Implementatiehandleiding voor Azure Active Directory-functies
Het kan een hele uitdaging lijken om een Azure Active Directory (Azure AD) voor uw organisatie te implementeren en deze veilig te houden. In dit artikel worden algemene taken beschreven die klanten nuttig vinden om in fasen in de loop van 30, 60, 90 dagen of meer te voltooien om hun beveiligingsstatus te verbeteren. Zelfs organisaties die Azure AD al hebben geïmplementeerd, kunnen deze handleiding gebruiken om ervoor te zorgen dat ze het meeste uit hun investering kunnen doen.
Een goed geplande en uitgevoerde identiteitsinfrastructuur maakt veilige toegang tot uw productiviteitsworkloads en -gegevens alleen mogelijk voor bekende gebruikers en apparaten.
Daarnaast kunnen klanten hun id-beveiligingsscore controleren om te zien hoe ze zijn afgestemd op de best practices van Microsoft. Controleer uw beveiligde score vóór en na het implementeren van deze aanbevelingen om te zien hoe goed u het doet in vergelijking met andere organisaties in uw branche en andere organisaties van uw grootte.
Vereisten
Veel van de aanbevelingen in deze handleiding kunnen worden geïmplementeerd met Azure AD Free of helemaal geen licentie. Waar licenties vereist zijn, wordt ten minste de vereiste licentie voor het uitvoeren van de taak belijst.
Meer informatie over licenties vindt u op de volgende pagina's:
- Azure AD-licenties
- Microsoft 365 Zakelijk
- Enterprise Mobility + Security
- Azure AD External Identities prijzen
Fase 1: een basis van beveiliging bouwen
In deze fase maken beheerders basisbeveiligingsfuncties mogelijk om een veiligere en gebruiksvriendelijke basis in Azure AD te maken voordat we normale gebruikersaccounts importeren of maken. Deze basisfase zorgt ervoor dat u vanaf het begin een veiligere status hebt en dat uw eindgebruikers slechts één keer kennis moeten maken met nieuwe concepten.
| Taak | Detail | Vereiste licentie |
|---|---|---|
| Meer dan één globale beheerder aanwijzen | Wijs ten minste twee permanente globale beheerdersaccounts in de cloud toe voor gebruik als er sprake is van een noodgeval. Deze accounts worden niet dagelijks gebruikt en moeten lange en complexe wachtwoorden hebben. | Azure AD Free |
| Waar mogelijk niet-globale beheerdersrollen gebruiken | Geef uw beheerders alleen de toegang die ze nodig hebben tot de gebieden waar ze toegang tot nodig hebben. Niet alle beheerders hoeven globale beheerders te zijn. | Azure AD Free |
| Schakel Privileged Identity Management in voor het bijhouden van het gebruik van beheerdersrollen | Schakel Privileged Identity Management in om het gebruik van beheerdersrol bij te houden. | Azure AD Premium P2 |
| Selfservice voor wachtwoordherstel implementeren | Verminder het aantal helpdesk-oproepen voor het opnieuw instellen van wachtwoorden door medewerkers in staat te stellen hun eigen wachtwoorden opnieuw in te stellen met behulp van beleid dat u als beheerder kunt beheren. | |
| Een organisatiespecifieke aangepaste lijst met verboden wachtwoorden maken | Voorkom dat gebruikers wachtwoorden maken die veelgebruikte woorden of woordgroepen van uw organisatie of gebied bevatten. | |
| On-premises integratie met Azure AD-wachtwoordbeveiliging inschakelen | Breid de lijst met verboden wachtwoorden uit naar uw on-premises adreslijst om ervoor te zorgen dat wachtwoorden die on-premises zijn ingesteld, ook voldoen aan de algemene en tenantspecifieke lijsten met verboden wachtwoorden. | Azure AD Premium P1 |
| Wachtwoordadviezen van Microsoft inschakelen | U kunt niet meer vereisen dat gebruikers hun wachtwoord volgens een vast schema wijzigen, complexiteitsvereisten uitschakelen en uw gebruikers zijn beter in staat om hun wachtwoorden te onthouden en ze iets veiligs te laten. | Azure AD Free |
| Periodiek opnieuw instellen van wachtwoorden uitschakelen voor cloudgebruikersaccounts | Het periodiek opnieuw instellen van wachtwoorden stimuleert uw gebruikers om hun bestaande wachtwoorden te verhogen. Gebruik de richtlijnen in het document met wachtwoordrichtlijnen van Microsoft en mirror uw on-premises beleid voor cloudgebruikers. | Azure AD Free |
