Autentisering med Azure AD

Hanterade identiteter gör det möjligt för Azure-tjänster att autentisera till varandra utan att visa upp explicita autentiseringsuppgifter via kod och öka säkerheten.

Hanterade identiteter för Azure-resurser är en funktion i Azure Active Directory. Alla Azure-tjänster som stöder hanterade identiteter för Azure-resurser har sin egen tidslinje. Var noga med att kontrollera tillgänglighetsstatus för hanterade identiteter för din resurs och kända problem innan du börjar. Funktionen förser Azure-tjänster med en automatiskt hanterad identitet i Azure AD. Du kan använda identiteten för att autentisera mot alla tjänster som stöder Azure AD-autentisering, inklusive Key Vault, utan att du behöver lägga in några autentiseringsuppgifter i din kod. Funktionen hanterade identiteter för Azure-resurser är kostnadsfri med Azure AD för Azure-prenumerationer. Det kostar inget extra.

Det finns två typer av hanterade identiteter:

• En systemtilldelad hanterad identitet aktiveras direkt på en instans av Azure-tjänsten. När identiteten har aktiverats skapar Azure en identitet för instansen i den Azure AD-klientorganisation som är betrodd av prenumerationen för instansen. När identiteten har skapats etableras autentiseringsuppgifterna till instansen. Livscykeln för en system tilldelad identitet är direkt kopplad till den Azure-tjänstinstans som den är aktiverad på. Om instansen tas bort rensar Azure automatiskt autentiseringsuppgifterna och identiteten i Azure AD.
• En användartilldelad hanterad identitet skapas som en fristående Azure-resurs. När den skapas skapar Azure en identitet i den Azure AD-klientorganisation som är betrodd av den prenumeration som används. När identiteten har skapats kan den tilldelas till en eller flera tjänstinstanser i Azure. Livscykeln för en användar tilldelad identitet hanteras separat från livscykeln för de Azure-tjänstinstanser som den är tilldelad till.

Autentisera med identitetstjänster i stället för kryptografiska nycklar. I Azure eliminerar hanterade identiteter behovet av att lagra autentiseringsuppgifter som kan läckas oavsiktligt. När hanterad identitet har aktiverats för en Azure-resurs tilldelas den en identitet som du kan använda för att hämta Azure AD-token. Mer information finns i Azure AD-hanterade identiteter för Azure-resurser.

Till exempel måste ett Azure Kubernetes Service (AKS)-kluster hämta avbildningar från Azure Container Registry (ACR). Klustret måste känna till ACR-autentiseringsuppgifterna för att få åtkomst till avbildningen. Det rekommenderade sättet är att aktivera hanterade identiteter under klusterkonfigurationen. Den konfigurationen tilldelar en identitet till klustret och gör att den kan hämta Azure AD-token.

Den här metoden är säker eftersom Azure hanterar hanteringen av de underliggande autentiseringsuppgifterna åt dig.

• Identiteten är kopplad till resursens livscykel i AKS-klusterexempel. När resursen tas bort tar Azure automatiskt bort identiteten.
• Azure AD hanterar den tidsenliga rotationen av hemligheter åt dig.

Föreslagna åtgärder

• Granska arbetsbelastningsautentisering och identifiera möjligheter att konvertera explicita autentiseringsuppgifter (till exempel anslutningssträng och API-nyckel) för att använda hanterade identiteter.
• För alla nya Azure-arbetsbelastningar standardiserar du användningen av hanterade identiteter där det är tillämpligt.

Läs mer

Vad är hanterade identiteter för Azure-resurser?

Vilken typ av autentisering krävs av program-API:er?

Anta inte att API-URL:er som används av en arbetsbelastning är dolda och inte kan exponeras för angripare. Du kan till exempel visa JavaScript-kod på en webbplats. Ett mobilprogram kan dekompileras och inspekteras. Även för interna API:er som endast används på server delen, kan ett krav på autentisering öka svårigheten för lateral förflyttning om en angripare får nätverksåtkomst. Vanliga mekanismer är API-nycklar, auktoriseringstoken, IP-begränsningar.

