Общие сведения о безопасности управления удостоверениями Azure

Управление удостоверениями — это процесс проверки подлинности и авторизации субъектов безопасности. Идентификатор Microsoft Entra предоставляет комплексное управление удостоверениями и доступом для приложений и ресурсов в организации. В этой статье рассматриваются основные функции управления удостоверениями Azure, которые помогают защитить доступ к ресурсам.

Единый вход

Единый вход позволяет пользователям получать доступ к нескольким приложениям и ресурсам с помощью одной учетной записи пользователя и пароля. Пользователи входят один раз и могут получить доступ ко всем своим приложениям без необходимости повторной аутентификации. Идентификатор Microsoft Entra поддерживает единый вход для тысяч приложений SaaS и локальных веб-приложений.

Идентификатор Microsoft Entra расширяет локальную среду Active Directory в облако, позволяя пользователям входить с помощью учетной записи организации на устройства, присоединенные к домену, ресурсы компании и интегрированные приложения. Единый вход снижает усталость паролей и повышает безопасность, минимизируя предоставленные учетные данные.

Подробнее:

• Что такое единый вход в Microsoft Entra ID?
• Планирование развертывания единого входа

Многофакторная проверка подлинности

Многофакторная проверка подлинности (MFA) Microsoft Entra добавляет критически важный второй уровень безопасности, требуя двух или более методов проверки. MFA помогает защититься от несанкционированного доступа при сохранении простого интерфейса входа для пользователей.

К методам проверки относятся:

• Приложение Microsoft Authenticator
• Windows Hello для бизнеса
• Ключи безопасности FIDO2
• Проверка подлинности на основе сертификатов
• Токены OATH (оборудование и программное обеспечение)
• SMS и голосовой звонок

Лицензии Microsoft Entra ID P1 и P2 поддерживают политики условного доступа, которые применяют MFA на основе пользовательского, расположения, устройства и контекста приложения.

Подробнее:

• Как работает многофакторная проверка подлинности Microsoft Entra
• Планирование развертывания многофакторной проверки подлинности Microsoft Entra

Управление доступом на основе ролей Azure

Управление доступом на основе ролей Azure (Azure RBAC) обеспечивает точное управление доступом для ресурсов Azure. С помощью Azure RBAC можно предоставить пользователям минимальные разрешения, необходимые для выполнения своих заданий.

Azure RBAC включает встроенные роли:

• Владелец: полный доступ ко всем ресурсам, включая право делегировать доступ
• Участник: может создавать и управлять всеми типами ресурсов Azure, но не может предоставлять доступ.
• Читатель: просмотр существующих ресурсов Azure
• Администратор доступа пользователей: управление доступом пользователей к ресурсам Azure

Вы также можете создавать пользовательские роли, адаптированные к конкретным потребностям.

Подробнее:

• Что такое управление доступом на основе ролей в Azure (RBAC)?
• Встроенные роли Azure
• Назначение ролей Azure с помощью портала Azure

Прокси-сервер приложений

Прокси приложения Microsoft Entra обеспечивает безопасный удаленный доступ к локальным веб-приложениям без vpn-подключений. Application Proxy публикует такие приложения, как сайты SharePoint, Outlook Web App и приложения на основе IIS для внешних пользователей, сохраняя безопасность через проверку подлинности и политики условного доступа Microsoft Entra ID.

Application Proxy поддерживает единый вход и может интегрироваться с существующими локальными методами проверки подлинности.

Подробнее:

• Общие сведения о прокси-сервере приложения Microsoft Entra
• Публикация локальных приложений с помощью прокси приложения Microsoft Entra

Управление привилегированными пользователями

Microsoft Entra Privileged Identity Management (PIM) помогает управлять, контролировать и отслеживать привилегированный доступ к важным ресурсам. PIM обеспечивает привилегированный доступ с применением JIT, что снижает риск чрезмерных или ненужных разрешений.

С помощью PIM можно:

• Предоставление ограниченного времени доступа к ролям Azure и Microsoft Entra
• Требовать утверждения для активации привилегированных ролей
• Принудительное применение многофакторной проверки подлинности для активации ролей
• Требовать обоснование активации ролей
• Получение уведомлений о активации привилегированных ролей
• Проверка доступа для обеспечения того, чтобы пользователи по-прежнему нуждались в привилегированных ролях
• Создание отчетов аудита для соответствия требованиям

Подробнее:

• Что такое microsoft Entra Privileged Identity Management?
• Планирование развертывания привилегированного управления удостоверениями

Защита удостоверений

Защита идентификаторов Microsoft Entra обнаруживает потенциальные уязвимости и рискованные действия, влияющие на удостоверения вашей организации. Он использует машинное обучение для выявления аномальных действий входа и действий пользователей.

