Cztery kroki do silnej podstawy tożsamości za pomocą identyfikatora Entra firmy Microsoft
Zarządzanie dostępem do aplikacji i danych nie może już polegać na tradycyjnych strategiach granic zabezpieczeń sieci, takich jak sieci obwodowe i zapory z powodu szybkiego przenoszenia aplikacji do chmury. Teraz organizacje muszą ufać swojemu rozwiązaniu tożsamości, aby kontrolować, kto i co ma dostęp do aplikacji i danych organizacji. Więcej organizacji umożliwia pracownikom przenoszenie własnych urządzeń do pracy i używanie ich urządzeń z dowolnego miejsca, z którego mogą łączyć się z Internetem. Zapewnienie, że te urządzenia są zgodne i bezpieczne, stało się ważnym zagadnieniem w rozwiązaniu do obsługi tożsamości, które organizacja wybierze do zaimplementowania. W dzisiejszym cyfrowym miejscu pracy tożsamość jest podstawową płaszczyzną sterowania każdej organizacji przechodzącej do chmury.
W przypadku wdrażania rozwiązania tożsamości hybrydowej firmy Microsoft Entra organizacje uzyskują dostęp do funkcji w warstwie Premium, które umożliwiają automatyzację, delegowanie, samoobsługę i logowanie jednokrotne. Dzięki temu pracownicy mogą uzyskiwać dostęp do zasobów firmy niezależnie od tego, gdzie muszą wykonywać swoją pracę, umożliwiając zespołom IT zarządzanie tym dostępem i zapewnienie, że odpowiednie osoby mają odpowiedni dostęp do odpowiednich zasobów w odpowiednim czasie, aby zapewnić bezpieczną produktywność.
Na podstawie naszych wiedzy ta lista kontrolna najlepszych rozwiązań ułatwia szybkie wdrażanie zalecanych akcji w celu utworzenia silnej podstawy tożsamości w organizacji:
- łatwe Połączenie do aplikacji
- Automatyczne ustanawianie jednej tożsamości dla każdego użytkownika
- Bezpieczne zwiększanie możliwości użytkowników
- Operacjonalizacja szczegółowych informacji
Krok 1. Łatwe Połączenie do aplikacji
Łącząc aplikacje za pomocą identyfikatora Entra firmy Microsoft, możesz zwiększyć produktywność i bezpieczeństwo użytkowników końcowych, włączając logowanie jednokrotne (SSO) i wykonując automatyczną aprowizację użytkowników. Zarządzając aplikacjami w jednym miejscu, identyfikator Entra firmy Microsoft, można zminimalizować nakład pracy administracyjnej i uzyskać pojedynczy punkt kontroli dla zasad zabezpieczeń i zgodności.
W tej sekcji opisano opcje zarządzania dostępem użytkowników do aplikacji, włączania bezpiecznego dostępu zdalnego do aplikacji wewnętrznych oraz korzyści z migrowania aplikacji do identyfikatora Entra firmy Microsoft.
Bezproblemowe udostępnianie aplikacji użytkownikom
Identyfikator Entra firmy Microsoft umożliwia administratorom dodawanie aplikacji do galerii aplikacji Microsoft Entra w centrum administracyjnym firmy Microsoft Entra. Dodawanie aplikacji do galerii aplikacji dla przedsiębiorstw ułatwia konfigurowanie aplikacji w celu używania identyfikatora Entra firmy Microsoft jako dostawcy tożsamości. Umożliwia również zarządzanie dostępem użytkowników do aplikacji przy użyciu zasad dostępu warunkowego i konfigurowanie logowania jednokrotnego do aplikacji, dzięki czemu użytkownicy nie muszą wielokrotnie wprowadzać swoich haseł i automatycznie logować się do aplikacji lokalnych i opartych na chmurze.
Po zintegrowaniu aplikacji z galerią Microsoft Entra użytkownicy mogą zobaczyć przypisane do nich aplikacje i wyszukiwać i żądać innych aplikacji zgodnie z potrzebami. Identyfikator Entra firmy Microsoft udostępnia kilka metod uzyskiwania dostępu do aplikacji przez użytkowników:
- Portal Moje aplikacje
- Narzędzie uruchamiania aplikacji Microsoft 365
- Bezpośrednie logowanie do aplikacji federacyjnych
- Linki logowania bezpośredniego
Aby dowiedzieć się więcej o dostępie użytkowników do aplikacji, zobacz Krok 3.
