Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Идентификатор Microsoft Entra — это комплексное решение как услуга (IDaaS), используемое миллионами организаций, охватывающих все аспекты идентификации, управления доступом и безопасности. Идентификатор Microsoft Entra содержит более миллиарда удостоверений пользователей и помогает пользователям входить и безопасно получать доступ к обоим:
- Внешние ресурсы, такие как Microsoft 365, Центр администрирования Microsoft Entra и тысячи других приложений Software-as-Service (SaaS).
- внутренним ресурсам, таким как приложения в корпоративной сети и интрасети, а также в любых облачных приложениях, разработанных той или иной организацией.
Организации могут использовать учетную запись Microsoft Entra, если они являются чисто облачными или в гибридной среде, если у них есть локальные ресурсы. Гибридное развертывание Идентификатора Microsoft Entra может быть частью стратегии миграции ИТ-ресурсов организации в облако или продолжение интеграции существующей локальной инфраструктуры вместе с новыми облачными службами.
Исторически "гибридные" организации видели идентификатор Microsoft Entra в качестве расширения существующей локальной инфраструктуры. В этих развертываниях локальное администрирование управления удостоверениями, Windows Server Active Directory или другие внутренние системы каталогов являются точками управления, а пользователи и группы синхронизируются из этих систем в облачный каталог, такой как Microsoft Entra ID. После того как идентификаторы перенесены в облако, они могут быть доступны для Microsoft 365, Azure и других приложений.
Поскольку организации перемещают большую часть своей ИТ-инфраструктуры вместе с приложениями в облако, многие ищут улучшенной безопасности и упрощенного управления посредством управления идентификацией как услуги. Облачные функции IDaaS в идентификаторе Microsoft Entra ID ускоряют переход к облачному управлению, предоставляя решения и возможности, которые позволяют организациям быстро внедрять и перемещать больше управления удостоверениями из традиционных локальных систем в идентификатор Microsoft Entra ID, продолжая поддерживать существующие, а также новые приложения.
В этом документе описывается стратегия Майкрософт по гибридной IDaaS и описывается, как организации могут использовать идентификатор Microsoft Entra для существующих приложений.
Подход Microsoft Entra ID к управлению облачными удостоверениями
Когда организации переходят в облако, им нужны гарантии того, что они контролируют свою среду полностью — с большей безопасностью и более наглядным представлением действий, с поддержкой автоматизации и упреждающим анализом. Облачное управление описывает, как организации управляют пользователями, приложениями, группами и устройствами из облака.
В современном мире организациям необходимо эффективно управлять на большом масштабе, поскольку увеличивается распространение приложений SaaS, а также возрастает роль совместной работы и внешних идентификаторов. Новый ландшафт рисков в облаке предполагает, что организация должна реагировать быстрее: вредоносный субъект, который нарушает работу облачного пользователя, может повлиять на облачные и локальные приложения.
В частности, гибридные организации должны иметь возможность делегировать и автоматизировать задачи, которые исторически ИТ-службы выполняли вручную. Чтобы автоматизировать задачи, им нужны интерфейсы API и процессы, управляющие жизненным циклом различных ресурсов, связанных с удостоверениями (пользователей, групп, приложений, устройств), так они смогут делегировать повседневное управление этими ресурсами большему числу пользователей за пределами основного ИТ-отдела. Идентификатор Microsoft Entra определяет эти требования с помощью управления учетными записями пользователей и собственной проверки подлинности для пользователей, не требуя локальной инфраструктуры удостоверений. Возможность не создавать локальную инфраструктуру, может быть выгодна организациям, имеющим новые сообщества пользователей, например бизнес-партнеров, которые не создавались в локальном каталоге, но управление чьим доступом крайне важно для достижения бизнес-результатов.
Кроме того, управление не является полноценным без контроля, а контроль в новом мире — это интегрированная часть системы идентификации, а не надстройка. Identity governance gives organizations the ability to manage the identity and access lifecycle across employees, business partners and vendors, and services and applications.
Использование системы управления удостоверениями позволяет упростить переход организации на облачное управление, дает ИТ-службам возможность масштабирования, решает новые проблемы с гостями и предоставляет более детальные сведения и автоматизацию в сравнении с локальной инфраструктурой. Контроль в новом мире означает способность организации обладать прозрачностью, видимостью и надлежащими элементами управления доступом к ресурсам в организации. С идентификатором Microsoft Entra, операции безопасности и группы аудита имеют представление о том, кто имеет --- и кто должен иметь доступ к каким ресурсам в организации (на каких устройствах), какие пользователи делают с этим доступом, а также используют ли организации соответствующие элементы управления для удаления или ограничения доступа в соответствии с корпоративными или нормативными политиками.