Hanterad identitet kan hjälpa ett API att bli säkrare eftersom det ersätter användningen av tjänsthuvudnamn som hanteras av människor och kan begära auktoriseringstoken.

Hur hanteras användarautentisering i programmet?

Använd inte anpassade implementeringar för att hantera autentiseringsuppgifter för användare. Använd i stället Azure AD eller andra leverantörer av hanterade identiteter, till exempel Microsoft-konto Azure B2C. Hanterade identitetsproviders tillhandahåller ytterligare säkerhetsfunktioner som moderna lösenordsskydd, multifaktorautentisering (MFA) och återställningar. I allmänhet är lösenordsfritt skydd att föredra. Dessutom använder moderna protokoll som OAuth 2.0 tokenbaserad autentisering med begränsat tidsspann.

Cachelagras autentiseringstoken på ett säkert sätt och krypteras vid delning mellan webbservrar?

Programkoden bör först försöka hämta OAuth-åtkomsttoken tyst från en cache innan du försöker hämta en token från identitetsprovidern för att optimera prestanda och maximera tillgängligheten. Token ska lagras på ett säkert sätt och hanteras som andra autentiseringsuppgifter. När det finns ett behov av att dela token mellan programservrar (i stället för att varje server hämtar och cachelagrar sin egen) ska kryptering användas.

Mer information finns i Hämta och cachelagra token.

Välja ett system med stöd för flera plattformar

Använd en enda identitetsprovider för autentisering på alla plattformar (operativsystem, molnleverantörer och tjänster från tredje part.

Azure AD kan användas för att autentisera Windows, Linux, Azure, Office 365, andra molnleverantörer och tjänster från tredje part som tjänstleverantörer.

Du kan till exempel förbättra säkerheten för virtuella Linux-datorer (VM) i Azure med Azure AD-integrering. Mer information finns i Logga in på en virtuell Linux-dator i Azure med hjälp Azure Active Directory autentisering.

Centralisera alla identitetssystem

Håll din molnidentitet synkroniserad med befintliga identitetssystem för att säkerställa konsekvens och minska mänskliga fel.

Konsekvens för identiteter i molnet och lokalt minskar mänskliga fel och resulterande säkerhetsrisker. Teams att hantera resurser i båda miljöerna behöver en konsekvent auktoritativ källa för att uppnå säkerhetssäkerhet. För övervakning förbättras säkerhetseffektiviteten om identiteten kan fastställas utan en mellanliggande mappningsprocess.

Synkronisering handlar om att ge användarna en identitet i molnet baserat på deras lokala identitet. Oavsett om de ska använda synkroniserat konto för autentisering eller federerad autentisering måste användarna fortfarande ha en identitet i molnet. Den här identiteten måste underhållas och uppdateras regelbundet. Uppdateringarna kan ha många former, från rubrikändringar till lösenordsändringar.

Börja med att utvärdera organisationens lokala identitetslösning och användarkrav. Den här utvärderingen är viktig eftersom den definierar de tekniska kraven för hur användaridentiteter ska skapas och underhållas i molnet. För de flesta organisationer upprättas Active Directory lokalt och är den lokala katalog som användarna kommer att synkroniseras från, men detta är inte alltid fallet.

Överväg att använda Azure AD Anslut för att synkronisera Azure AD med din befintliga lokala katalog. För migreringsprojekt måste du slutföra den här uppgiften innan ett Azure-migrerings- och utvecklingsprojekt påbörjas.

Mer information finns i hybrididentitetsproviders.

Läs mer

Synkronisera hybrididentitetssystem

Använda lösenordsfri autentisering

Angripare söker ständigt igenom IP-intervall för offentliga moln efter öppna hanteringsportar. De försöker utnyttja svaga autentiseringsuppgifter(lösenordskryphål)och okorrigerade sårbarheter i hanteringsprotokoll som SSH och RDP. Om du förhindrar direkt Internetåtkomst till virtuella datorer blir en felaktig konfiguration eller tillsyn mer allvarlig.

Attackmetoder har utvecklats till den punkt där enbart lösenord inte kan skydda ett konto på ett tillförlitligt sätt. Moderna autentiseringslösningar, inklusive lösenordsfri och multifaktorautentisering, ökar säkerheten genom stark autentisering.