Migrowanie aplikacji z usług Active Directory Federation Services do identyfikatora Entra firmy Microsoft
Migrowanie konfiguracji logowania jednokrotnego z usług Active Directory Federation Services (ADFS) do usługi Microsoft Entra ID umożliwia dodatkowe możliwości zabezpieczeń, bardziej spójne zarządzanie i współpracę. Aby uzyskać optymalne wyniki, zalecamy przeprowadzenie migracji aplikacji z usług AD FS do identyfikatora Entra firmy Microsoft. Wprowadzenie uwierzytelniania i autoryzacji aplikacji do identyfikatora Entra firmy Microsoft zapewnia następujące korzyści:
- Zarządzanie kosztami
- Zarządzanie ryzykiem
- Zwiększenie produktywności
- Rozwiązywanie problemów ze zgodnością i ładem
Włączanie bezpiecznego dostępu zdalnego do aplikacji
Serwer proxy aplikacji Firmy Microsoft Entra udostępnia organizacjom proste rozwiązanie do publikowania aplikacji lokalnych w chmurze dla użytkowników zdalnych, którzy potrzebują dostępu do aplikacji wewnętrznych w bezpieczny sposób. Po zalogowaniu jednokrotnym do usługi Microsoft Entra ID użytkownicy mogą uzyskiwać dostęp do aplikacji w chmurze i lokalnych za pośrednictwem zewnętrznych adresów URL lub portalu Moje aplikacje.
Serwer proxy aplikacji Firmy Microsoft Entra oferuje następujące korzyści:
- Rozszerzanie identyfikatora entra firmy Microsoft na zasoby lokalne
- Zabezpieczenia i ochrona w skali chmury
- Funkcje, takie jak dostęp warunkowy i uwierzytelnianie wieloskładnikowe, które można łatwo włączyć
- W sieci obwodowej nie są potrzebne żadne składniki, takie jak sieć VPN i tradycyjne rozwiązania zwrotnego serwera proxy
- Brak wymaganych połączeń przychodzących
- Logowanie jednokrotne (SSO) między urządzeniami, zasobami i aplikacjami w chmurze i lokalnie
- Umożliwia użytkownikom końcowym wydajną pracę w dowolnym i dowolnym miejscu
Odnajdywanie niezatwierdzonych zasobów IT za pomocą aplikacji Microsoft Defender dla Chmury
We współczesnych przedsiębiorstwach działy IT często nie wiedzą o wszystkich aplikacjach w chmurze, które są używane przez użytkowników do wykonywania swojej pracy. Gdy administratorzy IT są proszeni o liczbę aplikacji w chmurze, z których korzystają pracownicy, średnio mówią 30 lub 40. W rzeczywistości średnia wynosi ponad 1000 oddzielnych aplikacji używanych przez pracowników w organizacji. 80% pracowników korzysta z niezgodnych aplikacji, które nikt nie dokonał przeglądu i może nie być zgodne z zasadami zabezpieczeń i zgodności.
Microsoft Defender dla Chmury Apps może pomóc w zidentyfikowaniu przydatnych aplikacji, które są popularne wśród użytkowników, którzy mogą uznać za sankcje i zintegrować je z identyfikatorem Entra firmy Microsoft, dzięki czemu użytkownicy korzystają z funkcji, takich jak logowanie jednokrotne i dostęp warunkowy.
"Defender dla Chmury Apps pomaga nam zapewnić, że nasi ludzie prawidłowo korzystają z naszych aplikacji w chmurze i SaaS, w sposób, który obsługuje podstawowe zasady zabezpieczeń, które pomagają chronić platformę Accenture". --- John Blasi, dyrektor zarządzający, bezpieczeństwo informacji, accenture
Oprócz wykrywania niezatwierdzonych zasobów IT aplikacje Microsoft Defender dla Chmury mogą również określać poziom ryzyka aplikacji, zapobiegać nieautoryzowanemu dostępowi do danych firmowych, możliwym wyciekom danych i innym zagrożeniom bezpieczeństwa związanym z aplikacjami.
