Przewodnik wdrażania funkcji Azure Active DirectoryAzure Active Directory feature deployment guide

Może wydawać się zniechęcające wdrożenie Azure Active Directory (Azure AD) w organizacji i zachowanie bezpieczeństwa.It can seem daunting to deploy Azure Active Directory (Azure AD) for your organization and keep it secure. Ten artykuł zawiera informacje o typowych zadaniach, które mogą być przydatne dla klientów w fazach, w ciągu 30, 60, 90 dni lub więcej, aby zwiększyć ich stan bezpieczeństwa.This article identifies common tasks that customers find helpful to complete in phases, over the course of 30, 60, 90 days, or more, to enhance their security posture. Nawet organizacje, które już wdrożyły usługę Azure AD, mogą korzystać z tego przewodnika, aby upewnić się, że najprawdopodobniej wykorzystają one z inwestycji.Even organizations who have already deployed Azure AD can use this guide to ensure they are getting the most out of their investment.

Dobrze zaplanowana i uruchomiona infrastruktura tożsamości paves sposób bezpiecznego dostępu do obciążeń i danych wydajności przez znanych użytkowników i urządzenia.A well-planned and executed identity infrastructure paves the way for secure access to your productivity workloads and data by known users and devices only.

Dodatkowo klienci mogą sprawdzić swoją tożsamość , aby sprawdzić, jak są one zgodne z najlepszymi rozwiązaniami firmy Microsoft.Additionally customers can check their identity secure score to see how aligned they are to Microsoft best practices. Sprawdź swój Bezpieczny wynik przed i po wdrożeniu tych zaleceń, aby dowiedzieć się, jak dobrze jesteś w porównaniu z innymi osobami w branży i z innymi organizacjami danego rozmiaru.Check your secure score before and after implementing these recommendations to see how well you are doing compared to others in your industry and to other organizations of your size.

Wymagania wstępnePrerequisites

Wiele zaleceń zawartych w tym przewodniku można zaimplementować przy użyciu Azure AD — wersja Bezpłatna lub bez licencji.Many of the recommendations in this guide can be implemented with Azure AD Free or no license at all. W przypadku gdy wymagane są licencje, firma Microsoft gwarantuje, że licencja jest wymagana co najmniej w celu wykonania zadania.Where licenses are required we state which license is required at minimum to accomplish the task.

Dodatkowe informacje na temat licencjonowania można znaleźć na następujących stronach:Additional information about licensing can be found on the following pages:

Faza 1: Tworzenie podstawy zabezpieczeńPhase 1: Build a foundation of security

W tej fazie Administratorzy mogą włączyć podstawowe funkcje zabezpieczeń, aby zapewnić bezpieczniejsze i łatwe korzystanie z programu Foundation w usłudze Azure AD przed zaimportowaniem lub utworzeniem normalnych kont użytkowników.In this phase, administrators enable baseline security features to create a more secure and easy to use foundation in Azure AD before we import or create normal user accounts. Ta faza podstawowa gwarantuje, że jest to bardziej bezpieczny stan od początku i że użytkownicy końcowi muszą tylko wprowadzać nowe koncepcje.This foundational phase ensures you are in a more secure state from the start and that your end-users only have to be introduced to new concepts one time.

