Общие сведения о безопасности управления удостоверениями Azure

Управление удостоверениями — это процесс проверки подлинности и авторизации субъектов безопасности. Также это включает управление информацией о тех личностях (идентичностях). Субъекты безопасности (удостоверения) могут включать службы, приложения, пользователей, группы и т. д. Решения по управлению удостоверениями и доступом Майкрософт помогают ИТ-отделам защитить доступ к приложениям и ресурсам в корпоративном центре обработки данных и в облаке. Такая защита обеспечивает дополнительные уровни проверки, такие как многофакторная проверка подлинности и политики условного доступа. Мониторинг подозрительных действий с помощью расширенных отчетов безопасности, аудита и оповещений помогает устранить потенциальные проблемы с безопасностью. Идентификатор Microsoft Entra ID P1 или P2 предоставляет единый вход для тысяч приложений облачного программного обеспечения как службы (SaaS) и доступа к веб-приложениям, которые выполняются локально.

Используя преимущества безопасности идентификатора Microsoft Entra, вы можете:

• Создайте и управляйте единой идентификацией для каждого пользователя в вашем гибридном предприятии, обеспечивая синхронизацию пользователей, групп и устройств.
• Предоставьте доступ SSO к вашим приложениям, включая тысячи интегрированных SaaS приложений.
• Включите безопасность доступа к приложениям, применяя многофакторную проверку подлинности на основе правил для локальных и облачных приложений.
• Подготовка безопасного удаленного доступа к локальным веб-приложениям через прокси приложения Microsoft Entra.

Цель этой статьи — предоставить обзор основных функций безопасности Azure, которые помогают в управлении удостоверениями. Мы также предоставляем ссылки на статьи, которые предоставляют подробные сведения о каждой функции, чтобы узнать больше.

В этой статье рассматриваются следующие основные возможности управления удостоверениями Azure:

• Единый вход
• Обратный прокси-сервер
• Многофакторная проверка подлинности
• Управление доступом на основе ролей Azure (Azure RBAC)
• Наблюдение за безопасностью, оповещения и отчеты на основе машинного обучения.
• Управление идентификацией и доступом потребителей
• Регистрация устройства
• Управление привилегированными идентичностями
• Защита идентификации
• Гибридное управление удостоверениями и подключение Azure AD
• Проверки доступа Microsoft Entra

Единый вход

Единый вход (SSO) означает возможность доступа ко всем приложениям и ресурсам, которым требуется заниматься бизнесом, выполнив вход только один раз с помощью одной учетной записи пользователя. После входа вы можете получить доступ ко всем приложениям, которые вам нужны, не выполняя проверку подлинности (например, введите пароль) во второй раз.

Многие организации используют такие приложения SaaS, как Microsoft 365, Box и Salesforce для повышения производительности пользователей. Обычно ИТ-специалистам приходилось отдельно создавать и обновлять учетные записи пользователей в каждом приложении SaaS, а пользователям нужно было запоминать новые пароли для каждого такого приложения.

Идентификатор Microsoft Entra расширяет локальные среды Active Directory в облаке, позволяя пользователям использовать свою основную учетную запись организации для входа не только на устройства, присоединенные к домену, и корпоративные ресурсы, но и для всех веб-приложений и приложений SaaS, необходимых для их заданий.

Не только пользователям не нужно управлять несколькими наборами имен пользователей и паролей, вы можете автоматически подготавливать или отменять доступ к приложению на основе их организационных групп и состояния сотрудника. Идентификатор Microsoft Entra представляет элементы управления безопасностью и доступом, с помощью которых можно централизованно управлять доступом пользователей в приложениях SaaS.

Подробнее:

• Обзор единой системы входа
• Видео о основах проверки подлинности
• Серия кратких руководств по управлению приложениями

Обратный прокси-сервер

Прокси приложения Microsoft Entra позволяет публиковать приложения в частной сети, такие как сайты SharePoint , Outlook Web App и приложения на основе IIS в частной сети и обеспечивает безопасный доступ к пользователям за пределами вашей сети. Прокси приложения предоставляет удаленный доступ и поддержку единого входа для многих типов локальных веб-приложений, а также для тысяч приложений SaaS, поддерживаемых Microsoft Entra ID. Сотрудники могут войти в приложения из дома на своих устройствах и пройти проверку подлинности с помощью этого облачного прокси-сервера.