Krok 2. Automatyczne ustanawianie jednej tożsamości dla każdego użytkownika
Łączenie katalogów lokalnych i opartych na chmurze w rozwiązaniu tożsamości hybrydowej firmy Microsoft Entra umożliwia ponowne użycie istniejących lokalna usługa Active Directory inwestycji poprzez aprowizowanie istniejących tożsamości w chmurze. Rozwiązanie synchronizuje tożsamości lokalne z identyfikatorem Entra firmy Microsoft, podczas gdy it utrzymuje lokalna usługa Active Directory uruchomione z istniejącymi rozwiązaniami ładu jako podstawowym źródłem prawdy dla tożsamości. Rozwiązanie tożsamości hybrydowej firmy Microsoft Entra firmy Microsoft obejmuje możliwości lokalne i oparte na chmurze, tworząc wspólną tożsamość użytkownika na potrzeby uwierzytelniania i autoryzacji dla wszystkich zasobów niezależnie od ich lokalizacji.
Integrowanie katalogów lokalnych z identyfikatorem Entra firmy Microsoft w celu zwiększenia produktywności użytkowników. Uniemożliwiaj użytkownikom korzystanie z wielu kont w aplikacjach i usługach, zapewniając wspólną tożsamość dostępu zarówno do zasobów w chmurze, jak i lokalnych. Korzystanie z wielu kont jest punktem bólu zarówno dla użytkowników końcowych, jak i it. Z punktu widzenia użytkownika końcowego posiadanie wielu kont oznacza konieczność zapamiętania wielu haseł. Aby tego uniknąć, wielu użytkowników używa tego samego hasła dla każdego konta, co jest złe z punktu widzenia zabezpieczeń. Z perspektywy IT ponowne użycie często prowadzi do większej liczby resetowania haseł i kosztów pomocy technicznej wraz z skargami użytkowników końcowych.
Microsoft Entra Połączenie to narzędzie używane do synchronizowania tożsamości lokalnych z identyfikatorem Entra firmy Microsoft, które następnie może służyć do uzyskiwania dostępu do zintegrowanych aplikacji. Gdy tożsamości znajdują się w identyfikatorze Entra firmy Microsoft, można je aprowizować w aplikacjach SaaS, takich jak Salesforce lub Concur.
W tej sekcji wymieniono zalecenia dotyczące zapewnienia wysokiej dostępności, nowoczesnego uwierzytelniania dla chmury i zmniejszenia zużycia zasobów lokalnych.
Uwaga
Jeśli chcesz dowiedzieć się więcej o usłudze Microsoft Entra Połączenie, zobacz Co to jest microsoft Entra Połączenie Sync?
Konfigurowanie serwera przejściowego dla usługi Microsoft Entra Połączenie i aktualizowanie go
Firma Microsoft Entra Połączenie odgrywa kluczową rolę w procesie aprowizacji. Jeśli serwer z systemem Microsoft Entra Połączenie przejdzie w tryb offline z jakiegokolwiek powodu, zmiany w środowisku lokalnym nie zostaną zaktualizowane w chmurze i spowodują problemy z dostępem do użytkowników. Ważne jest, aby zdefiniować strategię trybu failover, która umożliwia administratorom szybkie wznowienie synchronizacji po przejściu serwera Microsoft Entra Połączenie w tryb offline.
Aby zapewnić wysoką dostępność w przypadku, gdy podstawowy serwer Microsoft Entra Połączenie przechodzi w tryb offline, zaleca się wdrożenie oddzielnego serwera przejściowego dla usługi Microsoft Entra Połączenie. W przypadku serwera w trybie przejściowym można wprowadzać zmiany w konfiguracji i wyświetlać ich podgląd przed uaktywnieniem serwera. Możliwe jest również uruchamianie pełnego importu i pełnej synchronizacji, aby przed wprowadzeniem zmian do środowiska produkcyjnego sprawdzić, czy wszystkie one są zgodne z oczekiwaniami. Wdrożenie serwera przejściowego umożliwia administratorowi "podwyższenie poziomu" do środowiska produkcyjnego za pomocą prostego przełącznika konfiguracji. Posiadanie serwera rezerwowego skonfigurowanego w trybie przejściowym umożliwia również wprowadzenie nowego serwera w przypadku likwidacji starego serwera.