ZadanieTask FormantDetail Wymagana licencjaRequired license
Wyznacz więcej niż jednego administratora globalnegoDesignate more than one global administrator Należy przypisać co najmniej dwa stałe konta administratora globalnego tylko w chmurze do użycia w przypadku wystąpienia sytuacji awaryjnej.Assign at least two cloud-only permanent global administrator accounts for use if there is an emergency. Te konta nie są używane codziennie i powinny mieć długie i złożone hasła.These accounts are not be used daily and should have long and complex passwords. Usługa Azure AD — warstwa BezpłatnaAzure AD Free
W miarę możliwości używaj nieglobalnych ról administracyjnychUse non-global administrative roles where possible Nadaj administratorom tylko dostęp do tych obszarów, do których potrzebują dostępu.Give your administrators only the access they need to only the areas they need access to. Nie wszyscy administratorzy muszą być administratorami globalnymi.Not all administrators need to be global administrators. Usługa Azure AD — warstwa BezpłatnaAzure AD Free
Włącz Privileged Identity Management do śledzenia użycia roli administratoraEnable Privileged Identity Management for tracking admin role use Włącz Privileged Identity Management, aby rozpocząć śledzenie użycia roli administracyjnej.Enable Privileged Identity Management to start tracking administrative role usage. Usługa Azure AD — warstwa Premium P2Azure AD Premium P2
Wdrażanie funkcji samoobsługowego resetowania hasełRoll out self-service password reset Zmniejszenie liczby zgłoszeń pomocy technicznej dotyczącej resetowania haseł przez umożliwienie personelowi resetowania własnych haseł przy użyciu zasad, które kontroluje administrator.Reduce helpdesk calls for password resets by allowing staff to reset their own passwords using policies you as an administrator control.
Utwórz niestandardową listę wykluczonych haseł dla organizacjiCreate an organization specific custom banned password list Uniemożliwiaj użytkownikom tworzenie haseł zawierających typowe słowa lub frazy z Twojej organizacji lub obszaru.Prevent users from creating passwords that include common words or phrases from your organization or area.
Włączanie integracji lokalnej z ochroną hasłem usługi Azure ADEnable on-premises integration with Azure AD password protection Rozwiń listę zakazanych haseł do katalogu lokalnego, aby upewnić się, że hasła ustawione lokalnie są zgodne z globalnymi i specyficznymi dla dzierżawą listami haseł.Extend the banned password list to your on-premises directory, to ensure passwords set on-premises are also in compliance with the global and tenant-specific banned password lists. Usługa Azure AD — warstwa Premium P1Azure AD Premium P1
Włącz wskazówki dotyczące haseł firmy MicrosoftEnable Microsoft's password guidance Zatrzymaj wymaganie od użytkowników zmiany hasła zgodnie z ustalonym harmonogramem, wyłącz wymagania dotyczące złożoności, a użytkownicy są bardziej apt, aby zapamiętać swoje hasła i zapewnić, że są one bezpieczne.Stop requiring users to change their password on a set schedule, disable complexity requirements, and your users are more apt to remember their passwords and keep them something that is secure. Usługa Azure AD — warstwa BezpłatnaAzure AD Free
Wyłącz resetowanie haseł okresowych dla kont użytkowników opartych na chmurzeDisable periodic password resets for cloud-based user accounts Okresowe resetowanie haseł zachęca użytkowników do zwiększania istniejących haseł.Periodic password resets encourage your users to increment their existing passwords. Skorzystaj z wytycznych zawartych w dokumencie wskazówki dotyczące haseł w firmie Microsoft i podublowania zasad lokalnych w przypadku użytkowników korzystających tylko z chmury.Use the guidelines in Microsoft's password guidance doc and mirror your on-premises policy to cloud-only users. Usługa Azure AD — warstwa BezpłatnaAzure AD Free
Dostosowywanie inteligentnego blokowania Azure Active DirectoryCustomize Azure Active Directory smart lockout Zatrzymywanie blokowania od użytkowników w chmurze przed replikacją do lokalnych Active Directory użytkownikówStop lockouts from cloud-based users from being replicated to on-premises Active Directory users
Włącz inteligentną blokadę ekstranetu dla AD FSEnable Extranet Smart Lockout for AD FS AD FS blokada ekstranetu chroni przed atakami polegającymi na odzgadywaniu hasła, jednocześnie umożliwiając prawidłowym AD FS użytkownikom nadal korzystanie z ich kont.AD FS extranet lockout protects against brute force password guessing attacks, while letting valid AD FS users continue to use their accounts.
Wdrażanie Multi-Factor Authentication usługi Azure AD przy użyciu zasad dostępu warunkowegoDeploy Azure AD Multi-Factor Authentication using Conditional Access policies Wymaganie od użytkowników weryfikacji dwuetapowej podczas uzyskiwania dostępu do poufnych aplikacji przy użyciu zasad dostępu warunkowego.Require users to perform two-step verification when accessing sensitive applications using Conditional Access policies. Usługa Azure AD — warstwa Premium P1Azure AD Premium P1
Włącz Azure Active Directory Identity ProtectionEnable Azure Active Directory Identity Protection Włącz śledzenie ryzykownych logowań i zagrożonych poświadczeń dla użytkowników w organizacji.Enable tracking of risky sign-ins and compromised credentials for users in your organization. Usługa Azure AD — warstwa Premium P2Azure AD Premium P2
Korzystanie z wykrywania ryzyka w celu wyzwalania zmian związanych z uwierzytelnianiem wieloskładnikowym i hasłamiUse risk detections to trigger multi-factor authentication and password changes Włącz automatyzację, która może wyzwalać zdarzenia, takie jak uwierzytelnianie wieloskładnikowe, Resetowanie hasła i blokowanie logowania na podstawie ryzyka.Enable automation that can trigger events such as multi-factor authentication, password reset, and blocking of sign-ins based on risk. Usługa Azure AD — warstwa Premium P2Azure AD Premium P2
Włącz zbieżną rejestrację w celu samoobsługowego resetowania haseł i usługi Azure AD Multi-Factor Authentication (wersja zapoznawcza)Enable converged registration for self-service password reset and Azure AD Multi-Factor Authentication (preview) Zezwól użytkownikom na rejestrację z jednego typowego środowiska dla usługi Azure Multi-Factor Authentication i samoobsługowego resetowania hasła.Allow your users to register from one common experience for both Azure Multi-Factor Authentication and self-service password reset. Usługa Azure AD — warstwa Premium P1Azure AD Premium P1

