Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Меморандум M-22-09 для руководителей исполнительных департаментов и учреждений требует от учреждений разработать план консолидации для своих платформ идентификации. Цель состоит в том, чтобы иметь как можно меньше систем управляемых агентством удостоверений в течение 60 дней после даты публикации (28 марта 2022 г.). Существует несколько преимуществ объединения платформ идентификации.
- Централизованное управление жизненным циклом удостоверений, применением политик и проверяемыми элементами управления
- Единые возможности и равенство принудительного применения
- Сокращение необходимости обучения ресурсов в нескольких системах
- Разрешить пользователям войти один раз, а затем получить доступ к приложениям и службам в ИТ-среде
- Интеграция с максимально возможным количеством приложений агентства
- Использование общих служб проверки подлинности и отношений доверия для упрощения интеграции между агентствами
Почему идентификатор Microsoft Entra ID?
Используйте идентификатор Microsoft Entra для реализации рекомендаций из меморандума 22-09. Система Microsoft Entra ID включает элементы управления удостоверениями, поддерживающие инициативы нулевого доверия. С Microsoft Office 365 или Azure идентификатор Microsoft Entra id является поставщиком удостоверений (IdP). Подключите приложения и ресурсы к идентификатору Microsoft Entra в качестве корпоративной системы удостоверений.
Требования к единому входу
Для того чтобы войти один раз, а затем получить доступ к приложениям, пользователям необходимо следовать указаниям в меморандуме. С помощью единого входа от Microsoft пользователи входят один раз, а затем получают доступ к облачным службам и приложениям. См. бесшовную простую единую авторизацию Microsoft Entra.
Интеграция между агентствами
Используйте совместную работу Microsoft Entra B2B, чтобы обеспечить интеграцию и совместную работу между агентствами. Пользователи могут находиться в клиенте Майкрософт в том же облаке. Арендаторы могут находиться на другой облачной платформе Microsoft или в клиенте, отличном от Azure AD (поставщик удостоверений SAML/WS-Fed).
С помощью параметров доступа между клиентами Microsoft Entra агентства управляют тем, как они взаимодействуют с другими организациями Microsoft Entra и другими облаками Microsoft Azure:
- Ограничение доступа пользователей арендаторов Microsoft
- Параметры для доступа внешних пользователей, включая применение многофакторной проверки подлинности и сигнал устройства
Подробнее:
- Обзор совместной работы B2B
- Microsoft Entra B2B в государственных и национальных облаках
- Федерация с поставщиками идентификационных данных SAML/WS-Fed для гостевых пользователей
Подключение приложений
Чтобы объединить и использовать Microsoft Entra ID в качестве корпоративной системы идентификации, просмотрите активы, которые подходят под требуемую область.
Документирование приложений и служб
Создайте инвентаризацию доступа пользователей приложений и служб. Система управления удостоверениями защищает то, что она знает.
Классификация активов:
- Конфиденциальность данных в нем
- Законы и правила для конфиденциальности, целостности или доступности данных и /или информации в основных системах
- Указанные законы и правила, применимые к требованиям к системной защите информации
Для инвентаризации приложений определите приложения, использующие облачные протоколы или устаревшие протоколы проверки подлинности:
- Приложения, готовые к облаку, поддерживают современные протоколы для проверки подлинности:
- Спутник SAML
- Федерация WS/Доверие
- OpenID Connect (OIDC)
- OAuth 2.0.
- Устаревшие приложения проверки подлинности используют старые или собственные методы проверки подлинности:
- Kerberos/NTLM (проверка подлинности Windows)
- Проверка подлинности на основе заголовков
- LDAP
- Обычная проверка подлинности
Дополнительные сведения об интеграции Microsoft Entra с протоколами проверки подлинности.
Средства обнаружения приложений и служб
Корпорация Майкрософт предлагает следующие средства для поддержки обнаружения приложений и служб.
| Инструмент | Использование |
|---|---|
| Аналитика использования для служб федерации Active Directory (AD FS) | Анализирует трафик проверки подлинности федеративного сервера. Следите за AD FS с помощью Microsoft Entra Connect Health |
| Microsoft Defender для облачных приложений | Сканирует журналы брандмауэра для обнаружения облачных приложений, служб инфраструктуры как службы (IaaS) и платформы как службы (PaaS). Интеграция Defender для облачных приложений с Defender для конечной точки для обнаружения данных, проанализированных с клиентских устройств Windows. См. Microsoft Defender для облачных приложений — обзор |
| Лист обнаружения приложений | Задокументируйте текущие состояния приложений. См. лист обнаружения приложений |
Ваши приложения могут находиться в системах, отличных от Майкрософт, и средства Майкрософт могут не обнаруживать эти приложения. Убедитесь в полном наличии инвентаря. Поставщики нуждаются в механизмах обнаружения приложений, использующих свои службы.
