Distributionsguide för Azure Active Directory-funktion
Det kan verka svårt att distribuera Azure Active Directory (Azure AD) för din organisation och skydda den. Den här artikeln beskriver vanliga uppgifter som kunder kan ha nytta av att slutföra i faser under 30, 60, 90 dagar eller mer för att förbättra sin säkerhetsstatus. Även organisationer som redan har distribuerat Azure AD kan använda den här guiden för att säkerställa att de får ut mesta av sina investeringar.
En välplanerad och körd identitetsinfrastruktur ger en säker åtkomst till dina produktivitetsarbetsbelastningar och data endast av kända användare och enheter.
Dessutom kan kunder kontrollera sina identitets-säkerhetspoäng för att se hur anpassade de är till Microsofts bästa praxis. Kontrollera dina säkerhetspoäng före och efter implementeringen av dessa rekommendationer för att se hur bra det går jämfört med andra i din bransch och med andra organisationer av din storlek.
Förutsättningar
Många av rekommendationerna i den här guiden kan implementeras med Azure AD Free eller ingen licens alls. Där licenser krävs uppger vi vilken licens som krävs som minst för att utföra uppgiften.
Mer information om licensiering finns på följande sidor:
- Azure AD-licensiering
- Microsoft 365 Företag
- Enterprise Mobility + Security
- Azure AD External Identities prissättning
Fas 1: Skapa en grund för säkerhet
I den här fasen aktiverar administratörer baslinjesäkerhetsfunktioner för att skapa en säkrare och mer lättanvänd grund i Azure AD innan vi importerar eller skapar vanliga användarkonton. Den här grundläggande fasen säkerställer att du är i ett säkrare tillstånd redan från början och att slutanvändarna bara behöver introduceras för nya begrepp en gång.
| Uppgift | Detalj | Nödvändig licens |
|---|---|---|
| Ange mer än en global administratör | Tilldela minst två permanenta globala administratörskonton i molnet för användning om det finns ett nödfall. Dessa konton används inte dagligen och bör ha långa och komplexa lösenord. | Azure AD Kostnadsfri |
| Använd icke-globala administrativa roller där det är möjligt | Ge dina administratörer endast den åtkomst de behöver till de områden som de behöver åtkomst till. Alla administratörer behöver inte vara globala administratörer. | Azure AD Kostnadsfri |
| Aktivera Privileged Identity Management för att spåra användning av administratörsroller | Aktivera Privileged Identity Management att börja spåra användningen av administrativa roller. | Azure AD Premium P2 |
| Lansera självåterställning av lösenord | Minska supportsamtalen om lösenordsåterställning genom att låta personalen återställa sina egna lösenord med hjälp av principer som du som administratörskontroll. | |
| Skapa en organisationsspecifik lista med anpassade förbjudna lösenord | Hindra användare från att skapa lösenord som innehåller vanliga ord eller fraser från din organisation eller ditt område. | |
| Aktivera lokal integrering med Azure AD-lösenordsskydd | Utöka listan med förbjudna lösenord till din lokala katalog för att säkerställa att lösenord som anges lokalt också är i enlighet med de globala och klientspecifika listor över förbjudna lösenord. | Azure AD Premium P1 |
| Aktivera Microsofts lösenordsvägledning | Sluta kräva att användarna ändrar sina lösenord enligt ett fast schema, inaktiverar komplexitetskrav och användarna är mer bra på att komma ihåg sina lösenord och behålla något som är säkert. | Azure AD Kostnadsfri |
| Inaktivera periodiska lösenordsåterställningar för molnbaserade användarkonton | Periodiska lösenordsåterställningar uppmuntrar användarna att öka sina befintliga lösenord. Använd riktlinjerna i Microsofts dokument om lösenordsvägledning och spegla din lokala princip för endast molnbaserade användare. | Azure AD Kostnadsfri |
| Anpassa Azure Active Directory smart utlåsning | Stoppa utelåsning från molnbaserade användare från att replikeras till lokal Active Directory användare | |
| Aktivera smart utlåsning för extranät för AD FS | AD FS extranätslåsning skyddar mot råstyrkattacker där lösenord gissas, samtidigt som giltiga användare AD FS fortsätta att använda sina konton. | |
| Blockera äldre autentisering till Azure AD med villkorsstyrd åtkomst | Blockera äldre autentiseringsprotokoll som POP, SMTP, IMAP och MAPI som inte kan tillämpa multifaktorautentisering, vilket gör dem till en önskad startpunkt för angripare. | Azure AD Premium P1 |
| Distribuera Azure AD Multi-Factor Authentication med principer för villkorsstyrd åtkomst | Kräv att användarna utför tvåstegsverifiering vid åtkomst till känsliga program med hjälp av principer för villkorsstyrd åtkomst. | Azure AD Premium P1 |
| Aktivera Azure Active Directory Identity Protection | Aktivera spårning av riskfyllda inloggningar och komprometterade autentiseringsuppgifter för användare i din organisation. | Azure AD Premium P2 |
| Använda riskidentifiering för att utlösa multifaktorautentisering och lösenordsändringar | Aktivera automatisering som kan utlösa händelser som multifaktorautentisering, lösenordsåterställning och blockering av inloggningar baserat på risk. | Azure AD Premium P2 |
| Aktivera kombinerad registrering för lösenordsåterställning via självbetjäning och Azure AD Multi-Factor Authentication | Tillåt dina användare att registrera sig från en gemensam upplevelse för både Azure AD Multi-Factor Authentication och lösenordsåterställning via självbetjäning. | Azure AD Premium P1 |
Fas 2: Importera användare, aktivera synkronisering och hantera enheter
Sedan lägger vi till grunden i fas 1 genom att importera våra användare och aktivera synkronisering, planera för gäståtkomst och förbereda för att stödja ytterligare funktioner.