Faza 2: Importowanie użytkowników, Włączanie synchronizacji i zarządzanie urządzeniamiPhase 2: Import users, enable synchronization, and manage devices

Następnie dodamy do podstawy ustalonej w fazie 1 przez zaimportowanie naszych użytkowników i włączenie synchronizacji, zaplanowanie dostępu gościa i przygotowanie do obsługi dodatkowych funkcji.Next, we add to the foundation laid in phase 1 by importing our users and enabling synchronization, planning for guest access, and preparing to support additional functionality.

ZadanieTask FormantDetail Wymagana licencjaRequired license
Instalowanie programu Azure AD ConnectInstall Azure AD Connect Przygotuj się do synchronizacji użytkowników z istniejącego katalogu lokalnego do chmury.Prepare to synchronize users from your existing on-premises directory to the cloud. Usługa Azure AD — warstwa BezpłatnaAzure AD Free
Implementowanie synchronizacji skrótów hasełImplement Password Hash Sync Zsynchronizuj skróty haseł, aby umożliwić Replikowanie zmian haseł, wykrywanie i korygowanie nieprawidłowych haseł oraz zgłaszanie nieujawnionych poświadczeń.Synchronize password hashes to allow password changes to be replicated, bad password detection and remediation, and leaked credential reporting. Usługa Azure AD — warstwa BezpłatnaAzure AD Free
Implementuj zapisywanie zwrotne hasełImplement Password Writeback Zezwalaj na zapisywanie zmian haseł w chmurze z powrotem do lokalnego środowiska Active Directory systemu Windows Server.Allow password changes in the cloud to be written back to an on-premises Windows Server Active Directory environment. Usługa Azure AD — warstwa Premium P1Azure AD Premium P1
Implementowanie Azure AD Connect HealthImplement Azure AD Connect Health Włącz monitorowanie statystyk kondycji klucza dla serwerów Azure AD Connect, serwerów AD FS i kontrolerów domeny.Enable monitoring of key health statistics for your Azure AD Connect servers, AD FS servers, and domain controllers. Usługa Azure AD — warstwa Premium P1Azure AD Premium P1
Przypisywanie licencji użytkownikom według członkostwa w grupie w Azure Active DirectoryAssign licenses to users by group membership in Azure Active Directory Oszczędzaj czas i wysiłku, tworząc grupy licencjonowania, które włączają lub wyłączają funkcje według grup zamiast ustawień dla poszczególnych użytkowników.Save time and effort by creating licensing groups that enable or disable features by group instead of setting per user.
Utwórz plan dla dostępu gościaCreate a plan for guest user access Współpracuj z użytkownikami-Gośćmi, umożliwiając im logowanie do aplikacji i usług przy użyciu własnych tożsamości służbowych, szkolnych lub społecznościowych.Collaborate with guest users by letting them sign in to your apps and services with their own work, school, or social identities. Wskazówki dotyczące licencjonowania B2B usługi Azure ADAzure AD B2B licensing guidance
Decydowanie o strategii zarządzania urządzeniamiDecide on device management strategy Zdecyduj, co organizacja zezwala na korzystanie z urządzeń.Decide what your organization allows regarding devices. Zarejestrowanie programu vs sprzęgania i przełączenie urządzenia do firmy.Registering vs joining, Bring Your Own Device vs company provided.
Wdróż usługę Windows Hello dla firm w organizacjiDeploy Windows Hello for Business in your organization Przygotowywanie do uwierzytelniania bezhaseł przy użyciu funkcji Windows HelloPrepare for passwordless authentication using Windows Hello
Wdróż metody uwierzytelniania bezhasło dla użytkownikówDeploy passwordless authentication methods for your users Udostępnianie użytkownikom wygodnych metod uwierzytelniania bez hasłaProvide your users with convenient passwordless authentication methods Usługa Azure AD — warstwa Premium P1Azure AD Premium P1

Faza 3: Zarządzanie aplikacjamiPhase 3: Manage applications

W miarę dalszego kompilowania w poprzednich fazach zidentyfikujemy aplikacje kandydujące do migracji i integracji z usługą Azure AD oraz ukończą konfigurację tych aplikacji.As we continue to build on the previous phases, we identify candidate applications for migration and integration with Azure AD and complete the setup of those applications.