| Slimme Azure Active Directory aanpassen | Voorkomen dat vergrendelingen van cloudgebruikers worden gerepliceerd naar on-premises Active Directory gebruikers | |
| Smart Lockout voor Extranet inschakelen voor AD FS | AD FS extranetvergrendeling beschermt tegen brute-force aanvallen om wachtwoorden te raden, terwijl geldige AD FS gebruikers hun account blijven gebruiken. | |
| Verouderde verificatie voor Azure AD blokkeren met voorwaardelijke toegang | Blokkeer verouderde verificatieprotocollen zoals POP, SMTP, IMAP en MAPI die Multi-Factor Authentication niet kunnen afdwingen, waardoor ze een voorkeursinvoerpunt zijn voor aanvallers. | Azure AD Premium P1 |
| Azure AD Multi-Factor Authentication implementeren met beleid voor voorwaardelijke toegang | Vereisen dat gebruikers verificatie in twee stappen uitvoeren bij het openen van gevoelige toepassingen met behulp van beleid voor voorwaardelijke toegang. | Azure AD Premium P1 |
| Azure Active Directory Identity Protection inschakelen | Schakel het bijhouden van riskante aanmeldingen en gecompromitteerde referenties voor gebruikers in uw organisatie in. | Azure AD Premium P2 |
| Risicodetecties gebruiken om meervoudige verificatie en wachtwoordwijzigingen te activeren | Schakel automatisering in die gebeurtenissen kan activeren, zoals meervoudige verificatie, wachtwoord opnieuw instellen en blokkeren van aanmeldingen op basis van risico. | Azure AD Premium P2 |
| Gecombineerde registratie inschakelen voor selfservice voor wachtwoord opnieuw instellen en Azure AD Multi-Factor Authentication | Sta uw gebruikers toe om zich te registreren vanuit één veelvoorkomende ervaring voor zowel Azure AD Multi-Factor Authentication als selfservice voor wachtwoord opnieuw instellen. | Azure AD Premium P1 |
Fase 2: gebruikers importeren, synchronisatie inschakelen en apparaten beheren
Vervolgens voegen we toe aan de basis van fase 1 door onze gebruikers te importeren en synchronisatie in te schakelen, gasttoegang te plannen en de ondersteuning van aanvullende functionaliteit voor te bereiden.
| Taak | Detail | Vereiste licentie |
|---|---|---|
| Azure AD-Verbinding maken | Bereid u voor op het synchroniseren van gebruikers van uw bestaande on-premises directory naar de cloud. | Azure AD Free |
| Wachtwoord-hashsynchronisatie implementeren | Synchroniseer wachtwoordhashes om toe te staan dat wachtwoordwijzigingen worden gerepliceerd, de detectie en het herstel van slechte wachtwoorden, en rapportage van gelekte referenties. | Azure AD Free |
| Wachtwoord terugschrijven implementeren | Toestaan dat wachtwoordwijzigingen in de cloud worden teruggeschreven naar een on-premises Windows Server Active Directory omgeving. | Azure AD Premium P1 |
| Azure AD Verbinding maken Health implementeren | Schakel bewaking van belangrijke statusstatistieken in voor uw Azure AD Verbinding maken servers, AD FS servers en domeincontrollers. | Azure AD Premium P1 |
| Licenties toewijzen aan gebruikers op groepslidmaatschap in Azure Active Directory | Bespaar tijd en moeite door licentiegroepen te maken die functies per groep in- of uitschakelen in plaats van per gebruiker in te stellen. | |
| Een plan maken voor toegang tot gastgebruikers | Werk samen met gastgebruikers door ze zich met hun eigen werk-, school- of sociale identiteiten aan te melden bij uw apps en services. | Azure AD External Identities prijzen |
| Strategie voor apparaatbeheer bepalen | Bepaal wat uw organisatie toestaat met betrekking tot apparaten. Registreren versus deelnemen, Bring Your Own Device versus het geleverde bedrijf. | |
| Windows Hello for Business implementeren in uw organisatie | Voorbereiden op verificatie zonder wachtwoord met behulp van Windows Hello | |
| Verificatiemethoden zonder wachtwoord implementeren voor uw gebruikers | Uw gebruikers voorzien van handige verificatiemethoden zonder wachtwoord | Azure AD Premium P1 |
Fase 3: Toepassingen beheren
Terwijl we doorgaan met de vorige fasen, identificeren we geschikte toepassingen voor migratie en integratie met Azure AD en voltooien we de installatie van deze toepassingen.
