (virtuele particuliere netwerken) of gedemilitariseerde zones (DMZ's):
  • Zie, Externe toegang tot on-premises toepassingen via Microsoft Entra-toepassingsproxy
  • Zie een implementatie van een Microsoft Entra-toepassingsproxy plannen
• Naadloze eenmalige aanmelding (naadloze eenmalige aanmelding): gebruik naadloze eenmalige aanmelding voor gebruikersaanmelding op bedrijfsapparaten die zijn verbonden met een bedrijfsnetwerk. Gebruikers hebben geen wachtwoorden nodig om zich aan te melden bij Microsoft Entra-id en hoeven meestal geen gebruikersnamen in te voeren. Geautoriseerde gebruikers hebben toegang tot cloud-apps zonder extra on-premises onderdelen:
  • Zie Microsoft Entra SSO: Quickstart
  • Zie, naadloze eenmalige aanmelding van Microsoft Entra: Technische diepgaande informatie

Gebruikers

• Gebruikersidentiteiten : meer informatie over automatisering voor het maken, onderhouden en verwijderen van gebruikersidentiteiten in cloud-apps, zoals Dropbox, Salesforce, ServiceNow en meer.
  • Zie, Plan an automatic user provisioning deployment in Microsoft Entra ID
• Microsoft Entra ID-governance - Identiteitsbeheer maken en bedrijfsprocessen verbeteren die afhankelijk zijn van identiteitsgegevens. Met HR-producten, zoals Workday of Successfactors, beheert u de identiteitslevenscyclus van werknemers en afhankelijk personeel met regels. Deze regels wijzen Joiner-Mover-Leaver-processen (JLM) toe, zoals New Hire, Terminate, Transfer, to IT actions, zoals Create, Enable, Disable. Zie de volgende sectie voor meer informatie.
  • Zie cloud-HR-toepassing plannen voor het inrichten van Microsoft Entra-gebruikers
• Microsoft Entra B2B-samenwerking : externe gebruikerssamenwerking verbeteren met beveiligde toegang tot toepassingen:
  • Zie het overzicht van B2B-samenwerking
  • Zie een Implementatie van Microsoft Entra B2B-samenwerking plannen

Identiteitsbeheer en rapportage

Microsoft Entra ID-governance stelt organisaties in staat om de productiviteit te verbeteren, de beveiliging te verbeteren en gemakkelijker te voldoen aan nalevings- en regelgevingsvereisten. Gebruik Microsoft Entra ID-governance om ervoor te zorgen dat de juiste personen de juiste toegang hebben tot de juiste resources. Verbeter de automatisering van identiteits- en toegangsprocess, delegering aan bedrijfsgroepen en verbeterde zichtbaarheid. Gebruik de volgende lijst voor meer informatie over identiteitsbeheer en rapportage.

Meer informatie:

• Veilige toegang voor een verbonden wereld: maak kennis met Microsoft Entra

• Toegang voor toepassingen in uw omgeving beheren

• Privileged Identity Management (PIM): beheer bevoorrechte beheerdersrollen in Microsoft Entra ID, Azure-resources en andere Microsoft-onlineservices. Gebruik deze functie voor Just-In-Time-toegang (JIT), goedkeuringswerkstromen aanvragen en geïntegreerde toegangsbeoordelingen om schadelijke activiteiten te voorkomen:

  • Zie, Aan de slag met Privileged Identity Management
  • Zie een implementatie van Privileged Identity Management plannen

• Rapportage en bewaking : het microsoft Entra-rapportage- en bewakingsoplossingsontwerp heeft afhankelijkheden en beperkingen: juridische, beveiliging, bewerkingen, omgeving en processen.

  • Zie Microsoft Entra-rapportage- en bewakingsafhankelijkheden voor implementatie

• Toegangsbeoordelingen - Toegangsbeoordelingen begrijpen en beheren van toegang tot resources:

  • Wat zijn toegangsbeoordelingen?
  • Zie een implementatie van Microsoft Entra-toegangsbeoordelingen plannen

Aanbevolen procedures voor een testfase

Voordat u een wijziging aanbrengt voor grotere groepen of iedereen, gebruikt u piloten om te testen met een kleine groep. Zorg ervoor dat elke use case in uw organisatie is getest.

Pilot: Fase 1

In uw eerste fase richt u zich op IT, bruikbaarheid en andere gebruikers die feedback kunnen testen en geven. Gebruik deze feedback om inzicht te krijgen in mogelijke problemen voor ondersteuningsmedewerkers en om communicatie en instructies te ontwikkelen die u naar alle gebruikers verzendt.

Pilot: Fase 2

Verbreed de pilot naar grotere groepen gebruikers met behulp van dynamisch lidmaatschap of door gebruikers handmatig toe te voegen aan de doelgroepen.

Meer informatie: Dynamische lidmaatschapsregels voor groepen in Microsoft Entra-id