ZadanieTask FormantDetail Wymagana licencjaRequired license
Zidentyfikuj swoje aplikacjeIdentify your applications Zidentyfikuj aplikacje używane w organizacji: lokalne, SaaS aplikacje w chmurze i inne aplikacje biznesowe.Identify applications in use in your organization: on-premises, SaaS applications in the cloud, and other line-of-business applications. Ustal, czy te aplikacje mogą być zarządzane za pomocą usługi Azure AD.Determine if these applications can and should be managed with Azure AD. Nie jest wymagana żadna licencjaNo license required
Integruj obsługiwane aplikacje SaaS w galeriiIntegrate supported SaaS applications in the gallery Usługa Azure AD zawiera galerię zawierającą tysiące wstępnie zintegrowanych aplikacji.Azure AD has a gallery that contains thousands of pre-integrated applications. Niektóre aplikacje używane przez organizację są prawdopodobnie dostępne w galerii bezpośrednio z Azure Portal.Some of the applications your organization uses are probably in the gallery accessible directly from the Azure portal. Usługa Azure AD — warstwa BezpłatnaAzure AD Free
Integracja aplikacji lokalnych przy użyciu serwera proxy aplikacjiUse Application Proxy to integrate on-premises applications Serwer proxy aplikacji umożliwia użytkownikom dostęp do aplikacji lokalnych przez zalogowanie się przy użyciu konta usługi Azure AD.Application Proxy enables users to access on-premises applications by signing in with their Azure AD account.

Faza 4: Inspekcja uprzywilejowanych tożsamości, Kończenie przeglądu dostępu i zarządzanie cyklem życia użytkownikówPhase 4: Audit privileged identities, complete an access review, and manage user lifecycle

Faza 4 widzi administratorów egzekwowania najniższych zasad uprawnień do administrowania, wykonywania pierwszej oceny dostępu i włączania automatyzacji typowych zadań związanych z cyklem życia użytkownika.Phase 4 sees administrators enforcing least privilege principles for administration, completing their first access reviews, and enabling automation of common user lifecycle tasks.

ZadanieTask FormantDetail Wymagana licencjaRequired license
Wymuś korzystanie z Privileged Identity ManagementEnforce the use of Privileged Identity Management Usuń role administracyjne z kont użytkowników z normalnym dniem.Remove administrative roles from normal day to day user accounts. Po pomyślnym sprawdzeniu uwierzytelniania wieloskładnikowego Użytkownicy administracyjni mogą korzystać z ich roli, zapewniając uzasadnienie biznesowe lub żądając zatwierdzenia od wyznaczenia osób zatwierdzających.Make administrative users eligible to use their role after succeeding a multi-factor authentication check, providing a business justification, or requesting approval from designated approvers. Usługa Azure AD — warstwa Premium P2Azure AD Premium P2
Dokończ przegląd dostępu dla ról katalogu usługi Azure AD w usłudze PIMComplete an access review for Azure AD directory roles in PIM Pracuj z zespołami ds. zabezpieczeń i liderów, aby utworzyć zasady przeglądu dostępu w celu sprawdzenia dostępu administracyjnego na podstawie zasad organizacji.Work with your security and leadership teams to create an access review policy to review administrative access based on your organization's policies. Usługa Azure AD — warstwa Premium P2Azure AD Premium P2
Implementowanie zasad członkostwa w grupie dynamicznejImplement dynamic group membership policies Użyj grup dynamicznych do automatycznego przypisywania użytkowników do grup na podstawie ich atrybutów z HR (lub źródła prawdziwie), takich jak dział, tytuł, region i inne atrybuty.Use dynamic groups to automatically assign users to groups based on their attributes from HR (or your source of truth), such as department, title, region, and other attributes.
Implementowanie aprowizacji aplikacji na podstawie grupyImplement group based application provisioning Inicjowanie obsługi zarządzania dostępem oparte na grupach umożliwia automatyczne Inicjowanie obsługi użytkowników w aplikacjach SaaS.Use group-based access management provisioning to automatically provision users for SaaS applications.
Automatyzowanie aprowizacji użytkowników i cofanie obsługi administracyjnejAutomate user provisioning and deprovisioning Usuń kroki ręcznego z cyklu życia konta pracownika, aby zapobiec nieautoryzowanemu dostępowi.Remove manual steps from your employee account lifecycle to prevent unauthorized access. Zsynchronizuj tożsamości ze źródła prawdziwie (system HR) z usługą Azure AD.Synchronize identities from your source of truth (HR System) to Azure AD.

Następne krokiNext steps

Informacje o licencjonowaniu i cenniku usługi Azure ADAzure AD licensing and pricing details

Konfiguracje i dostęp do urządzeńIdentity and device access configurations

Wspólne zalecane zasady dostępu do tożsamości i urządzeńCommon recommended identity and device access policies