Översikt över säker identitetshantering i Azure
Identitetshantering är processen att autentisera och auktorisera säkerhetsobjekt. Det omfattar också att kontrollera information om dessa huvudnamn (identiteter). Säkerhetsobjekt (identiteter) kan omfatta tjänster, program, användare, grupper osv. Microsofts lösningar för identitets- och åtkomsthantering hjälper IT-personal att skydda åtkomsten till program och resurser i företagets datacenter och till molnet. Det här skyddet möjliggör ytterligare nivåer av validering, till exempel multifaktorautentisering och principer för villkorsstyrd åtkomst. Övervakning av misstänkt aktivitet via avancerad säkerhetsrapportering, -granskning och -avisering hjälper till att minimera potentiella säkerhetsproblem. Azure Active Directory Premium tillhandahåller enkel inloggning (SSO) till tusentals SaaS-appar (programvara som en tjänst) i molnet och åtkomst till webbappar som du kör lokalt.
Genom att dra nytta av säkerhetsfördelarna med Azure Active Directory (Azure AD) kan du:
- Skapa och hantera en enda identitet för varje användare i hybridföretaget och synkronisera användare, grupper och enheter.
- Ge åtkomst med enkel inloggning till dina program, inklusive tusentals förintegrerade SaaS-appar.
- Skydda programåtkomsten genom att tillämpa regelbaserad multifaktorautentisering får både lokala program och molnprogram.
- Etablera säker fjärråtkomst till lokala webbprogram via Azure AD Programproxy.
Målet med den här artikeln är att ge en översikt över de grundläggande Säkerhetsfunktioner i Azure som hjälper till med identitetshantering. Vi tillhandahåller också länkar till artiklar som ger information om varje funktion så att du kan lära dig mer.
Artikeln fokuserar på följande grundläggande funktioner för Identitetshantering i Azure:
- Enkel inloggning
- Omvänd proxy
- Multi-Factor Authentication
- Azure RBAC (rollbaserad åtkomstkontroll)
- Säkerhetsövervakning, aviseringar och maskininlärningsbaserade rapporter
- Konsumentidentitet och åtkomsthantering
- Enhetsregistrering
- Privileged Identity Management
- Identity Protection
- Hybrididentitetshantering/Azure AD Connect
- Azure AD-åtkomstgranskningar
Enkel inloggning
Enkel inloggning innebär att du kan komma åt alla program och resurser som du behöver för att göra affärer, genom att bara logga in en gång med ett enda användarkonto. När du har loggat in kan du komma åt alla program som du behöver utan att behöva autentisera (till exempel ange ett lösenord) en andra gång.
Många organisationer förlitar sig på SaaS-program som Microsoft 365, Box och Salesforce för användarproduktivitet. Tidigare behövde IT-personalen skapa och uppdatera användarkonton individuellt i varje SaaS-program, och användarna var tvungna att komma ihåg ett lösenord för varje SaaS-program.
Azure AD utökar lokal Active Directory-miljöer till molnet, vilket gör det möjligt för användare att använda sitt primära organisationskonto för att logga in inte bara på sina domän anslutna enheter och företagsresurser, utan även till alla webb- och SaaS-program som de behöver för sitt arbete.
Användarna behöver inte bara hantera flera uppsättningar med användarnamn och lösenord, du kan etablera eller avetablerar programåtkomst automatiskt baserat på deras organisationsgrupper och deras anställningsstatus. Azure AD introducerar styrningskontroller för säkerhet och åtkomst som du kan använda för att centralt hantera användarnas åtkomst i SaaS-program.
Läs mer:
- Översikt över enkel inloggning
- Video om grunderna i autentisering
- Snabbstartsserie om programhantering
Omvänd proxy
Med Azure AD Programproxy kan du publicera lokala program, till exempel SharePoint-webbplatser, Outlook Web Appoch IIS-baseradeappar i ditt privata nätverk och ger säker åtkomst till användare utanför nätverket. Programproxy ger fjärråtkomst och enkel inloggning för många typer av lokala webbprogram med de tusentals SaaS-program som Azure AD stöder. Anställda kan logga in i dina appar hemifrån på sina egna enheter och autentisera via den här molnbaserade proxyn.