Подробнее:

• Включение прокси приложения Microsoft Entra
• Публикация приложений с помощью прокси приложения Microsoft Entra
• Единый вход с помощью Application Proxy
• Работа с условным доступом

Многофакторная проверка подлинности

Многофакторная проверка подлинности Microsoft Entra — это метод проверки подлинности, который требует использования нескольких методов проверки и добавляет критически важный второй уровень безопасности для входа пользователей и транзакций. Многофакторная проверка подлинности помогает защитить доступ к данным и приложениям во время удовлетворения требований пользователей к простому процессу входа. Она обеспечивает строгую проверку подлинности с помощью различных вариантов проверки: телефонные звонки, текстовые сообщения или уведомления мобильного приложения или коды проверки и сторонние токены OAuth.

Дополнительные сведения: как работает многофакторная проверка подлинности Microsoft Entra

Azure RBAC

Azure RBAC — это система авторизации, основанная на Azure Resource Manager, которая обеспечивает точное управление доступом к ресурсам в Azure. Azure RBAC позволяет детально контролировать уровень доступа пользователей. Например, можно ограничить пользователя только управлением виртуальными сетями и другим пользователем для управления всеми ресурсами в группе ресурсов. Azure включает несколько встроенных ролей, которые можно использовать. Ниже перечислены четыре основные встроенные роли. Первые три роли охватывают все типы ресурсов.

• Владелец — имеет полный доступ ко всем ресурсам, включая право делегировать доступ другим пользователям.
• Участник . Может создавать и управлять всеми типами ресурсов Azure, но не может предоставлять доступ другим пользователям.
• Читатель — может просматривать существующие ресурсы Azure.
• Администратор доступа пользователей. Позволяет управлять доступом пользователей к ресурсам Azure.

Подробнее:

• Что такое управление доступом на основе ролей в Azure (RBAC)?
• Встроенные роли Azure

Наблюдение за безопасностью, оповещения и отчеты на основе машинного обучения.

Мониторинг безопасности, оповещения и отчеты на основе машинного обучения, которые определяют несогласованные шаблоны доступа, помогают защитить бизнес. Вы можете использовать отчеты о доступе и использовании идентификаторов Microsoft Entra, чтобы получить представление о целостности и безопасности каталога вашей организации. С помощью этой информации администратор каталога может лучше определить, где могут скрываться возможные риски безопасности, чтобы они могли надлежащим образом планировать их устранение.

На портале Azure отчеты делятся на следующие категории:

• Отчеты об аномалиях: содержат события входа, которые мы обнаружили аномальными. Наша цель заключается в том, чтобы вы осознавали такую деятельность и могли определить, является ли событие подозрительным.
• Отчеты о интегрированных приложениях: предоставление аналитических сведений о том, как используются облачные приложения в организации. Идентификатор Microsoft Entra предлагает интеграцию с тысячами облачных приложений.
• Отчеты об ошибках: указывает на ошибки, которые могут возникать при подготовке учетных записей для внешних приложений.
• Отчеты, связанные с пользователем: отображение данных о действиях входа устройства для конкретного пользователя.
• Журналы действий: содержат запись всех проверенных событий за последние 24 часа, последние 7 дней или последние 30 дней, а также изменения действий группы и сброс пароля и действие регистрации.

Дополнительные сведения: руководство по отчетности Microsoft Entra ID

Управление идентичностью и доступом клиентов

Azure AD B2C — это высокодоступная глобальная служба управления удостоверениями для приложений для работы с потребителями, которая масштабируется до сотен миллионов удостоверений. Служба интегрируется с мобильными и веб-платформами. Пользователи могут войти во все приложения через настраиваемый пользовательский опыт, используя существующие социальные учетные записи или создавая новые учетные данные.

В прошлом разработчики приложений, которые хотели регистрировать клиентов и давать им возможность входа в свои приложения, писали бы свой собственный код. Кроме того, для хранения имен пользователей и паролей приходилось использовать локальные базы данных или системы. Azure AD B2C предлагает организации лучший способ интеграции управления удостоверениями потребителей в приложения с помощью безопасной платформы на основе стандартов и большого набора расширяемых политик.

