Overzicht van beveiliging met Azure-identiteitsbeheer

Identiteitsbeheer is het proces van het verifiëren en autoriseren van beveiligings-principals. Het omvat ook het beheren van informatie over deze principals (identiteiten). Beveiligingsprincipa (identiteiten) kunnen services, toepassingen, gebruikers, groepen, enzovoort bevatten. Oplossingen voor identiteits- en toegangsbeheer van Microsoft helpen IT bij het beveiligen van de toegang tot toepassingen en resources in het datacenter van het bedrijf en in de cloud. Deze beveiliging maakt extra validatieniveaus mogelijk, zoals Multi-Factor Authentication en beleid voor voorwaardelijke toegang. Het bewaken van verdachte activiteiten via geavanceerde beveiligingsrapportage, controle en waarschuwingen helpt potentiële beveiligingsproblemen te beperken. Azure Active Directory Premium biedt eenmalige aanmelding (SSO) voor duizenden SaaS-apps (Cloud Software as a Service) en toegang tot web-apps die u on-premises kunt uitvoeren.

Door te profiteren van de beveiligingsvoordelen van Azure Active Directory (Azure AD), kunt u het volgende doen:

• Maak en beheer één enkele identiteit voor elke gebruiker in uw hybride onderneming, zodat gebruikers, groepen en apparaten gesynchroniseerd blijven.
• SSO-toegang bieden tot uw toepassingen, waaronder duizenden vooraf geïntegreerde SaaS-apps.
• Toegangsbeveiliging tot toepassingen inschakelen door Multi-Factor Authentication op basis van regels af te dwingen voor zowel on-premises toepassingen als cloudtoepassingen.
• Beveiligde externe toegang tot on-premises webtoepassingen inrichten via Azure AD-toepassingsproxy.

Het doel van dit artikel is om een overzicht te geven van de belangrijkste Azure-beveiligingsfuncties die helpen bij identiteitsbeheer. We bieden ook koppelingen naar artikelen met meer informatie over elke functie, zodat u meer informatie krijgt.

Het artikel richt zich op de volgende kernfuncties van Azure Identity Management:

• Eenmalige aanmelding
• Omgekeerde proxy
• Multi-Factor Authentication
• Azure RBAC (op rollen gebaseerd toegangsbeheer van Azure)
• Beveiligingsbewaking, waarschuwingen en machine learning rapporten
• Identiteits- en toegangsbeheer voor consumenten
• Apparaatregistratie
• Privileged Identity Management
• Identiteitsbeveiliging
• Hybride identiteitsbeheer/Azure AD Connect
• Azure AD-toegangsbeoordelingen

Eenmalige aanmelding

Eenmalige aanmelding betekent dat u toegang hebt tot alle toepassingen en resources die u nodig hebt om zaken te doen, door u slechts één keer aan te melden met één gebruikersaccount. Nadat u bent aangemeld, hebt u toegang tot alle toepassingen die u nodig hebt, zonder dat u zich een tweede keer hoeft te verifiëren (typ bijvoorbeeld een wachtwoord).

Veel organisaties vertrouwen voor productiviteit van gebruikers op SaaS-toepassingen zoals Microsoft 365, Box en Salesforce. In het verleden moesten IT-medewerkers afzonderlijke gebruikersaccounts maken en bijwerken in elke SaaS-toepassing en moesten gebruikers een wachtwoord onthouden voor elke SaaS-toepassing.

Azure AD breidt on-premises Active Directory-omgevingen uit naar de cloud, zodat gebruikers hun primaire organisatieaccount kunnen gebruiken om zich niet alleen aan te melden bij hun domeinapparaten en bedrijfsbronnen, maar ook bij alle web- en SaaS-toepassingen die ze nodig hebben voor hun taken.

Gebruikers moeten niet alleen meerdere sets gebruikersnamen en wachtwoorden beheren, maar u kunt de toegang tot toepassingen ook automatisch inrichten of de inrichting ervan op basis van hun organisatiegroepen en hun werknemersstatus inrichten. Azure AD introduceert besturingselementen voor beveiliging en toegangsbeheer waarmee u de toegang van gebruikers centraal kunt beheren in SaaS-toepassingen.

Meer informatie:

• Overzicht van eenmalige aanmelding
• Video over de basisprincipes van verificatie
• Quickstartreeks over toepassingsbeheer

Omgekeerde proxy

Met Azure AD toepassingsproxy kunt u on-premises toepassingen publiceren, zoals SharePoint-sites, Outlook Web App en OP IISgebaseerde apps binnen uw particuliere netwerk en beveiligde toegang bieden aan gebruikers buiten uw netwerk. toepassingsproxy biedt externe toegang en eenmalige aanmelding voor veel soorten on-premises webtoepassingen met de duizenden SaaS-toepassingen die door Azure AD worden ondersteund. Werknemers kunnen zich op hun eigen apparaten aanmelden bij uw apps en zich verifiëren via deze cloudproxy.

