Возможности управления удостоверениями и доступомIdentity and access management capabilities

В этой статье перечислены возможности, которые могут помочь в идентификации.This article lists capabilities that can help with identity.

Облачные службы удостоверенийCloud identity services


ФункцияCapability ОписаниеDescription ПодробнееSee more
Azure Active DirectoryAzure Active Directory Создание единого корпоративного каталога Azure AD для управления удостоверениями сотрудников и корпоративных ресурсов в режиме полного времени.Establish a single Azure AD enterprise directory for managing identities of full-time employees and enterprise resources. Один заслуживающий доверия источник повышает ясность и согласованность всех ролей в ИТ и безопасности, а также снижает риски безопасности от ошибок человека и сбоев автоматизации, вызванных сложностями.A single authoritative source increases clarity and consistency for all roles in IT and Security and reduces security risk from human errors and automation failures resulting from complexity. Документация Azure Active DirectoryAzure Active Directory documentation
Azure AD ConnectAzure AD Connect Синхронизируйте Azure AD с существующим полномочным локальным Active Directory помощью Azure AD Connect.Synchronize Azure AD with your existing authoritative on premises Active Directory using Azure AD connect. Это также необходимо для миграции Office 365, поэтому оно часто выполняется до начала проектов по миграции и разработке Azure.This is also required for an Office 365 migration, so it is often already done before Azure migration and development projects begin. Что собой представляет гибридная идентификация с использованием Azure Active DirectoryWhat is hybrid identity with Azure Active Directory?
Взаимодействие бизнес-бизнес Azure ADAzure AD B2B collaboration Используйте службу совместной работы Azure AD "бизнес — бизнес" (B2B) для размещения учетных записей, отличных от сотрудников, таких как поставщики и партнеры.Use Azure AD business-to-business (B2B) collaboration to host non-employee accounts like vendors and partners. Это снижает риск, предоставляя соответствующий уровень доступа к внешним сущностям вместо полных разрешений по умолчанию, предоставленных сотрудникам с полным временем.This reduces risk by granting the appropriate level of access to external entities instead of the full default permissions given to full-time employees. Такой подход с минимальными правами доступа и четкое различие внешних учетных записей от сотрудников Организации упрощает предотвращение и Обнаружение атак, поступающих из этих векторов.This least privilege approach and clear clearly differentiation of external accounts from company staff makes it easier to prevent and detect attacks coming in from these vectors. Документация Azure Active Directory B2BAzure Active Directory B2B documentation
Azure AD B2CAzure AD B2C Используйте Azure AD B2C для учетных записей потребителей и пользователей.Use Azure AD B2C for consumer and citizen accounts. Azure AD B2C — это служба управления удостоверениями, которая обеспечивает настраиваемый контроль над регистрацией клиентов, входом в систему и управлением их профилями при использовании iOS, Android, .NET, одной страницы (SPA) и других приложений.Azure AD B2C is an identity management service that enables custom control of how your customers sign up, sign in, and manage their profiles when using your iOS, Android, .NET, single-page (SPA), and other applications. Документация Azure Active Directory B2CAzure Active Directory B2C documentation

