Hoe Microsoft Entra ID cloudbeheer levert voor on-premises workloads

Microsoft Entra ID is een uitgebreide IDaaS-oplossing (Identity as a Service) die wordt gebruikt door miljoenen organisaties die alle aspecten van identiteits-, toegangsbeheer en beveiliging omvatten. Microsoft Entra ID bevat meer dan een miljard gebruikersidentiteiten en helpt gebruikers zich aan te melden en veilig toegang te krijgen tot beide:

• Externe resources, zoals Microsoft 365, het Microsoft Entra-beheercentrum en duizenden andere SaaS-toepassingen (Software-as-a-Service).
• Interne resources, zoals toepassingen op het bedrijfsnetwerk en intranet van een organisatie, samen met cloud-toepassingen die door die organisatie zijn ontwikkeld.

Organisaties kunnen Microsoft Entra-id gebruiken als ze 'pure cloud' zijn of als een hybride implementatie als ze on-premises workloads hebben. Een hybride implementatie van Microsoft Entra ID kan deel uitmaken van een strategie voor een organisatie om de IT-assets naar de cloud te migreren of om bestaande on-premises infrastructuur naast nieuwe cloudservices te blijven integreren.

In het verleden hebben hybride organisaties Microsoft Entra ID gezien als uitbreiding van hun bestaande on-premises infrastructuur. In deze implementaties zijn het on-premises beheer van identiteitsbeheer, Windows Server Active Directory of andere interne adreslijstsystemen de besturingspunten en worden gebruikers en groepen gesynchroniseerd van deze systemen naar een cloudmap zoals Microsoft Entra-id. Zodra deze identiteiten zich in de cloud bevinden, kunnen ze beschikbaar worden gesteld voor Microsoft 365, Azure en andere toepassingen.

Naarmate organisaties meer van hun IT-infrastructuur samen met hun toepassingen naar de cloud verplaatsen, zijn velen op zoek naar de verbeterde beveiligings- en vereenvoudigde beheermogelijkheden van identiteitsbeheer als een service. De cloudfuncties van IDaaS in Microsoft Entra ID versnellen de overgang naar cloudbeheer door de oplossingen en mogelijkheden te bieden waarmee organisaties snel meer identiteitsbeheer kunnen aannemen en verplaatsen van traditionele on-premises systemen naar Microsoft Entra ID, terwijl ze bestaande en nieuwe toepassingen blijven ondersteunen.

In dit document wordt de strategie van Microsoft beschreven voor hybride IDaaS en wordt beschreven hoe organisaties Microsoft Entra ID voor hun bestaande toepassingen kunnen gebruiken.

De Microsoft Entra ID-benadering voor identiteitsbeheer in de cloud

Wanneer organisaties overstappen naar de cloud, hebben ze garanties nodig dat ze controle hebben over hun volledige omgeving: meer beveiliging en meer zichtbaarheid van activiteiten, ondersteund door automatisering en proactieve inzichten. Cloudbeheer bevat een beschrijving van hoe organisaties hun gebruikers, toepassingen, groepen en apparaten vanuit de cloud beheren.

In deze moderne wereld moeten organisaties effectief op schaal kunnen beheren vanwege de verspreiding van SaaS-toepassingen en omdat samenwerking en externe identiteiten steeds belangrijker worden. Het nieuwe risicolandschap van de cloud betekent dat een organisatie responsiever moet zijn. Een kwaadwillende actor die een cloudgebruiker compromitteert, kan invloed hebben op cloud- en on-premises toepassingen.

In het bijzonder moeten hybride organisaties taken kunnen delegeren en automatiseren die in het verleden handmatig door IT werden uitgevoerd. Voor het automatiseren van taken hebben ze API's en processen nodig die de levenscyclus van de verschillende identiteitsgerelateerde resources (gebruikers, groepen, toepassingen, apparaten) organiseren, zodat ze het dagelijkse beheer van deze resources kunnen delegeren aan meer personen buiten het kern-IT-personeel. Microsoft Entra ID voldoet aan deze vereisten via gebruikersaccountbeheer en systeemeigen verificatie voor gebruikers zonder dat on-premises identiteitsinfrastructuur is vereist. Het niet uitbouwen van een on-premises infrastructuur kan voordelen hebben voor organisaties die nieuwe gebruikerscommunity's hebben die niet afkomstig zijn uit hun on-premises directory (zoals zakenpartners) maar waarvan het toegangsbeheer essentieel is voor het bereiken van bedrijfsresultaten.

Bovendien is beheer niet compleet zonder governance. En governance is in deze nieuwe wereld een geïntegreerd onderdeel van het identiteitssysteem in plaats van iets extra's. Identiteitsgovernance biedt organisaties de mogelijkheid om de identiteits- en toegangslevenscyclus te beheren voor werknemers, zakenpartners en leveranciers, en services en toepassingen.