Meer informatie:

• Azure AD-toepassingsproxy
• Toepassingen publiceren met Azure AD-toepassingsproxy
• Eenmalige aanmelding met toepassingsproxy
• Werken met voorwaardelijke toegang

Multi-Factor Authentication

Azure AD Multi-Factor Authentication is een verificatiemethode die het gebruik van meer dan één verificatiemethode vereist en een kritieke tweede beveiligingslaag toevoegt aan aanmeldingen en transacties van gebruikers. Multi-Factor Authentication helpt de toegang tot gegevens en toepassingen te beveiligen en tegelijkertijd te voldoen aan de gebruikersvraag voor een eenvoudig aanmeldingsproces. Het biedt sterke verificatie via een scala aan verificatieopties: telefoongesprekken, sms-berichten, meldingen voor mobiele apps of verificatiecodes en OAuth-tokens van derden.

Meer informatie:

• Multi-Factor Authentication
• Wat is Azure AD Multi-Factor Authentication?
• Hoe Azure AD Multi-Factor Authentication werkt

Azure RBAC

Azure RBAC is een autorisatiesysteem dat is gebouwd Azure Resource Manager voor een fijner toegangsbeheer van resources in Azure. Met Azure RBAC kunt u het toegangsniveau van gebruikers gedetailleerd bepalen. U kunt een gebruiker bijvoorbeeld beperken tot het beheren van virtuele netwerken en een andere gebruiker om alle resources in een resourcegroep te beheren. Azure bevat diverse ingebouwde rollen die u kunt gebruiken. Hier volgen vier fundamentele ingebouwde rollen. De eerste drie zijn op alle resourcetypen van toepassing.

• Eigenaar: heeft volledige toegang tot alle resources, waaronder het recht om toegang aan anderen te delegeren.
• Inzender: kan alle typen Azure-resources maken en beheren, maar kan anderen geen toegang verlenen.
• Lezer: kan bestaande Azure-resources bekijken.
• Beheerder gebruikerstoegang: kan gebruikerstoegang tot Azure-resources beheren.

Meer informatie:

• Wat is Azure RBAC (toegangsbeheer op basis van rollen)?
• Ingebouwde Azure-rollen

Beveiligingsbewaking, waarschuwingen en machine learning rapporten

Beveiligingsbewaking, waarschuwingen en machine learning rapporten die inconsistente toegangspatronen identificeren, kunnen u helpen uw bedrijf te beschermen. U kunt Azure AD-toegangs- en gebruiksrapporten gebruiken om inzicht te krijgen in de integriteit en beveiliging van de directory van uw organisatie. Met deze informatie kan een directorybeheerder beter bepalen waar mogelijke beveiligingsrisico's kunnen liggen, zodat ze deze risico's adequaat kunnen inplannen.

In de Azure Portal vallen rapporten in de volgende categorieën:

• Anomalierapporten: deze bevatten aanmeldingsgebeurtenissen die we afwijkende gegevens hebben gevonden. Ons doel is om u op de hoogte te stellen van dergelijke activiteiten en u in staat te stellen te bepalen of een gebeurtenis verdacht is.
• Geïntegreerde toepassingsrapporten: bieden inzicht in de manier waarop cloudtoepassingen worden gebruikt in uw organisatie. Azure AD biedt integratie met duizenden cloudtoepassingen.
• Foutrapporten: geef fouten aan die kunnen optreden wanneer u accounts inrichten voor externe toepassingen.
• Gebruikersspecifieke rapporten: geef activiteitsgegevens voor het aanmelden van apparaten weer voor een specifieke gebruiker.
• Activiteitenlogboeken: bevatten een record van alle gecontroleerde gebeurtenissen in de afgelopen 24 uur, afgelopen 7 dagen of de afgelopen 30 dagen, en wijzigingen in groepsactiviteit, wachtwoord opnieuw instellen en registratieactiviteit.

Meer informatie:

• Uw toegangs- en gebruiksrapporten weergeven
• Aan de slag met Azure Active Directory rapportage
• Azure Active Directory rapportagehandleiding

Identiteits- en toegangsbeheer voor consumenten

Azure AD B2C is een zeer beschikbare, wereldwijde identiteitsbeheerservice voor consumententoepassingen die kan worden geschaald tot honderden miljoenen identiteiten. De service kan worden geïntegreerd in zowel mobiele als webplatforms. Uw consumenten kunnen zich aanmelden bij al uw toepassingen via aanpasbare ervaringen met behulp van hun bestaande sociale accounts of door nieuwe referenties te maken.

In het verleden hadden toepassingsontwikkelaars die klanten wilden registreren en zich bij hun toepassingen wilden aanmelden, hun eigen code geschreven. Bovendien gebruikten ze on-premises databases of systemen om gebruikersnamen en wachtwoorden op te slaan. Azure AD B2C biedt uw organisatie een betere manier om identiteitsbeheer voor consumenten te integreren in toepassingen met behulp van een beveiligd, op standaarden gebaseerd platform en een grote set beleidsregels die kunnen worden gebruikt.

Wanneer u Azure AD B2C gebruikt, kunnen uw consumenten zich registreren voor uw toepassingen met behulp van hun bestaande sociale accounts (Facebook, Google, Amazon, LinkedIn) of door nieuwe referenties te maken (e-mailadres en wachtwoord of gebruikersnaam en wachtwoord).

Meer informatie:

• Wat is Azure Active Directory B2C?
• Azure Active Directory B2C Preview: consumenten registreren en aanmelden bij uw toepassingen
• Azure Active Directory B2C Preview: typen toepassingen

Apparaatregistratie

Azure AD-apparaatregistratie is de basis voor scenario's voor voorwaardelijke toegang op basis van apparaten. Wanneer een apparaat is geregistreerd, biedt Azure AD-apparaatregistratie het apparaat een identiteit die wordt gebruikt om het apparaat te verifiëren wanneer een gebruiker zich aanmeldt. Het geverifieerde apparaat en de kenmerken van het apparaat kunnen vervolgens worden gebruikt om beleid voor voorwaardelijke toegang af te dwingen voor toepassingen die worden gehost in de cloud en on-premises.

In combinatie met een beheeroplossing voor mobiele apparaten, zoals Intune, worden de apparaatkenmerken in Azure AD bijgewerkt met aanvullende informatie over het apparaat. Vervolgens kunt u regels voor voorwaardelijke toegang maken die toegang afdwingen vanaf apparaten om te voldoen aan uw normen voor beveiliging en naleving.

Meer informatie:

• Aan de slag met Azure AD-apparaatregistratie
• Automatische apparaatregistratie met Azure AD voor Windows apparaten die lid zijn van een domein
• Automatische registratie van apparaten Windows domein met Azure AD instellen

Privileged Identity Management

Met Azure AD Privileged Identity Management kunt u uw bevoegde identiteiten en toegang tot resources in Azure AD en andere Microsoft onlineservices, zoals Microsoft 365 en Microsoft Intune, beheren, beheren en Microsoft Intune.

Gebruikers moeten soms bevoorrechte bewerkingen uitvoeren in Azure of Microsoft 365 resources of in andere SaaS-apps. Deze behoefte betekent vaak dat organisaties gebruikers permanente bevoorrechte toegang moeten geven in Azure AD. Dergelijke toegang is een groeiend beveiligingsrisico voor in de cloud gehoste resources, omdat organisaties niet voldoende kunnen controleren wat de gebruikers doen met hun beheerdersbevoegdheden. Als een gebruikersaccount met bevoegde toegang is aangetast, kan die ene schending bovendien van invloed zijn op de algehele cloudbeveiliging van de organisatie. Azure AD Privileged Identity Management om dit risico te beperken.

Met Azure AD Privileged Identity Management kunt u het volgende doen:

• Zie welke gebruikers Azure AD-beheerders zijn.
• JiT-beheerderstoegang (Just-In-Time) op aanvraag inschakelen voor Microsoft-services, zoals Microsoft 365 en Intune.
• Rapporten over de toegangsgeschiedenis van beheerders en wijzigingen in beheerderstoewijzingen.
• Ontvang waarschuwingen over toegang tot een bevoorrechte rol.

Meer informatie:

• Wat is Azure AD Privileged Identity Management?
• Azure AD-directoryrollen toewijzen in PIM

Identiteitsbeveiliging

Azure AD Identity Protection is een beveiligingsservice die een geconsolideerde weergave biedt van risicodetecties en mogelijke beveiligingsproblemen die van invloed zijn op de identiteiten van uw organisatie. Identity Protection maakt gebruik van bestaande mogelijkheden voor anomaliedetectie van Azure AD, die beschikbaar zijn via azure AD-rapporten over afwijkende activiteiten. Identity Protection introduceert ook nieuwe typen risicodetectie die afwijkingen in realtime kunnen detecteren.

Meer informatie:

• Azure AD-identiteitsbeveiliging
• Channel 9: Azure AD en Identity Show: Identity Protection Preview

Hybride identiteitsbeheer/Azure AD Connect

De identiteitsoplossingen van Microsoft omvatten mogelijkheden voor zowel on-premises als in de cloud. Er wordt één gebruikersidentiteit gemaakt voor verificatie en autorisatie bij alle resources, ongeacht hun locatie. We noemen dit hybride identiteit. Azure AD Connect is het programma van Microsoft dat is ontworpen om te voldoen aan uw doelstellingen voor een hybride identiteit. Hiermee kunt u uw gebruikers een algemene identiteit bieden voor Microsoft 365, Azure en SaaS toepassingen die zijn geïntegreerd met Azure AD. Deze biedt de volgende functies:

• Synchronisatie
• AD FS en federatie-integratie
• Pass Through-verificatie
• Statuscontrole

Meer informatie:

• Whitepaper over hybride identiteit
• Azure Active Directory
• Azure AD-teamblog

Azure AD-toegangsbeoordelingen

Met Azure AD-toegangsbeoordelingen (Azure Active Directory) kunnen organisaties op efficiënte wijze groepslidmaatschappen, de toegang tot bedrijfstoepassingen en de toewijzing van bevoorrechte rollen beheren.

Meer informatie:

• Azure AD-toegangsbeoordelingen
• Gebruikerstoegang beheren met Azure AD-toegangsbeoordelingen