Ta bort användningen av lösenord när det är möjligt. Kräv också samma uppsättning autentiseringsuppgifter för att logga in och få åtkomst till resurserna lokalt eller i molnet. Det här kravet är viktigt för konton som kräver lösenord, till exempel administratörskonton.

Med moderna autentiserings- och säkerhetsfunktioner i Azure AD bör det grundläggande lösenordet ersättas med säkrare autentiseringsmetoder. Varje organisation har olika behov när det gäller autentisering. Microsoft erbjuder följande tre lösenordslösa autentiseringsalternativ som integreras med Azure Active Directory (Azure AD):

• Windows Hello för företag
• Microsoft Authenticator-appen
• FIDO2-säkerhetsnycklar

Vi rekommenderar att du följer en plan i fyra steg för att bli lösenordsfri:

• Utveckla ett erbjudande för lösenordsersättning
• Minska användar synligt lösenordsyta
• Övergå till distribution utan lösenord
• Ta bort lösenord från identitetskatalogen

Följande autentiseringsmetoder sorteras efter högsta kostnad/svårighetsgrad att angripa (starkaste/föredragna alternativ) till lägsta kostnad/svårt att angripa:

• Lösenordsfri autentisering. Några exempel på den här metoden är Windows Hello eller Authenticator App.
• MFA. Även om den här metoden är effektivare än lösenord rekommenderar vi att du inte förlitar dig på SMS-baserad MFA. Mer information finns i Enable per-user Azure Active Directory MFA to secure sign-in events.
• Hanterade identiteter. Se Använda identitetsbaserad autentisering.

Dessa metoder gäller för alla användare, men bör tillämpas först och starkast på konton med administratörsbehörighet.

En implementering av den här strategin är att aktivera enkel inloggning (SSO) till enheter, appar och tjänster. Genom att logga in en gång med ett enda användarkonto kan du bevilja åtkomst till alla program och resurser efter affärsbehov. Användarna behöver inte hantera flera uppsättningar med användarnamn och lösenord. Du kan etablera eller avetablera programåtkomst automatiskt. Mer information finns i Enkel inloggning.

Föreslagna åtgärder

• Utveckla en lösenordslös strategi som kräver MFA för alla användare utan att påverka åtgärderna avsevärt.
• Se till att policyer och processer kräver begränsning och övervakning av direkt Internetanslutning för virtuella datorer.

Läs mer

• Lösenordsfri strategi
• Ta bort direkt internetanslutning för virtuell dator (VM)

Använda modernt lösenordsskydd

Kräv modernt skydd med metoder som minskar användningen av lösenord. Moderna autentiseringsprotokoll stöder starka kontroller som MFA och bör användas i stället för äldre autentiseringsmetoder. Användning av äldre metoder ökar risken för exponering av autentiseringsuppgifter.

Modern autentisering är en metod för identitetshantering som erbjuder säkrare användarautentisering och auktorisering. Den är tillgänglig för Office 365 hybriddistributioner av Skype för företag lokala och lokala Exchange-servrar och för hybrider med delade domäner Skype för företag.

Modern autentisering är en övergripande term för en kombination av autentiserings- och auktoriseringsmetoder mellan en klient (till exempel din bärbara dator eller telefon) och en server, samt vissa säkerhetsåtgärder som förlitar sig på åtkomstprinciper som du kanske redan är bekant med. Den innehåller:

• Autentiseringsmetoder:MFA; smartkortsautentisering; klientcertifikatbaserad autentisering
• Auktoriseringsmetoder:Microsofts implementering av Open Authorization (OAuth)
• Principer för villkorligåtkomst: Hantering av mobilprogram (MAM) och villkorlig Azure Active Directory (Azure AD)

Granska arbetsbelastningar som inte utnyttjar moderna autentiseringsprotokoll och konvertera där det är möjligt. Standardisera dessutom användningen av moderna autentiseringsprotokoll för alla framtida arbetsbelastningar.

För Azure aktiverar du skydd i Azure AD:

1. Konfigurera Azure AD Anslut synkronisera lösenordshashar. Mer information finns i Implementera synkronisering av lösenordshashar med Azure AD Anslut sync.

2. Välj om du vill åtgärda problem som hittas i en rapport automatiskt eller manuellt. Mer information finns i Övervaka identitetsrisker.

Mer information om hur du stöder moderna lösenord i Azure AD finns i följande artiklar:

• Vad är Identity Protection?
• Framtvinga lokalt Azure AD-lösenordsskydd för Active Directory Domain Services
• Säkerhetsrapport för användare i riskzonen
• Säkerhetsrapport för riskfyllda inloggningar

Mer information om hur du stöder moderna lösenord i Office 365 finns i följande artikel:

Vad är modern autentisering?

Aktivera villkorlig åtkomst

Moderna molnbaserade program är vanligtvis tillgängliga via Internet, vilket gör nätverksplatsbaserad åtkomst oflexibel och enkelfaktorlösenord till ansvar. Villkorsstyrd åtkomst beskriver din autentiseringsprincip för ett åtkomstbeslut. Om en användare till exempel ansluter från en InTune-hanterad företagsdator kanske de inte behöver använda MFA varje gång, men om användaren plötsligt ansluter från en annan enhet i ett annat geografiskt område krävs MFA.

Bevilja åtkomstbegäranden baserat på begärarnas förtroendenivå och målresursernas känslighet.

Finns det några villkorliga åtkomstkrav för programmet?

Arbetsbelastningar kan exponeras via offentligt Internet och platsbaserade nätverkskontroller är inte tillämpliga. Om du vill aktivera villkorlig åtkomst måste du förstå vilka begränsningar som krävs för användningsfallet. MFA är till exempel en nödvändig förutsättning för fjärråtkomst. IP-baserad filtrering kan användas för att aktivera adhoc-felsökning (VPN föredras).

Konfigurera villkorsstyrd åtkomst i Azure AD genom att konfigurera åtkomstprincip för Azure-hantering baserat på dina driftsbehov. Mer information finns i Hantera åtkomst till Azure-hantering med villkorlig åtkomst.

Villkorlig åtkomst kan vara ett effektivt sätt att fasa ut äldre autentisering och associerade protokoll. Principerna måste tillämpas för alla administratörer och andra konton med kritisk påverkan. Börja med att använda mått och loggar för att fastställa användare som fortfarande autentiserar med gamla klienter. Inaktivera sedan alla äldre protokoll som inte används och konfigurera villkorlig åtkomst för alla användare som inte använder äldre protokoll. Slutligen kan du ge meddelanden och vägledning till användarna om uppgradering innan du blockerar äldre autentisering helt. Mer information finns i Stöd för villkorsstyrd åtkomst i Azure AD för blockering av äldre autentisering.

Föreslagna åtgärder

Implementera principer för villkorlig åtkomst för den här arbetsbelastningen.

Läs mer om villkorsstyrd åtkomst i Azure AD.

Nästa

Bevilja eller neka åtkomst till ett system genom att verifiera åtkomstgivarens identitet.

Relaterade länkar

Tillbaka till huvudartikeln: Överväganden för identitets- och åtkomsthantering i Azure

Autentisering är en process som beviljar eller nekar åtkomst till ett system genom att verifiera åtkomstgivarens identitet. Använd en hanterad identitetstjänst för alla resurser för att förenkla den övergripande hanteringen (till exempel lösenordsprinciper) och minimera risken för tillsyn eller mänskliga fel. Azure Active Directory (Azure AD) är en enda tjänst för identitets- och åtkomsthantering för Azure.

Huvudpunkter

• Använda hanterade identiteter för att få åtkomst till resurser i Azure.
• Håll molnkatalogerna och lokala kataloger synkroniserade, förutom konton med hög behörighet.
• Använd helst lösenordslösa metoder eller välj moderna lösenordsmetoder.
• Aktivera villkorsstyrd åtkomst i Azure AD baserat på viktiga säkerhetsattribut vid autentisering av alla användare, särskilt för konton med hög behörighet.

Använda identitetsbaserad autentisering

Hur autentiseras programmet vid kommunikation med Azure-plattformstjänster?