Защита идентификации обеспечивает:

• Условный доступ на основе рисков: политики, реагирующие на обнаруженные риски в режиме реального времени
• Обнаружение рисков: идентификация подозрительных действий, включая использование анонимных IP-адресов, нетипичные поездки и IP-адреса, связанные с вредоносными программами
• Средства исследования: отчеты и панели мониторинга для анализа рисков
• Автоматическое исправление: политики на основе рисков, которые могут автоматически требовать изменения пароля или блокировать доступ

Подробнее:

• Что такое защита идентификаторов Microsoft Entra?
• Изучение рисков с помощью защиты идентификации

Проверки доступа Microsoft Entra

Проверки доступа Microsoft Entra позволяют эффективно управлять членством в группах, доступом к корпоративным приложениям и назначениям привилегированных ролей. Регулярные проверки доступа помогают гарантировать, что у пользователей есть только необходимый доступ.

Поддержка проверок доступа:

• Автоматические проверки: запланированные повторяющиеся проверки с настраиваемой частотой
• Делегированные проверки: владельцы бизнеса и руководители могут просматривать доступ для своих команд
• Самостоятельная аттестация: пользователи могут подтвердить, что им по-прежнему нужен доступ
• Рекомендации. Машинное обучение предлагает, какие пользователи должны потерять доступ на основе действий входа
• Автоматические действия. Удаление доступа автоматически при завершении проверок

Подробнее:

• Что такое проверки доступа Microsoft Entra?
• Планирование развертывания проверок доступа Microsoft Entra

Гибридное управление удостоверениями

Для организаций с локальной сетью Active Directory корпорация Майкрософт предоставляет решения гибридной идентичности для синхронизации идентичностей между локальными и облачными средами.

Microsoft Entra Connect (режим обслуживания) синхронизирует локальные удостоверения AD DS с идентификатором Microsoft Entra. Он выполняется на локальном сервере и предоставляет:

• Синхронизация каталогов для пользователей, групп и контактов
• Синхронизация хэша паролей или сквозная проверка подлинности
• Интеграция федерации с AD FS
• Мониторинг здоровья

Microsoft Entra Cloud Sync — это современное облачное решение синхронизации, использующее легкие агенты подготовки:

• Упрощенное развертывание с помощью легковесных агентов
• Поддержка разъединённых сред с несколькими лесами
• Высокий уровень доступности с несколькими агентами
• Облачная конфигурация и управление

Корпорация Майкрософт рекомендует облачную синхронизацию для новых развертываний гибридных удостоверений.

Подробнее:

• Что такое Microsoft Entra Cloud Sync?
• Выбор правильного клиента синхронизации для идентификатора Microsoft Entra

Регистрация устройства

Регистрация устройств Microsoft Entra обеспечивает политики условного доступа на основе устройств. Зарегистрированные устройства получают идентификатор, который аутентифицирует устройство при входе пользователя в систему. Атрибуты устройств могут применять политики условного доступа для облачных и локальных приложений.

В сочетании с решениями управления мобильными устройствами (MDM), такими как Microsoft Intune, атрибуты устройств обогащены сведениями о конфигурации и соответствии. Это позволяет использовать правила условного доступа на основе состояния безопасности устройства и соответствия требованиям.

Подробнее:

• Планирование развертывания устройства Microsoft Entra
• Устройства, присоединенные к Microsoft Entra
• Устройства, гибридно подключенные к Microsoft Entra

Внешние идентификаторы

Внешний идентификатор Microsoft Entra предоставляет управление удостоверениями для клиентских приложений и совместной работы B2B. Внешний идентификатор поддерживает регистрацию и вход потребителей с помощью учетных записей социальных сетей (Facebook, Google, LinkedIn) или учетных данных на основе электронной почты.

Для совместной работы B2B внешний идентификатор обеспечивает безопасный обмен приложениями и ресурсами с внешними партнерами, сохраняя контроль над корпоративными данными. Внешние пользователи проходят проверку подлинности с помощью домашней организации или поддерживаемых поставщиков удостоверений.

Подробнее:

• Обзор внешнего идентификатора Microsoft Entra
• Обзор совместной работы B2B

Дальнейшие шаги

• рекомендации и шаблоны безопасности Azure
• Общие сведения о безопасности сети
• Обнаружение угроз и защита
• Управление ключами в Azure