De integratie van identiteitsgovernance biedt organisaties mogelijkheden om eenvoudiger over te stappen op cloudbeheer, IT te laten schalen, nieuwe uitdagingen met gasten aan te pakken en diepere inzichten en automatisering te bieden dan wat klanten hadden met een on-premises infrastructuur. Governance in deze nieuwe wereld betekent de mogelijkheid voor een organisatie om transparantie, zichtbaarheid en juiste controle over de toegang tot resources binnen de organisatie te hebben. Met Microsoft Entra ID hebben beveiligingsactiviteiten en controleteams inzicht in wie --- heeft en wie moet hebben: toegang tot welke resources in de organisatie (op welke apparaten), wat deze gebruikers met die toegang doen en of de organisatie de juiste besturingselementen heeft en gebruikt om de toegang te verwijderen of te beperken overeenkomstig het bedrijf of regelgevingsbeleid.

Het nieuwe beheermodel biedt organisaties voordelen met zowel SaaS- als LOB-toepassingen (Line-Of-Business), omdat ze gemakkelijker toegang tot deze toepassingen kunnen beheren en beveiligen. Door toepassingen te integreren met Microsoft Entra ID, kunnen organisaties de toegang in zowel cloud- als on-premises identiteiten consistent gebruiken en beheren. Het beheer van de levenscyclus van toepassingen wordt geautomatiseerder en Microsoft Entra ID biedt uitgebreide inzichten in het gebruik van toepassingen die niet eenvoudig haalbaar waren in on-premises identiteitsbeheer. Via de Microsoft Entra-id, Microsoft 365-groepen en teams-selfservicefuncties kunnen organisaties eenvoudig groepen maken voor toegangsbeheer en samenwerking en gebruikers toevoegen aan of verwijderen uit de cloud om samenwerkings- en toegangsbeheervereisten mogelijk te maken.

Het selecteren van de juiste Microsoft Entra-mogelijkheden voor cloudbeheer is afhankelijk van de toepassingen die moeten worden gebruikt en hoe deze toepassingen worden geïntegreerd met Microsoft Entra ID. In de volgende secties vindt u een overzicht van de methoden voor met AD geïntegreerde toepassingen en toepassingen die gebruikmaken van federatieprotocollen (bijvoorbeeld SAML, OAuth of OpenID Connect).

Beheer in de cloud voor met AD geïntegreerde toepassingen

Microsoft Entra ID verbetert het beheer voor de on-premises Active Directory-geïntegreerde toepassingen van een organisatie via beveiligde externe toegang en voorwaardelijke toegang tot deze toepassingen. Daarnaast biedt Microsoft Entra ID ook accountlevenscyclusbeheer en referentiebeheer voor de bestaande AD-accounts van de gebruiker, waaronder:

• Veilige externe toegang en voorwaardelijke toegang voor on-premises toepassingen

Voor veel organisaties is de eerste stap bij het beheren van de toegang vanuit de cloud voor met on-premises AD geïntegreerde webtoepassingen en toepassingen op basis van een extern bureaublad het implementeren van de toepassingsproxy voor die toepassingen om veilige externe toegang te bieden.

Na een eenmalige aanmelding bij Microsoft Entra ID hebben gebruikers toegang tot zowel cloudtoepassingen als on-premises toepassingen via een externe URL of een interne toepassingsportal. Toepassingsproxy biedt bijvoorbeeld externe toegang en eenmalige aanmelding voor Extern bureaublad, SharePoint, evenals apps zoals Tableau en Qlik, en LOB-toepassingen (Line-Of-Business). Verder is het met het beleid voor voorwaardelijke toegang onder meer mogelijk gebruiksvoorwaarden weer te geven en ervoor te zorgen dat de gebruiker hiermee akkoord gaat voordat er toegang tot een toepassing wordt verkregen.

• Automatisch levenscyclusbeheer voor Active Directory-accounts

Met Identity Governance kunnen organisaties een balans vinden tussen productiviteit --- hoe snel kunnen personen toegang krijgen tot de resources die ze nodig hebben, bijvoorbeeld wanneer ze deel uit gaan maken van de organisatie? --- en beveiliging --- hoe moet hun toegang in de loop van de tijd worden aangepast, bijvoorbeeld als gevolg van wijzigingen in de werknemersstatus van een persoon? Beheer van identiteitslevenscycli vormt de basis voor identiteitsgovernance en voor effectieve governance op schaal moet de infrastructuur voor het identiteitslevenscyclusbeheer voor toepassingen worden gemoderniseerd.