Napiwek
Microsoft Entra Połączenie jest regularnie aktualizowany. W związku z tym zdecydowanie zaleca się utrzymywanie bieżącego serwera przejściowego w celu korzystania z ulepszeń wydajności, poprawek błędów i nowych możliwości oferowanych przez każdą nową wersję.
Włączanie uwierzytelniania w chmurze
Organizacje z lokalna usługa Active Directory powinny rozszerzyć katalog na identyfikator Entra firmy Microsoft przy użyciu Połączenie firmy Microsoft i skonfigurować odpowiednią metodę uwierzytelniania. Wybranie właściwej metody uwierzytelniania dla organizacji jest pierwszym krokiem w podróży do przenoszenia aplikacji do chmury. Jest to krytyczny składnik, ponieważ kontroluje dostęp do wszystkich danych i zasobów w chmurze.
Najprostszą i zalecaną metodą włączenia uwierzytelniania w chmurze dla obiektów katalogu lokalnego w usłudze Microsoft Entra ID jest synchronizacja skrótów haseł (PHS). Alternatywnie niektóre organizacje mogą rozważyć włączenie uwierzytelniania przekazywanego (PTA).
Niezależnie od tego, czy wybrano frazę PHS, czy PTA, nie zapomnij rozważyć logowania jednokrotnego , aby umożliwić użytkownikom dostęp do aplikacji bez ciągłego wprowadzania nazwy użytkownika i hasła. Logowanie jednokrotne można osiągnąć za pomocą urządzeń dołączonych hybrydowo do firmy Microsoft lub urządzeń dołączonych do firmy Microsoft Entra przy zachowaniu dostępu do zasobów lokalnych. W przypadku urządzeń, które nie mogą być przyłączone do firmy Microsoft Entra, bezproblemowe logowanie jednokrotne (Bezproblemowe logowanie jednokrotne) pomaga zapewnić te możliwości. Bez logowania jednokrotnego użytkownicy muszą pamiętać hasła specyficzne dla aplikacji i logować się do każdej aplikacji. Podobnie pracownicy IT muszą tworzyć i aktualizować konta użytkowników dla każdej aplikacji, takiej jak Microsoft 365, Box i Salesforce. Użytkownicy muszą pamiętać swoje hasła, a także poświęcić czas na zalogowanie się do każdej aplikacji. Zapewnienie ustandaryzowanego mechanizmu logowania jednokrotnego dla całego przedsiębiorstwa ma kluczowe znaczenie dla najlepszego środowiska użytkownika, zmniejszenia ryzyka, możliwości raportowania i ładu.
W przypadku organizacji korzystających już z usług AD FS lub innego lokalnego dostawcy uwierzytelniania przejście do identyfikatora Entra firmy Microsoft jako dostawcy tożsamości może zmniejszyć złożoność i zwiększyć dostępność. Jeśli nie masz konkretnych przypadków użycia federacji, zalecamy migrację z uwierzytelniania federacyjnego do phS lub PTA. Dzięki temu możesz cieszyć się korzyściami z mniejszego zużycia środowiska lokalnego oraz elastyczności oferowanych przez chmurę z ulepszonymi środowiskami użytkownika. Aby uzyskać więcej informacji, zobacz Migrowanie z federacji do synchronizacji skrótów haseł dla identyfikatora Entra firmy Microsoft.