Новая модель управления дает преимущества организациям-пользователям SaaS и бизнес-приложения (LOB), так как они упрощают управление доступом к этим приложениям и обеспечение их безопасности. Интегрируя приложения с идентификатором Microsoft Entra, организации смогут использовать и управлять доступом как в облаке, так и в локальной среде. Управление жизненным циклом приложений становится более автоматизированным, и идентификатор Microsoft Entra предоставляет подробные сведения об использовании приложений, которые не были легко достижимы в локальном управлении удостоверениями. Используя идентификатор Microsoft Entra, группы Microsoft 365 и функции самообслуживания Teams, организации могут легко создавать группы для управления доступом и совместной работы и добавлять или удалять пользователей в облаке, чтобы обеспечить соответствие требованиям к совместной работе и управлению доступом.
Выбор правильных возможностей Microsoft Entra для управления облачными правилами зависит от используемых приложений и того, как эти приложения будут интегрированы с идентификатором Microsoft Entra. В следующих разделах описаны подходы к работе с приложениями, интегрированными с AD, а также с приложениями, использующими протоколы Федерации (например, SAML, OAuth или OpenID Connect).
Облачное управление для приложений, интегрированных с AD
Идентификатор Microsoft Entra улучшает управление интегрированными с локальной службой Active Directory приложениям организации с помощью безопасного удаленного и условного доступа к этим приложениям. Кроме того, идентификатор Microsoft Entra также предоставляет управление жизненным циклом учетных записей и управление учетными данными для существующих учетных записей AD пользователя, в том числе:
- Безопасный удаленный доступ и условный доступ для локальных приложений
Для многих организаций первым шагом в управлении доступом из облака для локальных и удаленных веб-приложений, интегрированных с AD, является развертывание прокси приложения перед этими приложениями для обеспечения безопасного удаленного доступа.
После единого входа в Идентификатор Microsoft Entra пользователи могут получить доступ как к облачным, так и к локальным приложениям через внешний URL-адрес или внутренний портал приложений. Например, Прокси-приложение предоставляет удаленный доступ и единый вход для Remote Desktop, SharePoint, а также таких приложений, как Tableau и Qlik, и LOB-приложений (бизнес-приложений). Кроме того, в политики условного доступа можно включить отображение условий использования и гарантию получения согласия пользователя на эти условия перед предоставлением доступа к приложению.
- Автоматическое управление жизненным циклом для учетных записей Active Directory
Служба Identity Governance помогает организациям достичь нужного баланса между производительностью — насколько быстро сотрудник может получить доступ к необходимым ресурсам, например, в начале работы в организации? и безопасности (динамика изменения уровня доступа со временем, например, при изменении статуса пользователя в организации). Управление жизненным циклом удостоверений является основой управления идентификацией, и эффективное управление в крупных масштабах требует обновления инфраструктуры управления жизненным циклом удостоверений для приложений.
Во многих организациях жизненный цикл удостоверений для сотрудников связан с представлением этого пользователя в системе управления человеческими ресурсами (HCM). For organizations using Workday as their HCM system, Microsoft Entra ID can ensure user accounts in AD are automatically provisioned and deprovisioned for workers in Workday. Это позволяет повысить производительность труда пользователей с помощью автоматизации учетных записей birthright и управлять рисками, гарантируя, что доступ к приложениям автоматически обновляется, когда пользователь изменяет роли или покидает организацию. План развертывания для подготовки пользователей на основе Workday — это пошаговое руководство, которое в пять этапов познакомит организации с рекомендациями по внедрению Workday для Active Directory в качестве решения для подготовки пользователей.
Microsoft Entra ID P1 или P2 также включает Microsoft Identity Manager, который может импортировать записи из других локальных систем HCM, включая SAP, Oracle eBusiness и Oracle PeopleSoft.
Для совместной работы бизнесов все чаще требуется предоставлять доступ пользователям за пределами организации. Совместная работа Microsoft Entra B2B позволяет организациям безопасно обмениваться своими приложениями и службами с гостевыми пользователями и внешними партнерами, сохраняя контроль над собственными корпоративными данными.
Идентификатор Microsoft Entra может автоматически создавать учетные записи в AD для гостевых пользователей при необходимости, что позволяет бизнес-гостям получать доступ к локальным приложениям, интегрированным с AD, без необходимости другого пароля. Организации могут настроить политики многофакторной проверки подлинности для гостевых пользователей, чтобы проверка MFA выполнялась во время проверки подлинности прокси приложения. Кроме того, все проверки доступа, выполняемые для пользователей Cloud B2B, применяются к локальным пользователям. Например, если пользователь облака удаляется с помощью политик управления жизненным циклом, локальный пользователь также удаляется.
Управление учетными данными для учетных записей Active Directory
Self-service password reset in Microsoft Entra ID allows users who have forgotten their passwords to be reauthenticated and reset their passwords, with the changed passwords written to on-premises Active Directory. Процесс сброса пароля также можно использовать в локальной службе Active Directory: когда пользователь сбрасывает свой пароль, перед его фиксацией в соответствующем каталоге выполняется проверка соблюдения политики локальной службы Active Directory. План развертывания самостоятельного сброса пароля очерчивает лучшие практики по внедрению этой функции для пользователей с помощью веб-приложений и интегрированных возможностей Windows.
Наконец, для организаций, которые позволяют пользователям изменять пароли в AD, AD можно настроить для использования той же политики паролей, что и организация применяет в Microsoft Entra ID, с помощью функции защиты паролей Microsoft Entra, которая в настоящее время находится в общедоступной предварительной версии.
Когда организация готова переместить приложение, интегрированное с AD, в облако, переместив операционную систему, в которую размещено приложение, в Azure, доменные службы Microsoft Entra предоставляют доменные службы , совместимые с AD (например, присоединение к домену, групповая политика, LDAP и проверка подлинности Kerberos/NTLM). Доменные службы Microsoft Entra интегрируются с существующим клиентом Microsoft Entra организации, что позволяет пользователям входить с помощью корпоративных учетных данных. Кроме того, можно использовать существующие группы и учетные записи пользователей для защиты доступа к ресурсам, обеспечивая таким образом более плавное перемещение локальных ресурсов в службы инфраструктуры Azure.
Облачное управление федеративными локальными приложениями
Для организации, которая уже использует локального поставщика удостоверений, перенос приложений в Microsoft Entra ID обеспечивает более безопасный доступ и упрощает администрирование для управления федерацией. Идентификатор Microsoft Entra позволяет настраивать детализированные элементы управления доступом для каждого приложения, включая многофакторную проверку подлинности Microsoft Entra с помощью условного доступа Microsoft Entra. Microsoft Entra ID поддерживает больше возможностей, включая сертификаты подписи токенов для конкретных приложений и настройки дат истечения срока действия сертификатов. Эти возможности, средства и рекомендации позволяют организациям снять с учета локальных поставщиков удостоверений. Microsoft's own IT, for one example, has moved 17,987 applications from Microsoft's internal Active Directory Federation Services (AD FS) to Microsoft Entra ID.
Чтобы начать миграцию федеративных приложений в Microsoft Entra ID в качестве поставщика удостоверений, обратитесь к https://aka.ms/migrateapps, где вы найдете ссылки на:
Белая книга Перенос ваших приложений в Microsoft Entra ID, которая представляет собой преимущества миграции и описывает, как планировать миграцию, разделив её на четыре чётко определённые этапа: обнаружение, классификация, миграция и текущее управление. Приводятся указания по продумыванию процесса и разбиению проекта на простые для реализации части. На протяжении всего документа имеются ссылки на полезные ресурсы.
The solution guide Migrating Application Authentication from Active Directory Federation Services to Microsoft Entra ID explores in more detail the same four phases of planning and executing an application migration project. В этом руководстве вы узнаете, как применить эти этапы к определенной цели перемещения приложения из службы федерации Active Directory (AD FS) в Microsoft Entra ID.
Скрипт готовности к миграции служб федерации Active Directory (AD FS) можно запустить на существующих локальных серверах служб федерации Active Directory (AD FS), чтобы определить готовность приложений к миграции в Microsoft Entra ID.
Непрерывное управление доступом в облачных и локальных приложениях
Организациям требуется процесс управления масштабируемым доступом. Пользователи продолжают накапливать права доступа, в итоге получая больше, чем изначально было подготовлено для них. Более того, крупным организациям важно иметь возможность эффективного масштабирования для разработки и применения политик доступа и элементов управления в непрерывном цикле.
Обычно ИТ-подразделения передают решения по утверждению доступа ответственным лицам в организации. Furthermore, IT can involve the users themselves. Например, пользователям, которые работают с конфиденциальными данными клиентов в маркетинговом приложении для Европы, нужна информация о соответствующих корпоративных политиках. Гостевые пользователи могут ничего не знать о внутренних требованиях к обработке данных, которые действуют в пригласившей их организации.
Организации могут автоматизировать процесс жизненного цикла доступа с помощью таких технологий, как динамические группы членства, в сочетании с подготовкой пользователей к приложениям SaaS или приложениям, интегрированным с использованием стандарта System for Cross-Domain Identity Management (SCIM)). Организации также могут выбирать, какие гостевые пользователи получат доступ к локальным приложениям. Эти права доступа можно регулярно проверять с помощью повторяющихся проверок доступа Microsoft Entra.
Направления в будущем
В гибридных средах стратегия корпорации Майкрософт состоит в обеспечении развертываний, в которых облако является уровнем управления для идентификации, а локальные каталоги и другие системы идентификации, такие как Active Directory и другие локальные приложения, являются целевыми объектами для предоставления пользователям доступа. Эта стратегия будет продолжать обеспечивать права, удостоверения и доступ в тех приложениях и рабочих нагрузках, которые зависят от них. В этом состоянии организации смогут управлять производительностью конечных пользователей исключительно из облака.
Следующие шаги
Дополнительные сведения о том, как начать этот процесс, смотрите в планах развертывания Microsoft Entra. Эти планы предоставляют комплексные рекомендации по развертыванию возможностей Microsoft Entra. Каждый план объясняет бизнес-ценность, рекомендации по планированию, проектирование и операционные процедуры, необходимые для успешного развертывания общих возможностей Microsoft Entra. Корпорация Майкрософт постоянно обновляет планы развертывания с помощью рекомендаций, полученных из развертываний клиентов и других отзывов при добавлении новых возможностей для управления из облака с помощью идентификатора Microsoft Entra.