При использовании Azure AD B2C потребители могут зарегистрироваться в своих приложениях с помощью существующих социальных учетных записей (Facebook, Google, Amazon, LinkedIn) или создания новых учетных данных (адрес электронной почты и пароль или имя пользователя и пароль).

Подробнее:

• Что такое Azure Active Directory B2C?
• Azure Active Directory B2C: типы приложений

Регистрация устройства

Регистрация устройств Microsoft Entra является основой для сценариев условного доступа на основе устройств. При регистрации устройства регистрация устройства Microsoft Entra предоставляет устройству удостоверение, которое используется для проверки подлинности устройства при входе пользователя. После этого для применения политик условного доступа для приложений, размещенных в облаке и локальной среде, можно использовать устройство с проверкой подлинности и атрибуты устройства.

При сочетании с решением для управления мобильными устройствами, например Intune, атрибуты устройства в идентификаторе Microsoft Entra обновляются с дополнительными сведениями об устройстве. Затем можно создать правила условного доступа, которые обеспечивают доступ с устройств, чтобы соответствовать вашим стандартам безопасности и соответствия требованиям.

Подробнее:

• Начало работы с регистрацией устройств в Microsoft Entra
• Автоматическая регистрация устройств с помощью идентификатора Microsoft Entra для устройств, присоединенных к домену Windows

Управление привилегированными идентичностями

С помощью Microsoft Entra Privileged Identity Management вы можете управлять, контролировать и отслеживать свои привилегированные учётные записи и доступ к ресурсам в Microsoft Entra ID, а также в других онлайн-службах Microsoft, таких как Microsoft 365 и Microsoft Intune.

Иногда пользователям необходимо выполнять привилегированные операции в ресурсах Azure или Microsoft 365 или в других приложениях SaaS. Это часто означает, что организации должны предоставлять пользователям постоянный привилегированный доступ в идентификаторе Microsoft Entra. Такой доступ является растущим риском безопасности для ресурсов, размещенных в облаке, так как организации не могут достаточно отслеживать то, что пользователи делают с правами администратора. Кроме того, если учетная запись пользователя с привилегированным доступом скомпрометирована, это может повлиять на общую облачную безопасность организации. Microsoft Entra Privileged Identity Management помогает устранить этот риск.

С помощью Microsoft Entra Privileged Identity Management вы можете:

• Узнайте, какие пользователи являются администраторами Microsoft Entra.
• Включите административный доступ по запросу (JIT) к службам Майкрософт, таким как Microsoft 365 и Intune.
• Получать отчеты по данным журнала доступа администраторов и изменениям в назначениях администраторов.
• Получать оповещения о доступе к привилегированным ролям.

Подробнее:

• Что такое microsoft Entra Privileged Identity Management?
• Назначение ролей каталога Microsoft Entra в PIM

Защита идентификации

Microsoft Entra ID Protection — это служба безопасности, которая предоставляет консолидированное представление об обнаружении рисков и потенциальных уязвимостях, влияющих на удостоверения вашей организации. Защита идентификации использует существующие возможности обнаружения аномалий Microsoft Entra, доступные через отчеты о действиях Microsoft Entra Anomalous. Защита идентификации также представляет новые типы обнаружения рисков, которые могут обнаруживать аномалии в режиме реального времени.

Дополнительные сведения: Защита идентификаторов Microsoft Entra

Гибридное управление удостоверениями (Microsoft Entra Connect)

Решения для удостоверений Майкрософт охватывают локальные и облачные возможности, создавая одно удостоверение пользователя для проверки подлинности и авторизации для всех ресурсов независимо от расположения. Мы называем это гибридной идентичностью. Microsoft Entra Connect — это средство Майкрософт, предназначенное для удовлетворения и достижения целей гибридной идентификации. Это позволяет предоставить общее удостоверение для пользователей для приложений Microsoft 365, Azure и SaaS, интегрированных с идентификатором Microsoft Entra. Она предоставляет следующие возможности.

• Синхронизация
• AD FS и интеграция с федеративными службами
• Сквозная аутентификация
• Мониторинг здоровья

Подробнее:

• Белая книга по гибридной идентичности
• Microsoft Entra ID

Проверки доступа Microsoft Entra

Проверки доступа Microsoft Entra позволяют организациям эффективно управлять членством в группах, доступом к корпоративным приложениям и назначениям привилегированных ролей.

Дополнительные сведения: проверки доступа Microsoft Entra