Włączanie automatycznego anulowania aprowizacji kont
Włączenie automatycznej aprowizacji i anulowania aprowizacji w aplikacjach jest najlepszą strategią zarządzania cyklem życia tożsamości w wielu systemach. Usługa Microsoft Entra ID obsługuje automatyczne aprowizowanie i anulowanie aprowizacji kont użytkowników w różnych popularnych aplikacjach SaaS, takich jak ServiceNow i Salesforce, oraz innych, które implementują protokół SCIM 2.0. W przeciwieństwie do tradycyjnych rozwiązań aprowizacji, które wymagają niestandardowego kodu lub ręcznego przekazywania plików CSV, usługa aprowizacji jest hostowana w chmurze i zawiera wstępnie zintegrowane łączniki, które można skonfigurować i zarządzać przy użyciu centrum administracyjnego firmy Microsoft Entra. Główną zaletą automatycznego anulowania aprowizacji jest to, że pomaga ona zabezpieczyć organizację, natychmiast usuwając tożsamości użytkowników z kluczowych aplikacji SaaS po opuszczeniu organizacji.
Aby dowiedzieć się więcej na temat automatycznej aprowizacji konta użytkownika i sposobu jej działania, zobacz Automatyzowanie aprowizacji użytkowników i anulowanie aprowizacji aplikacji SaaS przy użyciu identyfikatora Entra firmy Microsoft.
Krok 3. Bezpieczne zwiększanie możliwości użytkowników
W dzisiejszym cyfrowym miejscu pracy ważne jest zrównoważenie bezpieczeństwa z wydajnością. Jednak użytkownicy końcowi często naciskają na środki zabezpieczeń, które spowalniają produktywność i dostęp do aplikacji. Aby rozwiązać ten problem, identyfikator Entra firmy Microsoft udostępnia funkcje samoobsługowe, które umożliwiają użytkownikom zachowanie produktywności przy jednoczesnym zminimalizowaniu obciążeń administracyjnych.
W tej sekcji wymieniono zalecenia dotyczące usuwania problemów z organizacją, umożliwiając użytkownikom zachowanie czujności.
Włączanie samoobsługowego resetowania haseł dla wszystkich użytkowników
Samoobsługowe resetowanie haseł (SSPR) platformy Azure oferuje administratorom IT proste środki umożliwiające użytkownikom resetowanie i odblokowywanie haseł lub kont bez interwencji administratora. System obejmuje szczegółowe raporty pozwalające śledzić, kiedy użytkownicy korzystają z systemu, oraz powiadomienia ostrzegające o jego nieprawidłowym użyciu lub nadużyciach związanych z zabezpieczeniami.
Domyślnie identyfikator Entra firmy Microsoft odblokowuje konta podczas wykonywania resetowania hasła. Jeśli jednak włączysz lokalną integrację z firmą Microsoft Entra Połączenie, możesz również oddzielić te dwie operacje, co umożliwia użytkownikom odblokowanie konta bez konieczności resetowania hasła.
Upewnij się, że wszyscy użytkownicy są zarejestrowani na potrzeby uwierzytelniania wieloskładnikowego i samoobsługowego resetowania hasła
Platforma Azure udostępnia raporty używane przez organizacje w celu zapewnienia, że użytkownicy są zarejestrowani na potrzeby uwierzytelniania wieloskładnikowego i samoobsługowego resetowania hasła. Użytkownicy, którzy nie zarejestrowali się, mogą być wykształceni w procesie.
Raport logowania uwierzytelniania wieloskładnikowego zawiera informacje o użyciu uwierzytelniania wieloskładnikowego i zapewnia wgląd w sposób działania uwierzytelniania wieloskładnikowego w organizacji. Posiadanie dostępu do działań związanych z logowaniem (oraz inspekcji i wykrywania ryzyka) dla identyfikatora Entra firmy Microsoft ma kluczowe znaczenie dla rozwiązywania problemów, analizy użycia i badań kryminalistycznych.
Podobnie raport samoobsługowego zarządzania hasłami może służyć do określenia, kto (lub nie) zarejestrował się w funkcji samoobsługowego resetowania hasła.
Samoobsługowe zarządzanie aplikacjami
Zanim użytkownicy będą mogli samodzielnie odnajdywać aplikacje z panelu dostępu, musisz włączyć dostęp do aplikacji samoobsługowej do wszystkich aplikacji, które mają zezwalać użytkownikom na samodzielne odnajdywanie i żądanie dostępu do nich. Żądanie może opcjonalnie wymagać zatwierdzenia przed udzieleniem dostępu.