Приоритизация заявок на подключение
После обнаружения приложений в вашей среде определите приоритеты для миграции. Подумайте:
- Важность для бизнеса
- Профили пользователей
- Использование
- Срок службы
Дополнительные сведения. Перенос проверки подлинности приложения на идентификатор Microsoft Entra.
Подключите подготовленные для облака приложения в порядке приоритета. Определите приложения, использующие устаревшие протоколы проверки подлинности.
Для приложений, использующих устаревшие протоколы проверки подлинности:
- Для приложений с современной проверкой подлинности перенастройте их для использования идентификатор Microsoft Entra
- Для приложений без современной проверки подлинности существует два варианта:
- Обновление кода приложения для использования современных протоколов путем интеграции библиотеки проверки подлинности Майкрософт (MSAL)
- Использование прокси приложения Microsoft Entra или безопасного гибридного доступа партнера для безопасного доступа
- Отключение доступа к приложениям, которые больше не требуются или не поддерживаются.
Подробнее
- Интеграция Microsoft Entra с протоколами проверки подлинности
- Что такое платформа удостоверений Майкрософт?
- Безопасный гибридный доступ: защита устаревших приложений с помощью идентификатора Microsoft Entra
Подключение устройств
Часть централизованной системы управления удостоверениями позволяет пользователям входить на физические и виртуальные устройства. Вы можете подключить устройства Windows и Linux в централизованной системе Microsoft Entra, что устраняет несколько отдельных систем удостоверений.
Во время инвентаризации и определения области охвата определите устройства и инфраструктуру для интеграции со службой Microsoft Entra ID. Интеграция централизованно выполняет проверку подлинности и управление с помощью политик условного доступа с многофакторной проверкой подлинности, применяемой с помощью идентификатора Microsoft Entra.
Средства для обнаружения устройств
Учетные записи службы автоматизации Azure можно использовать для идентификации устройств с помощью коллекции инвентаризации, подключенной к Azure Monitor. В Microsoft Defender для конечной точки есть функции инвентаризации устройств. Обнаружьте устройства с настроенным Defender для конечной точки и без него. Инвентаризация устройств поступает из локальных систем, таких как System Center Configuration Manager или другие системы, управляющие устройствами и клиентами.
Подробнее:
- Управление сбором инвентаризационных данных с виртуальных машин
- Обзор Microsoft Defender для конечных точек
- Общие сведения о инвентаризации оборудования
Интеграция устройств с идентификатором Microsoft Entra
Устройства, интегрированные с идентификатором Microsoft Entra, являются гибридными устройствами или устройствами, присоединенными к Microsoft Entra. Разделение подключения устройств по клиентским и пользовательским устройствам, а также физическим и виртуальным машинам, работающим в качестве инфраструктуры. Дополнительные сведения о стратегии развертывания для пользовательских устройств см. в следующих рекомендациях.
- Планирование развертывания устройства Microsoft Entra
- Устройства, гибридно подключенные к Microsoft Entra
- Устройства, присоединенные к Microsoft Entra
- Вход на виртуальную машину Windows в Azure с помощью идентификатора Microsoft Entra, включая без пароля
- Вход на виртуальную машину Linux в Azure с помощью идентификатора Microsoft Entra и OpenSSH
- Присоединение к Microsoft Entra для виртуального рабочего стола Azure
- Удостоверение устройства и виртуализация рабочего стола
Дальнейшие шаги
Следующие статьи являются частью этого набора документации:
- Соответствие требованиям к удостоверениям меморандума 22-09 с идентификатором Microsoft Entra
- соответствие требованиям многофакторной проверки подлинности меморандума 22-09
- Выполнить требования авторизации меморандума 22-09
- Другие области нулевого доверия, рассмотренные в меморандуме 22-09
- Защита идентичности посредством нулевого доверия