Возможности безопасности удостоверенийIdentity security capabilities


ФункцияCapability ОписаниеDescription Дополнительные сведенияMore information
многофакторная идентификация Azure (MFA);Azure Multi-Factor Authentication (MFA) MFA обеспечивает дополнительную защиту, запрашивая вторую форму проверки подлинности.MFA provides additional security by requiring a second form of authentication. Принципы работы MFAHow MFA works
Проверка подлинности без пароляPasswordless authentication Azure AD поддерживает несколько методов проверки подлинности с паролем, включая Windows Hello для бизнеса, Microsoft Authenticator приложения и ключи безопасности FIDO2.Azure AD supports several methods of passwordless authentication, including Windows Hello for Business, Microsoft Authenticator app, and FIDO2 security keys. Методы проверки подлинности без пароля удобны, так как пароль удаляется и заменяется чем-то, а также с тем, что вы уже знакомы.Passwordless authentication methods are convenient because the password is removed and replaced with something you have, plus something you are or something you know. Параметры проверки подлинности с паролем для Azure Active DirectoryPasswordless authentication options for Azure Active Directory
Условный доступConditional Access При условном доступе Azure AD оценивает условия входа пользователя и использует политики условного доступа, созданные для разрешения доступа.With Conditional Access, Azure AD evaluates the conditions of the user login and uses conditional access policies you create to allow access. Например, можно создать политику условного доступа, чтобы требовать соответствия устройства для доступа к конфиденциальным данным.For example, you can create a Conditional Access policy to require device compliance for access to sensitive data. Это значительно снижает риск того, что человек с украденным удостоверением может получить доступ к конфиденциальным данным.This greatly reduces the risk that a person with a stolen identity can access your sensitive data. Он также защищает конфиденциальные данные на устройствах, так как устройства должны соответствовать определенным требованиям к работоспособности и безопасности.It also protects sensitive data on the devices, because the devices must meet specific requirements for health and security. Документация по условному доступуConditional Access documentation

Распространенные политики условного доступаCommon Conditional Access policies

Рекомендуемые конфигурации удостоверений и доступа к устройствамRecommended identity and device access configurations
Самостоятельный сброс пароля в Azure AD (SSPR)Azure AD self-service password reset (SSPR) SSPR позволяет пользователям безопасно сбрасывать пароли и без вмешательства в службу поддержки, предоставляя проверку нескольких методов проверки подлинности, которыми может управлять администратор.SSPR allows your users to reset their passwords securely and without helpdesk intervention, by providing verification of multiple authentication methods that the administrator can control. Принцип работы. Самостоятельный сброс пароля в Azure ADHow it works: Azure AD self-service password reset
Защита идентификации Azure Active DirectoryAzure Active Directory Identity Protection Защита идентификации Azure AD позволяет обнаруживать потенциальные уязвимости, влияющие на удостоверения вашей организации, и настраивать политику автоматического исправления на низкий, средний и высокий риск входа и риск для пользователей.Azure AD Identity Protection enables you to detect potential vulnerabilities affecting your organization's identities and configure automated remediation policy to low, medium, and high sign-in risk and user risk. Что такое Защита идентификации Azure Active Directory?What is Azure Active Directory Identity Protection?
Защита паролем Azure AD для Windows Server Active DirectoryAzure AD password protection for Windows Server Active Directory Защита локальных учетных записей Active Directory с помощью защиты паролей Azure AD.Protect on-premises Active Directory accounts with Azure AD password protection. Это выполняет те же проверки в локальной среде, что и Azure AD для облачных изменений.This does the same checks on-premises as Azure AD does for cloud-based changes. Эти проверки выполняются во время изменения пароля и сценариев сброса пароля.These checks are performed during password changes and password reset scenarios. применение защиты паролем Azure AD для Windows Server Active DirectoryEnforce Azure AD password protection for Windows Server Active Directory

Дополнительные возможности безопасности удостоверений для администраторовAdditional identity security capabilities for administrators


ФункцияCapability ОписаниеDescription Дополнительные сведенияMore information
Azure AD Privileged Identity ManagementAzure AD Privileged Identity Management Управление привилегированными пользователями обеспечивает активацию ролей на основе времени и утверждений, чтобы снизить риски, связанные с чрезмерным, ненужным или неправильным использованием разрешений на доступ к ресурсам, которые вас интересуют.Privileged Identity Management provides time-based and approval-based role activation to mitigate the risks of excessive, unnecessary, or misused access permissions on resources that you care about. Что такое Azure AD Privileged Identity Management?What is Azure AD Privileged Identity Management?
управляемые удостоверения.Managed Identities Вы можете сократить использование паролей приложениями с помощью управляемых удостоверений, чтобы предоставить доступ к ресурсам в Azure.You can reduce use of passwords by applications using Managed Identities to grant access to resources in Azure Что такое управляемые удостоверения для ресурсов Azure?What are managed identities for Azure resources?

Дальнейшие действияNext steps

Дополнительные рекомендации по безопасности от корпорации Майкрософт см. в документации по безопасности Майкрософт.For additional security guidance from Microsoft, see Microsoft security documentation.