Voor veel organisaties is de identiteitslevenscyclus voor werknemers gekoppeld aan de representatie van die gebruikers in een HCM-systeem (Human Capital Management). Voor organisaties die Workday gebruiken als hun HCM-systeem, kan Microsoft Entra ID ervoor zorgen dat gebruikersaccounts in AD automatisch worden ingericht en de inrichting ongedaan worden gemaakt voor werknemers in Workday. Dit leidt tot verbeterde gebruikersproductiviteit door automatisering van accounts waarvoor gebruikers in aanmerking komen, en beheert risico's door ervoor te zorgen dat toegang tot toepassingen automatisch wordt bijgewerkt wanneer een gebruiker een andere rol krijgt of de organisatie verlaat. Het implementatieplan voor gebruikersinrichting op basis van Workday is een stapsgewijze handleiding die organisaties begeleidt bij de implementatie van best practices van de oplossing Gebruikersinrichting van Workday naar Azure Active Directory in een proces van vijf stappen.

Microsoft Entra ID P1 of P2 bevat ook Microsoft Identity Manager, waarmee records uit andere on-premises HCM-systemen kunnen worden geïmporteerd, waaronder SAP, Oracle eBusiness en Oracle Mensen Soft.

De samenwerking tussen bedrijven vereist steeds meer toegang voor personen buiten uw organisatie. Met Microsoft Entra B2B-samenwerking kunnen organisaties hun toepassingen en services veilig delen met gastgebruikers en externe partners, terwijl ze de controle over hun eigen bedrijfsgegevens behouden.

Microsoft Entra ID kan indien nodig automatisch accounts maken in AD voor gastgebruikers , zodat zakelijke gasten toegang hebben tot on-premises AD-geïntegreerde toepassingen zonder een ander wachtwoord nodig te hebben. Organisaties kunnen meervoudig verificatiebeleid instellen voor gastgebruikers, zodat MFA-controles worden uitgevoerd tijdens verificatie van de toepassingsproxy. Bovendien zijn alle toegangsbeoordelingen die worden uitgevoerd voor B2B-cloudgebruikers van toepassing op on-premises gebruikers. Als de cloudgebruiker bijvoorbeeld wordt verwijderd via beleid voor levenscyclusbeheer, wordt de on-premises gebruiker ook verwijderd.

Referentiebeheer voor Active Directory-accounts

Met selfservice voor wachtwoordherstel in Microsoft Entra ID kunnen gebruikers die hun wachtwoorden vergeten zijn, opnieuw worden geverifieerd en hun wachtwoorden opnieuw instellen, met de gewijzigde wachtwoorden die naar on-premises Active Directory zijn geschreven. Het proces voor het opnieuw instellen van wachtwoorden kan ook gebruikmaken van het on-premises Active Directory-wachtwoordbeleid. Wanneer een gebruiker zijn/haar wachtwoord opnieuw instelt, wordt het gecontroleerd om ervoor te zorgen dat het voldoet aan het on-premises Active Directory-beleid voordat het wordt doorgevoerd in die directory. In het implementatieplan voor selfservice-wachtwoordherstel worden best practices beschreven voor het implementeren van selfservice-wachtwoordherstel voor gebruikers via web- en Windows-geïntegreerde ervaringen.

Ten slotte kunnen organisaties die gebruikers toestaan hun wachtwoorden in AD te wijzigen, ad zo worden geconfigureerd dat hetzelfde wachtwoordbeleid wordt gebruikt als de organisatie in Microsoft Entra-id via de functie Wachtwoordbeveiliging van Microsoft Entra, momenteel in openbare preview.

Wanneer een organisatie klaar is om een met AD geïntegreerde toepassing naar de cloud te verplaatsen door het besturingssysteem dat als host fungeert voor de toepassing te verplaatsen naar Azure, biedt Microsoft Entra Domain Services AD-compatibele domeinservices (zoals domeindeelname, groepsbeleid, LDAP en Kerberos/NTLM-verificatie). Microsoft Entra Domain Services kan worden geïntegreerd met de bestaande Microsoft Entra-tenant van de organisatie, zodat gebruikers zich kunnen aanmelden met hun bedrijfsreferenties. Daarnaast kunnen bestaande groepen en gebruikersaccounts worden gebruikt om de toegang tot resources te beveiligen voor een soepelere 'lift-and-shift' van on-premises resources naar Azure-infrastructuurservices.

Cloudbeheer voor op on-premises federatie gebaseerde toepassingen

Voor een organisatie die al gebruikmaakt van een on-premises id-provider, maakt het verplaatsen van toepassingen naar Microsoft Entra ID veiligere toegang en een eenvoudigere beheerervaring voor federatiebeheer mogelijk. Met Microsoft Entra ID kunt u gedetailleerde besturingselementen voor toegang per toepassing configureren, waaronder Meervoudige verificatie van Microsoft Entra, met behulp van voorwaardelijke toegang van Microsoft Entra. Microsoft Entra ID biedt ondersteuning voor meer mogelijkheden, waaronder toepassingsspecifieke certificaten voor tokenondertekening en configureerbare vervaldatums voor certificaten. Met deze mogelijkheden, hulpprogramma's en richtlijnen kunnen organisaties hun on-premises id-providers buiten gebruik stellen. Microsoft's eigen IT heeft bijvoorbeeld 17.987 toepassingen van de interne Active Directory Federation Services (AD FS) naar Microsoft Entra ID verplaatst.