Samoobsługowe zarządzanie grupami
Przypisywanie użytkowników do aplikacji jest najlepiej mapowane podczas korzystania z grup, ponieważ zapewniają one dużą elastyczność i możliwość zarządzania na dużą skalę:
- Oparte na atrybutach przy użyciu członkostwa w grupie dynamicznej
- Delegowanie do właścicieli aplikacji
Identyfikator Entra firmy Microsoft umożliwia zarządzanie dostępem do zasobów przy użyciu grup zabezpieczeń i grup platformy Microsoft 365. Te grupy są zarządzane przez właściciela grupy, który może zatwierdzać lub odrzucać żądania członkostwa i delegować kontrolę nad członkostwem w grupie. Funkcja samoobsługowego zarządzania grupami pozwala zaoszczędzić czas, zezwalając właścicielom grup, którzy nie mają przypisanej roli administracyjnej do tworzenia grup i zarządzania nimi bez konieczności polegania na administratorach w celu obsługi żądań.
Krok 4. Operacjonalizacja szczegółowych informacji
Inspekcja i rejestrowanie zdarzeń związanych z zabezpieczeniami i powiązanych alertów są istotnymi składnikami wydajnej strategii w celu zapewnienia, że użytkownicy pozostaną produktywni, a Organizacja jest bezpieczna. Dzienniki zabezpieczeń i raporty mogą pomóc w odpowiedzi na pytania, takie jak:
- Czy używasz tego, za co płacisz?
- Czy w mojej dzierżawie występuje coś podejrzanego lub złośliwego?
- KtoTo miało to wpływ podczas zdarzenia zabezpieczeń?
Dzienniki zabezpieczeń i raporty zapewniają elektroniczny rejestr działań i ułatwiają wykrywanie wzorców, które mogą wskazywać na próby lub pomyślne ataki. Inspekcja umożliwia monitorowanie aktywności użytkowników, dokumentowanie zgodności z przepisami, przeprowadzanie analizy śledczej i nie tylko. Alerty zapewniają powiadomienia o zdarzeniach zabezpieczeń.
Przypisywanie najmniej uprzywilejowanych ról administratora dla operacji
Jak myślisz o podejściu do operacji, należy wziąć pod uwagę kilka poziomów administracji. Pierwszy poziom stawia obciążenie administracyjne Administracja istratorami tożsamości hybrydowej. Zawsze używanie roli Administracja istratora tożsamości hybrydowej może być odpowiednie dla mniejszych firm. Jednak w przypadku większych organizacji z personelem pomocy technicznej i administratorami odpowiedzialnymi za określone zadania przypisywanie roli tożsamości hybrydowej Administracja istrator może stanowić zagrożenie bezpieczeństwa, ponieważ zapewnia tym osobom możliwość zarządzania zadaniami, które wykraczają poza ich możliwości.
W takim przypadku należy rozważyć następny poziom administracji. Za pomocą identyfikatora Entra firmy Microsoft można wyznaczyć użytkowników końcowych jako "ograniczonych administratorów", którzy mogą zarządzać zadaniami w rolach mniej uprzywilejowanych. Możesz na przykład przypisać personelowi pomocy technicznej rolę czytelnika zabezpieczeń, aby zapewnić im możliwość zarządzania funkcjami związanymi z zabezpieczeniami z dostępem tylko do odczytu. A może warto przypisać rolę administratora uwierzytelniania osobom, aby umożliwić im resetowanie poświadczeń innych niż hasło lub odczytywanie i konfigurowanie usługi Azure Service Health.
Aby dowiedzieć się więcej, zobacz uprawnienia roli Administracja istratora w identyfikatorze Entra firmy Microsoft.
Monitorowanie składników hybrydowych (Microsoft Entra Połączenie Sync, AD FS) przy użyciu usługi Microsoft Entra Połączenie Health
Microsoft Entra Połączenie i AD FS są krytycznymi składnikami, które mogą potencjalnie przerwać zarządzanie cyklem życia i uwierzytelnianie, a ostatecznie prowadzić do awarii. W związku z tym należy wdrożyć usługę Microsoft Entra Połączenie Health na potrzeby monitorowania i raportowania tych składników.