| Taak | Detail | Vereiste licentie |
|---|---|---|
| Uw toepassingen identificeren | Identificeer toepassingen die in uw organisatie worden gebruikt: on-premises, SaaS-toepassingen in de cloud en andere Line-Of-Business-toepassingen. Bepaal of deze toepassingen kunnen en moeten worden beheerd met Azure AD. | Er is geen licentie vereist |
| Ondersteunde SaaS-toepassingen integreren in de galerie | Azure AD heeft een galerie met duizenden vooraf geïntegreerde toepassingen. Sommige toepassingen die uw organisatie gebruikt, zijn waarschijnlijk in de galerie rechtstreeks toegankelijk vanuit de Azure Portal. | Azure AD Free |
| Gebruik toepassingsproxy om on-premises toepassingen te integreren | toepassingsproxy kunnen gebruikers toegang krijgen tot on-premises toepassingen door zich aan te melden met hun Azure AD-account. |
Fase 4: Bevoorrechte identiteiten controleren, een toegangsbeoordeling voltooien en de levenscyclus van gebruikers beheren
Fase 4 ziet beheerders die principes voor minste bevoegdheden afdwingen voor beheer, het voltooien van hun eerste toegangsbeoordelingen en het inschakelen van automatisering van algemene taken voor de levenscyclus van gebruikers.
| Taak | Detail | Vereiste licentie |
|---|---|---|
| Het gebruik van Privileged Identity Management | Verwijder beheerdersrollen uit normale dagelijkse gebruikersaccounts. Zorg ervoor dat gebruikers met beheerdersrol in aanmerking komen voor gebruik van hun rol nadat ze een meervoudige verificatiecontrole hebben geslaagd, een zakelijke reden hebben gegeven of goedkeuring hebben gevraagd van aangewezen goedkeurders. | Azure AD Premium P2 |
| Een toegangsbeoordeling voltooien voor Azure AD-directoryrollen in PIM | Werk samen met uw beveiligings- en leidinggevende teams om een beleid voor toegangsbeoordeling te maken om beheerderstoegang te beoordelen op basis van het beleid van uw organisatie. | Azure AD Premium P2 |
| Beleid voor dynamisch groepslidmaatschap implementeren | Gebruik dynamische groepen om gebruikers automatisch toe te wijzen aan groepen op basis van hun kenmerken van HR (of uw bron van waarheid), zoals afdeling, titel, regio en andere kenmerken. | |
| Toepassings inrichting op basis van groepen implementeren | Gebruik inrichting van toegangsbeheer op basis van groepen om gebruikers automatisch in terichten voor SaaS-toepassingen. | |
| Het inrichten en de inrichting van gebruikers automatiseren | Verwijder handmatige stappen uit de levenscyclus van uw werknemersaccount om onbevoegde toegang te voorkomen. Synchroniseer identiteiten van uw bron van waarheid (HR System) met Azure AD. |
Volgende stappen
Azure AD-licentieverlening en prijsgegevens
Configuraties voor identiteiten en apparaattoegang
Veelvoorkomende aanbevolen beleidsregels voor identiteits- en apparaattoegang