Als u wilt beginnen met het migreren van federatieve toepassingen naar Microsoft Entra ID als id-provider, raadpleegt u https://aka.ms/migrateapps de volgende koppelingen naar:

• Het witboek Uw toepassingen migreren naar Microsoft Entra ID, dat de voordelen van de migratie biedt en beschrijft hoe u migratie plant in vier duidelijk beschreven fasen: detectie, classificatie, migratie en doorlopend beheer. U wordt begeleid bij het nadenken over het proces en het opsplitsen van uw project in eenvoudig te gebruiken stukken. In het hele document vindt u koppelingen naar belangrijke bronnen die u gedurende het traject helpen.

• De oplossingshandleiding voor het migreren van toepassingsverificatie van Active Directory Federation Services naar Microsoft Entra ID verkent in meer detail dezelfde vier fasen van het plannen en uitvoeren van een toepassingsmigratieproject. In deze handleiding leert u hoe u deze fasen toepast op het specifieke doel van het verplaatsen van een toepassing van Active Directory Federation Services (AD FS) naar Microsoft Entra ID.

• Het Script voor migratiegereedheid van Active Directory Federation Services kan worden uitgevoerd op bestaande on-premises AD FS-servers (Active Directory Federation Services) om de gereedheid van toepassingen voor migratie naar Microsoft Entra ID te bepalen.

Doorlopend toegangsbeheer voor cloud- en on-premises toepassingen

Organisaties hebben een schaalbaar proces voor toegangsbeheer nodig. Gebruikers blijven toegangsrechten verzamelen en hebben uiteindelijk meer dan wat er in eerste instantie voor hen is ingericht. Daarnaast moeten organisaties efficiënt kunnen schalen om doorlopend toegangsbeleid en controles te kunnen ontwikkelen en afdwingen.

Normaal gesproken worden goedkeuringsbeslissingen met betrekking tot de toegang door de IT-afdeling overgelaten aan besluitvormers van het bedrijf. Daarnaast kan de IT-afdeling de gebruikers hierbij betrekken. Gebruikers die toegang hebben tot vertrouwelijke klantgegevens in de marketingtoepassing van een bedrijf in Europa moeten bijvoorbeeld op de hoogte zijn van het bedrijfsbeleid. Gastgebruikers zijn mogelijk ook niet op de hoogte van de verwerkingsvereisten voor gegevens in een organisatie waarvoor ze zijn uitgenodigd.

Organisaties kunnen het levenscyclusproces voor toegang automatiseren via technologieën zoals dynamische groepen, gekoppeld aan gebruikersinrichting voor SaaS-toepassingen of toepassingen die zijn geïntegreerd met behulp van de standaard System for Cross-Domain Identity Management (SCIM). Organisaties kunnen ook bepalen welke gastgebruikers toegang hebben tot on-premises toepassingen. Deze toegangsrechten kunnen vervolgens regelmatig worden gecontroleerd met behulp van terugkerende Microsoft Entra-toegangsbeoordelingen.

Toekomstige richtingen

In hybride omgevingen is de strategie van Microsoft om implementaties mogelijk te maken waarbij de cloud het besturingsvlak voor identiteit is, en on-premises directory's en andere identiteitssystemen, zoals Active Directory en andere on-premises toepassingen, het doel zijn voor het inrichten van gebruikers met toegang. Deze strategie garandeert blijvend de rechten, identiteiten en toegang in die toepassingen en workloads die ervan afhankelijk zijn. In dit eindstadium kunnen organisaties de productiviteit van eindgebruikers geheel aansturen vanuit de cloud.

Volgende stappen

Zie de Microsoft Entra-implementatieplannen voor meer informatie over hoe u aan de slag kunt gaan met dit traject. Deze plannen bieden end-to-end richtlijnen voor het implementeren van Microsoft Entra-mogelijkheden. Elk plan legt de bedrijfswaarde, planningsoverwegingen, ontwerp en operationele procedures uit die nodig zijn om algemene Microsoft Entra-mogelijkheden te implementeren. Microsoft werkt de implementatieplannen voortdurend bij met best practices die zijn geleerd van klantimplementaties en andere feedback wanneer we nieuwe mogelijkheden toevoegen voor het beheren vanuit de cloud met Microsoft Entra ID.