Aby dowiedzieć się więcej, zapoznaj się z tematem Monitorowanie usług AD FS przy użyciu usługi Microsoft Entra Połączenie Health.
Używanie usługi Azure Monitor do zbierania dzienników danych na potrzeby analizy
Usługa Azure Monitor to ujednolicony portal monitorowania dla wszystkich dzienników firmy Microsoft Entra, który zapewnia szczegółowe informacje, zaawansowaną analizę i inteligentne uczenie maszynowe. Usługa Azure Monitor umożliwia korzystanie z metryk i dzienników w portalu oraz za pośrednictwem interfejsów API w celu uzyskania większego wglądu w stan i wydajność zasobów. Umożliwia to korzystanie z jednego okienka szkła w portalu przy jednoczesnym włączeniu szerokiej gamy integracji produktów za pośrednictwem interfejsów API i opcji eksportu danych, które obsługują tradycyjne systemy SIEM innych firm. Usługa Azure Monitor umożliwia również konfigurowanie reguł alertów w celu otrzymywania powiadomień lub wykonywania automatycznych akcji dotyczących problemów wpływających na zasoby.
Tworzenie niestandardowych pulpitów nawigacyjnych dla kierownictwa i codziennego
Organizacje, które nie mają rozwiązania SIEM, mogą używać skoroszytów usługi Azure Monitor dla identyfikatora Entra firmy Microsoft. Integracja zawiera wstępnie utworzone skoroszyty i szablony, które ułatwiają zrozumienie sposobu wdrażania funkcji firmy Microsoft Entra i korzystania z nich, co pozwala uzyskać wgląd we wszystkie działania w katalogu. Możesz również utworzyć własne skoroszyty i udostępnić zespołowi liderów raporty dotyczące codziennych działań. Skoroszyty to doskonały sposób monitorowania firmy i błyskawicznego wyświetlenia wszystkich najważniejszych metryk.
Informacje o sterownikach połączeń pomocy technicznej
Podczas implementowania rozwiązania tożsamości hybrydowej zgodnie z opisem w tym artykule należy ostatecznie zauważyć zmniejszenie liczby zgłoszeń do pomocy technicznej. Typowe problemy, takie jak zapomniane hasła i blokady kont, są ograniczane przez zaimplementowanie samoobsługowego resetowania haseł platformy Azure, a jednocześnie włączenie samoobsługowego dostępu do aplikacji umożliwia użytkownikom samodzielne odnajdywanie i żądanie dostępu do aplikacji bez polegania na pracownikach IT.
Jeśli nie obserwujesz zmniejszenia liczby zgłoszeń do pomocy technicznej, zalecamy przeanalizowanie sterowników połączeń pomocy technicznej w celu potwierdzenia, czy samoobsługowy dostęp do aplikacji został poprawnie skonfigurowany lub czy istnieją inne nowe problemy, które można systematycznie rozwiązać.
"W naszej cyfrowej transformacji potrzebowaliśmy niezawodnego dostawcy zarządzania tożsamościami i dostępem, aby ułatwić bezproblemową, ale bezpieczną integrację między nami, partnerami i dostawcami usług w chmurze w celu zapewnienia efektywnego ekosystemu; Microsoft Entra ID to najlepsza opcja oferująca nam potrzebne możliwości i widoczność, które umożliwiły nam wykrywanie zagrożeń i reagowanie na nie. --- Yazan Almasri, globalny dyrektor ds. zabezpieczeń informacji, Aramex
Monitorowanie użycia aplikacji w celu uzyskiwania szczegółowych informacji
Oprócz odnajdywania niezatwierdzonych zasobów IT monitorowanie użycia aplikacji w całej organizacji przy użyciu usługi Microsoft Defender dla Chmury Apps może pomóc organizacji w pełnym wykorzystaniu obietnicy aplikacji w chmurze. Może to pomóc w kontrolowaniu zasobów dzięki lepszemu wglądowi w działania i zwiększaniu ochrony krytycznych danych w aplikacjach w chmurze. Monitorowanie użycia aplikacji w organizacji przy użyciu usługi Defender dla Chmury Apps może pomóc w udzieleniu odpowiedzi na następujące pytania:
- Jakie niezaakceptowane aplikacje są używane przez pracowników do przechowywania danych?