Läs mer:
- Aktivera Azure AD-Programproxy
- Publicera program med Azure AD Application Proxy
- Enkel inloggning med programproxy
- Arbeta med villkorlig åtkomst
Multi-Factor Authentication
Azure AD Multi-Factor Authentication är en autentiseringsmetod som kräver mer än en verifieringsmetod och lägger till ett kritiskt andra säkerhetslager för användarloggar och transaktioner. Multifaktorautentisering hjälper till att skydda åtkomsten till data och program samtidigt som användarnas efterfrågan på en enkel inloggningsprocess uppfyllas. Den levererar stark autentisering via en rad verifieringsalternativ: telefonsamtal, SMS eller mobilappmeddelanden eller verifieringskoder och OAuth-token från tredje part.
Läs mer:
- Multifaktorautentisering
- Vad är Azure AD Multi-Factor Authentication?
- Så fungerar Azure AD-multifaktorautentisering
Azure RBAC
Azure RBAC är ett auktoriseringssystem som bygger Azure Resource Manager och som ger dig en snabb åtkomsthantering av resurser i Azure. Med Azure RBAC kan du på ett detaljerad sätt styra vilken åtkomstnivå användarna har. Du kan till exempel begränsa en användare till att bara hantera virtuella nätverk och en annan användare för att hantera alla resurser i en resursgrupp. Azure innehåller flera inbyggda roller som du kan använda. Följande listar fyra grundläggande inbyggda roller. De första tre gäller för alla resurstyper.
- Ägare – Har fullständig åtkomst till alla resurser, inklusive rätten att delegera åtkomst till andra.
- Deltagare – Kan skapa och hantera alla typer av Azure-resurser, men kan inte bevilja åtkomst till andra.
- Läsare – Kan visa befintliga Azure-resurser.
- Administratör för användaråtkomst – Kan hantera användarnas åtkomst till Azure-resurser.
Läs mer:
Säkerhetsövervakning, aviseringar och maskininlärningsbaserade rapporter
Säkerhetsövervakning, aviseringar och maskininlärningsbaserade rapporter som identifierar inkonsekventa åtkomstmönster kan hjälpa dig att skydda din verksamhet. Du kan använda Azure AD-åtkomst- och användningsrapporter för att få insyn i integriteten och säkerheten i din organisations katalog. Med den här informationen kan en katalogadministratör bättre avgöra var möjliga säkerhetsrisker kan finnas så att de kan planera på lämpligt sätt för att minska riskerna.
I Azure Portal in i följande kategorier:
- Avvikelserapporter: Innehåller inloggningshändelser som vi upptäckte var avvikande. Vårt mål är att göra dig medveten om den här aktiviteten och göra det möjligt för dig att avgöra om en händelse är misstänkt.
- Integrerade programrapporter: Ge insikter om hur molnprogram används i din organisation. Azure AD erbjuder integrering med tusentals molnprogram.
- Felrapporter: Ange fel som kan uppstå när du etablerar konton till externa program.
- Användarspecifika rapporter: Visa aktivitetsdata för enhets inloggning för en viss användare.
- Aktivitetsloggar: Innehåller en post med alla granskade händelser under de senaste 24 timmarna, senaste 7 dagarna eller de senaste 30 dagarna, samt gruppaktivitetsändringar samt lösenordsåterställning och registreringsaktivitet.
Läs mer:
- Visa åtkomst- och användningsrapporterna
- Kom igång med Azure Active Directory rapportering
- Azure Active Directory för rapportering
Konsumentidentitet och åtkomsthantering
Azure AD B2C är en hög tillgänglig, global identitetshanteringstjänst för konsumentriktade program som kan skalas till hundratals miljoner identiteter. Den kan integreras över mobila plattformar och webbaserade plattformar. Dina användare kan logga in på alla dina program via anpassningsbara upplevelser genom att använda sina befintliga sociala konton eller genom att skapa nya autentiseringsuppgifter.
Tidigare hade programutvecklare som ville registrera kunder och logga in dem i sina program skrivit sin egen kod. Och de använde lokala databaser eller system för att lagra användarnamn och lösenord. Azure AD B2C erbjuder din organisation ett bättre sätt att integrera konsumentidentitetshantering i program med hjälp av en säker, standardbaserad plattform och en stor uppsättning utökningsbara principer.