| Uppgift | Detalj | Nödvändig licens |
|---|---|---|
| Installera Azure AD Connect | Förbered för att synkronisera användare från din befintliga lokala katalog till molnet. | Azure AD Kostnadsfri |
| Implementera synkronisering av lösenordshashar | Synkronisera lösenordshashar för att tillåta att lösenordsändringar replikeras, felaktig lösenordsidentifiering och reparation samt rapportering av läckta autentiseringsuppgifter. | Azure AD Kostnadsfri |
| Implementera tillbakaskrivning av lösenord | Tillåt att lösenordsändringar i molnet skrivs tillbaka till en lokal Windows Server Active Directory miljö. | Azure AD Premium P1 |
| Implementera Azure AD Anslut Health | Aktivera övervakning av viktig hälsostatistik för dina Azure AD Anslut servrar, AD FS-servrar och domänkontrollanter. | Azure AD Premium P1 |
| Tilldela licenser till användare efter gruppmedlemskap i Azure Active Directory | Spara tid och arbete genom att skapa licensieringsgrupper som aktiverar eller inaktiverar funktioner efter grupp i stället för att ange per användare. | |
| Skapa en plan för gästanvändaråtkomst | Samarbeta med gästanvändare genom att låta dem logga in på dina appar och tjänster med egna arbets-, skol- eller sociala identiteter. | Azure AD External Identities prissättning |
| Välja strategi för enhetshantering | Bestäm vad din organisation tillåter för enheter. Registrering jämfört med anslutning, Bring Your Own Device jämfört med företag. | |
| Distribuera Windows Hello for Business i din organisation | Förbereda för lösenordsfri autentisering med hjälp av Windows Hello | |
| Distribuera lösenordslösa autentiseringsmetoder för dina användare | Ge användarna praktiska lösenordslösa autentiseringsmetoder | Azure AD Premium P1 |
Fas 3: Hantera program
När vi fortsätter att bygga vidare på de föregående faserna identifierar vi kandidatprogram för migrering och integrering med Azure AD och slutför konfigurationen av dessa program.
| Uppgift | Detalj | Nödvändig licens |
|---|---|---|
| Identifiera dina program | Identifiera program som används i din organisation: lokala, SaaS-program i molnet och andra verksamhetsapplikationer. Ta reda på om dessa program kan och ska hanteras med Azure AD. | Ingen licens krävs |
| Integrera SaaS-program som stöds i galleriet | Azure AD har ett galleri som innehåller tusentals förintegrerade program. Några av de program som din organisation använder finns förmodligen i galleriet som är tillgängliga direkt från Azure Portal. | Azure AD Kostnadsfri |
| Använda Programproxy för att integrera lokala program | Programproxy ger användare åtkomst till lokala program genom att logga in med sitt Azure AD-konto. |
Fas 4: Granska privilegierade identiteter, slutför en åtkomstgranskning och hantera användarlivscykeln
Fas 4 ser administratörer som framtvingar principer för minsta behörighet för administration, slutför sina första åtkomstgranskningar och möjliggör automatisering av vanliga uppgifter under användarlivscykeln.
| Uppgift | Detalj | Nödvändig licens |
|---|---|---|
| Framtvinga användning av Privileged Identity Management | Ta bort administrativa roller från vanliga dagliga användarkonton. Gör administrativa användare berättigade att använda sin roll efter att ha lyckats med en kontroll av multifaktorautentisering, ange en affärsberättigande eller begära godkännande från utsedda godkännare. | Azure AD Premium P2 |
| Slutför en åtkomstgranskning för Azure AD-katalogroller i PIM | Arbeta med dina säkerhets- och ledningsteam för att skapa en princip för åtkomstgranskning för att granska administrativ åtkomst baserat på organisationens principer. | Azure AD Premium P2 |
| Implementera principer för dynamiskt gruppmedlemskap | Använd dynamiska grupper för att automatiskt tilldela användare till grupper baserat på deras attribut från HR (eller din sanningskälla), till exempel avdelning, titel, region och andra attribut. | |
| Implementera gruppbaserad programetablering | Använd etablering av gruppbaserad åtkomsthantering för att automatiskt etablera användare för SaaS-program. | |
| Automatisera användareablering och avetablering | Ta bort manuella steg från din medarbetares kontolivscykel för att förhindra obehörig åtkomst. Synkronisera identiteter från din sanningskälla (HR System) till Azure AD. |
Nästa steg
Licensierings- och prisinformation för Azure AD
Konfigurationer för identitets- och enhetsåtkomst
Vanliga rekommenderade principer för identitets- och enhetsåtkomst