- Gdzie i kiedy poufne dane są przechowywane w chmurze?
- KtoTo uzyskuje dostęp do poufnych danych w chmurze?
"Dzięki Defender dla Chmury Apps możemy szybko wykryć anomalie i podjąć działania". --- Eric LePenske, starszy menedżer, bezpieczeństwo informacji, akcent
Podsumowanie
Istnieje wiele aspektów implementacji rozwiązania tożsamości hybrydowej, ale ta czteroetapowa lista kontrolna ułatwia szybkie osiągnięcie infrastruktury tożsamości, która umożliwia użytkownikom większą produktywność i bezpieczeństwo.
- łatwe Połączenie do aplikacji
- Automatyczne ustanawianie jednej tożsamości dla każdego użytkownika
- Bezpieczne zwiększanie możliwości użytkowników
- Operacjonalizacja szczegółowych informacji
Mamy nadzieję, że ten dokument jest przydatnym planem utworzenia silnej podstawy tożsamości dla Twojej organizacji.
Lista kontrolna tożsamości
Zalecamy wydrukowanie poniższej listy kontrolnej w celu uzyskania informacji podczas rozpoczynania podróży do bardziej solidnej podstawy tożsamości w organizacji.
Dzisiaj
| Gotowe? | Produkt |
|---|---|
| Pilotażowe samoobsługowe resetowanie hasła (SSPR) dla grupy | |
| Monitorowanie składników hybrydowych przy użyciu usługi Microsoft Entra Połączenie Health | |
| Przypisywanie ról administratora o najniższych uprawnieniach do operacji | |
| Odnajdywanie niezatwierdzonych zasobów IT za pomocą aplikacji Microsoft Defender dla Chmury | |
| Używanie usługi Azure Monitor do zbierania dzienników danych na potrzeby analizy |
Następne dwa tygodnie
| Gotowe? | Produkt |
|---|---|
| Udostępnianie aplikacji użytkownikom | |
| Pilotaż aprowizacji firmy Microsoft dla wybranej aplikacji SaaS | |
| Konfigurowanie serwera przejściowego dla usługi Microsoft Entra Połączenie i aktualizowanie go | |
| Rozpoczynanie migracji aplikacji z usług ADFS do identyfikatora entra firmy Microsoft | |
| Tworzenie niestandardowych pulpitów nawigacyjnych dla kierownictwa i codziennego |
Następny miesiąc
| Gotowe? | Produkt |
|---|---|
| Monitorowanie użycia aplikacji w celu uzyskiwania szczegółowych informacji | |
| Pilotaż bezpiecznego dostępu zdalnego do aplikacji | |
| Upewnij się, że wszyscy użytkownicy są zarejestrowani na potrzeby uwierzytelniania wieloskładnikowego i samoobsługowego resetowania hasła | |
| Włączanie uwierzytelniania w chmurze |
Następne trzy miesiące
| Gotowe? | Produkt |
|---|---|
| Włączanie samoobsługowego zarządzania aplikacjami | |
| Włączanie samoobsługowego zarządzania grupami | |
| Monitorowanie użycia aplikacji w celu uzyskiwania szczegółowych informacji | |
| Informacje o sterownikach połączeń pomocy technicznej |
Następne kroki
Dowiedz się, jak zwiększyć poziom bezpieczeństwa przy użyciu funkcji identyfikatora Entra firmy Microsoft i tej pięcioetapowej listy kontrolnej — pięć kroków w celu zabezpieczenia infrastruktury tożsamości.
Dowiedz się, w jaki sposób funkcje tożsamości w usłudze Microsoft Entra ID mogą pomóc przyspieszyć przejście do zarządzania zarządzanego przez chmurę, udostępniając rozwiązania i możliwości, które umożliwiają organizacjom szybkie wdrażanie i przenoszenie większej ilości zarządzania tożsamościami z tradycyjnych systemów lokalnych do usługi Microsoft Entra ID — jak usługa Microsoft Entra ID zapewnia zarządzanie chmurą dla obciążeń lokalnych.