När du använder Azure AD B2C kan dina användare registrera sig för dina program med sina befintliga sociala konton (Facebook, Google, Amazon, LinkedIn) eller genom att skapa nya autentiseringsuppgifter (e-postadress och lösenord, eller användarnamn och lösenord).
Läs mer:
- Vad är Azure Active Directory B2C?
- Azure Active Directory B2C Preview: Registrera och logga in användare i dina program
- Azure Active Directory B2C Preview: Typer av program
Enhetsregistrering
Azure AD-enhetsregistrering är grunden för scenarier med enhetsbaserad villkorlig åtkomst. När en enhet registreras ger Azure AD-enhetsregistrering enheten en identitet som den använder för att autentisera enheten när en användare loggar in. Den autentiserade enheten och attributen för enheten kan sedan användas för att tillämpa principer för villkorsstyrd åtkomst för program som finns i molnet och lokalt.
När de kombineras med en lösning för hantering av mobila enheter, till exempel Intune, uppdateras enhetsattributen i Azure AD med ytterligare information om enheten. Du kan sedan skapa regler för villkorlig åtkomst som framtvingar åtkomst från enheter för att uppfylla dina säkerhetsstandarder och efterlevnadskrav.
Läs mer:
- Kom igång med enhetsregistrering i Azure AD
- Automatisk enhetsregistrering med Azure AD för Windows domän-anslutna enheter
- Konfigurera automatisk registrering av Windows domän anslutna enheter med Azure AD
Privileged Identity Management
Med Azure AD Privileged Identity Management kan du hantera, kontrollera och övervaka dina privilegierade identiteter och åtkomst till resurser i Azure AD samt andra Microsoft onlinetjänster, till exempel Microsoft 365 och Microsoft Intune.
Användare behöver ibland utföra privilegierade åtgärder i Azure eller Microsoft 365 eller i andra SaaS-appar. Det här behovet innebär ofta att organisationer måste ge användare permanent privilegierad åtkomst i Azure AD. Sådan åtkomst är en växande säkerhetsrisk för molnbaserade resurser, eftersom organisationer inte kan övervaka vad användarna gör med sina administratörsbehörigheter. Om ett användarkonto med privilegierad åtkomst komprometteras kan dessutom ett intrång påverka organisationens övergripande molnsäkerhet. Azure AD Privileged Identity Management hjälper till att minska den här risken.
Med Azure AD Privileged Identity Management kan du:
- Se vilka användare som är Azure AD-administratörer.
- Aktivera administrativ just-in-time-åtkomst (JIT) på begäran till Microsoft-tjänster till exempel Microsoft 365 och Intune.
- Få rapporter om administratörsåtkomsthistorik och ändringar i administratörstilldelningar.
- Få aviseringar om åtkomst till en privilegierad roll.
Läs mer:
Identity Protection
Azure AD Identity Protection är en säkerhetstjänst som ger en samlad vy över riskidentifiering och potentiella sårbarheter som påverkar organisationens identiteter. Identity Protection utnyttjar befintliga funktioner för avvikelseidentifiering i Azure AD, som är tillgängliga via rapporter om avvikande aktiviteter i Azure AD. Identity Protection introducerar också nya typer av riskidentifiering som kan identifiera avvikelser i realtid.
Läs mer:
Hybrididentitetshantering/Azure AD Connect
Microsofts identitetslösningar omfattar både lokala och molnbaserade funktioner, skapar en enda användaridentitet för autentisering och auktorisering till alla resurser, oavsett plats. Vi kallar det för hybrididentitet. Azure AD Connect är Microsoft-verktyget som har utformats för att uppfylla och uppnå dina hybrididentitetsmål. På så sätt kan du erbjuda en gemensam identitet för dina användare för Microsoft 365, Azure och SaaS-program som är integrerade med Azure AD. Den tillhandahåller följande funktioner:
- Synkronisering
- AD FS och federationsintegrering
- Direktautentisering
- Hälsoövervakning
Läs mer:
Azure AD-åtkomstgranskningar
Med åtkomstgranskningar i Azure Active Directory (Azure AD) kan organisationer effektivt hantera gruppmedlemskap, åtkomst till företagsprogram och priviligierade rolltilldelningar.
Läs mer: