Memo 22-09 Система управления удостоверениями на уровне предприятия

Меморандум M-22-09 для руководителей исполнительных департаментов и учреждений требует от учреждений разработать план консолидации для своих платформ идентификации. Цель состоит в том, чтобы иметь как можно меньше систем управляемых агентством удостоверений в течение 60 дней после даты публикации (28 марта 2022 г.). Существует несколько преимуществ объединения платформ идентификации.

  • Централизованное управление жизненным циклом удостоверений, применением политик и проверяемыми элементами управления
  • Единые возможности и равенство принудительного применения
  • Сокращение необходимости обучения ресурсов в нескольких системах
  • Разрешить пользователям войти один раз, а затем получить доступ к приложениям и службам в ИТ-среде
  • Интеграция с максимально возможным количеством приложений агентства
  • Использование общих служб проверки подлинности и отношений доверия для упрощения интеграции между агентствами

Почему идентификатор Microsoft Entra ID?

Используйте идентификатор Microsoft Entra для реализации рекомендаций из меморандума 22-09. Система Microsoft Entra ID включает элементы управления удостоверениями, поддерживающие инициативы нулевого доверия. С Microsoft Office 365 или Azure идентификатор Microsoft Entra id является поставщиком удостоверений (IdP). Подключите приложения и ресурсы к идентификатору Microsoft Entra в качестве корпоративной системы удостоверений.

Требования к единому входу

Для того чтобы войти один раз, а затем получить доступ к приложениям, пользователям необходимо следовать указаниям в меморандуме. С помощью единого входа от Microsoft пользователи входят один раз, а затем получают доступ к облачным службам и приложениям. См. бесшовную простую единую авторизацию Microsoft Entra.

Интеграция между агентствами

Используйте совместную работу Microsoft Entra B2B, чтобы обеспечить интеграцию и совместную работу между агентствами. Пользователи могут находиться в клиенте Майкрософт в том же облаке. Арендаторы могут находиться на другой облачной платформе Microsoft или в клиенте, отличном от Azure AD (поставщик удостоверений SAML/WS-Fed).

С помощью параметров доступа между клиентами Microsoft Entra агентства управляют тем, как они взаимодействуют с другими организациями Microsoft Entra и другими облаками Microsoft Azure:

  • Ограничение доступа пользователей арендаторов Microsoft
  • Параметры для доступа внешних пользователей, включая применение многофакторной проверки подлинности и сигнал устройства

Подробнее:

Подключение приложений

Чтобы объединить и использовать Microsoft Entra ID в качестве корпоративной системы идентификации, просмотрите активы, которые подходят под требуемую область.

Документирование приложений и служб

Создайте инвентаризацию доступа пользователей приложений и служб. Система управления удостоверениями защищает то, что она знает.

Классификация активов:

  • Конфиденциальность данных в нем
  • Законы и правила для конфиденциальности, целостности или доступности данных и /или информации в основных системах
    • Указанные законы и правила, применимые к требованиям к системной защите информации

Для инвентаризации приложений определите приложения, использующие облачные протоколы или устаревшие протоколы проверки подлинности:

  • Приложения, готовые к облаку, поддерживают современные протоколы для проверки подлинности:
    • Спутник SAML
    • Федерация WS/Доверие
    • OpenID Connect (OIDC)
    • OAuth 2.0.
  • Устаревшие приложения проверки подлинности используют старые или собственные методы проверки подлинности:
    • Kerberos/NTLM (проверка подлинности Windows)
    • Проверка подлинности на основе заголовков
    • LDAP
    • Обычная проверка подлинности

Дополнительные сведения об интеграции Microsoft Entra с протоколами проверки подлинности.

Средства обнаружения приложений и служб

Корпорация Майкрософт предлагает следующие средства для поддержки обнаружения приложений и служб.

Инструмент Использование
Аналитика использования для служб федерации Active Directory (AD FS) Анализирует трафик проверки подлинности федеративного сервера. Следите за AD FS с помощью Microsoft Entra Connect Health
Microsoft Defender для облачных приложений Сканирует журналы брандмауэра для обнаружения облачных приложений, служб инфраструктуры как службы (IaaS) и платформы как службы (PaaS). Интеграция Defender для облачных приложений с Defender для конечной точки для обнаружения данных, проанализированных с клиентских устройств Windows. См. Microsoft Defender для облачных приложений — обзор
Лист обнаружения приложений Задокументируйте текущие состояния приложений. См. лист обнаружения приложений

Ваши приложения могут находиться в системах, отличных от Майкрософт, и средства Майкрософт могут не обнаруживать эти приложения. Убедитесь в полном наличии инвентаря. Поставщики нуждаются в механизмах обнаружения приложений, использующих свои службы.

Приоритизация заявок на подключение

После обнаружения приложений в вашей среде определите приоритеты для миграции. Подумайте:

  • Важность для бизнеса
  • Профили пользователей
  • Использование
  • Срок службы

Дополнительные сведения. Перенос проверки подлинности приложения на идентификатор Microsoft Entra.

Подключите подготовленные для облака приложения в порядке приоритета. Определите приложения, использующие устаревшие протоколы проверки подлинности.

Для приложений, использующих устаревшие протоколы проверки подлинности:

  • Для приложений с современной проверкой подлинности перенастройте их для использования идентификатор Microsoft Entra
  • Для приложений без современной проверки подлинности существует два варианта:
    • Обновление кода приложения для использования современных протоколов путем интеграции библиотеки проверки подлинности Майкрософт (MSAL)
    • Использование прокси приложения Microsoft Entra или безопасного гибридного доступа партнера для безопасного доступа
  • Отключение доступа к приложениям, которые больше не требуются или не поддерживаются.

Подробнее

Подключение устройств

Часть централизованной системы управления удостоверениями позволяет пользователям входить на физические и виртуальные устройства. Вы можете подключить устройства Windows и Linux в централизованной системе Microsoft Entra, что устраняет несколько отдельных систем удостоверений.

Во время инвентаризации и определения области охвата определите устройства и инфраструктуру для интеграции со службой Microsoft Entra ID. Интеграция централизованно выполняет проверку подлинности и управление с помощью политик условного доступа с многофакторной проверкой подлинности, применяемой с помощью идентификатора Microsoft Entra.

Средства для обнаружения устройств

Учетные записи службы автоматизации Azure можно использовать для идентификации устройств с помощью коллекции инвентаризации, подключенной к Azure Monitor. В Microsoft Defender для конечной точки есть функции инвентаризации устройств. Обнаружьте устройства с настроенным Defender для конечной точки и без него. Инвентаризация устройств поступает из локальных систем, таких как System Center Configuration Manager или другие системы, управляющие устройствами и клиентами.

Подробнее:

Интеграция устройств с идентификатором Microsoft Entra

Устройства, интегрированные с идентификатором Microsoft Entra, являются гибридными устройствами или устройствами, присоединенными к Microsoft Entra. Разделение подключения устройств по клиентским и пользовательским устройствам, а также физическим и виртуальным машинам, работающим в качестве инфраструктуры. Дополнительные сведения о стратегии развертывания для пользовательских устройств см. в следующих рекомендациях.

Дальнейшие шаги

Следующие статьи являются частью этого набора документации: