De juiste verificatiemethode kiezen voor uw hybride identiteitsoplossing van Microsoft Entra
Het kiezen van de juiste verificatiemethode is de eerste zorg voor organisaties die hun apps willen verplaatsen naar de cloud. Neem deze beslissing om de volgende redenen serieus:
Het is de eerste beslissing voor een organisatie die wil overstappen naar de cloud.
De verificatiemethode is een essentieel onderdeel van de aanwezigheid van een organisatie in de cloud. Het beheert de toegang tot alle cloudgegevens en -resources.
Het is de basis van alle andere geavanceerde functies voor beveiliging en gebruikerservaring in Microsoft Entra ID.
Identiteit is het nieuwe besturingsvlak van IT-beveiliging, dus verificatie is de toegangsbeveiliging van een organisatie voor de nieuwe cloudwereld. Organisaties hebben een identiteitsbeheervlak nodig dat hun beveiliging versterkt en hun cloud-apps beschermt tegen indringers.
Notitie
Het wijzigen van uw verificatiemethode wijzigt vereist plannen, testen en mogelijk downtime. Gefaseerde implementatie is een uitstekende manier om de migratie van gebruikers van federatie naar cloudverificatie te testen.
Buiten bereik
Organisaties die geen bestaande on-premises map-footprint hebben, zijn niet de focus van dit artikel. Normaal gesproken maken deze bedrijven alleen identiteiten in de cloud, waarvoor geen hybride identiteitsoplossing nodig is. Cloudidentiteiten bestaan alleen in de cloud en zijn niet gekoppeld aan bijbehorende on-premises identiteiten.
Verificatiemethoden
Wanneer de hybride identiteitsoplossing van Microsoft Entra uw nieuwe besturingsvlak is, vormt verificatie de basis van cloudtoegang. Het kiezen van de juiste verificatiemethode is een cruciale eerste beslissing bij het instellen van een hybride identiteitsoplossing van Microsoft Entra. De verificatiemethode die u kiest, wordt geconfigureerd met behulp van Microsoft Entra Verbinding maken, waarmee ook gebruikers in de cloud worden ingericht.
Bij het kiezen van een verificatiemethode moet u rekening houden met de tijd, bestaande infrastructuur, complexiteit en kosten voor het implementeren van uw keuze. Deze factoren zijn voor elke organisatie verschillend en kunnen in de loop der tijd veranderen.
Microsoft Entra ID ondersteunt de volgende verificatiemethoden voor hybride identiteitsoplossingen.
Cloudverificatie
Wanneer u deze verificatiemethode kiest, verwerkt Microsoft Entra ID het aanmeldingsproces van gebruikers. In combinatie met eenmalige aanmelding (SSO) kunnen gebruikers zich aanmelden bij cloud-apps zonder hun referenties opnieuw in te voeren. Cloudverificatie laat u kiezen uit twee opties:
Wachtwoord-hashsynchronisatie van Microsoft Entra. De eenvoudigste manier om verificatie in te schakelen voor on-premises adreslijstobjecten in Microsoft Entra ID. Gebruikers kunnen dezelfde gebruikersnaam en hetzelfde wachtwoord gebruiken als on-premises zonder dat ze een andere infrastructuur hoeven te implementeren. Sommige premium-functies van Microsoft Entra ID, zoals Identity Protection en Microsoft Entra Domain Services, vereisen wachtwoord-hashsynchronisatie, ongeacht de verificatiemethode die u kiest.
Notitie
Wachtwoorden worden nooit opgeslagen in duidelijke tekst of versleuteld met een omkeerbare algoritme in Microsoft Entra ID. Zie Wachtwoord-hashsynchronisatie implementeren met Microsoft Entra Verbinding maken Sync voor meer informatie over het daadwerkelijke proces van wachtwoord-hashsynchronisatie.
PassThrough-verificatie van Microsoft Entra. Biedt een eenvoudige wachtwoordvalidatie voor Microsoft Entra-verificatieservices met behulp van een softwareagent die wordt uitgevoerd op een of meer on-premises servers. De servers valideren de gebruikers rechtstreeks met uw on-premises Active Directory, waardoor de wachtwoordvalidatie niet in de cloud plaatsvindt.
Bedrijven met een beveiligingsvereiste om onmiddellijk statussen, wachtwoordbeleidsregels en aanmeldingsuren van on-premises gebruikersaccounts af te dwingen, kunnen deze verificatiemethode gebruiken. Zie Gebruikersaanmelding met Pass Through-verificatie van Microsoft Entra voor meer informatie over het daadwerkelijke passthrough-verificatieproces.
Federatieve verificatie
Wanneer u deze verificatiemethode kiest, geeft Microsoft Entra ID het verificatieproces af aan een afzonderlijk vertrouwd verificatiesysteem, zoals on-premises Active Directory Federation Services (AD FS), om het wachtwoord van de gebruiker te valideren.
Het verificatiesysteem kan andere geavanceerde verificatievereisten bieden, bijvoorbeeld meervoudige verificatie van derden.
In de volgende sectie kunt u bepalen welke verificatiemethode geschikt is voor u met behulp van een beslissingsstructuur. Hiermee kunt u bepalen of u cloud- of federatieve verificatie implementeert voor uw hybride identiteitsoplossing van Microsoft Entra.
Beslissingsstructuur
Details van beslissingsvragen:
- Microsoft Entra ID kan aanmelding voor gebruikers afhandelen zonder te vertrouwen op on-premises onderdelen om wachtwoorden te verifiëren.
- Microsoft Entra ID kan gebruikersaanmelding afleveren bij een vertrouwde verificatieprovider, zoals AD FS van Microsoft.
- Als u Active Directory-beveiligingsbeleid op gebruikersniveau wilt toepassen, zoals een verlopen account, uitgeschakeld account, verlopen wachtwoord, vergrendeld account en aanmeldingsuren voor elke gebruikersaanmelding, vereist Microsoft Entra-id enkele on-premises onderdelen.
- Aanmeldingsfuncties worden niet systeemeigen ondersteund door Microsoft Entra ID:
- Meld u aan met een verificatieoplossing van derden.
- On-premises verificatieoplossing voor meerdere sites.
- Microsoft Entra ID Protection vereist wachtwoord-hashsynchronisatie, ongeacht de aanmeldingsmethode die u kiest, om het rapport Gebruikers met gelekte referenties te verstrekken. Organisaties kunnen een failover uitvoeren naar Hash-synchronisatie van wachtwoord als hun primaire aanmeldingsmethode mislukt en deze is geconfigureerd vóór de foutgebeurtenis.
Notitie
Microsoft Entra ID Protection vereist Microsoft Entra ID P2-licenties .
Gedetailleerde overwegingen
Cloudverificatie: hash-synchronisatie wachtwoordsynchronisatie
Inspanning. Hash-synchronisatie wachtwoord vereist de minste inspanning met betrekking tot implementatie, onderhoud en infrastructuur. Dit niveau van inspanning is doorgaans van toepassing op organisaties die alleen hun gebruikers nodig hebben om zich aan te melden bij Microsoft 365-, SaaS-apps en andere op Microsoft Entra ID gebaseerde resources. Wanneer deze functie is ingeschakeld, maakt wachtwoord-hashsynchronisatie deel uit van het Microsoft Entra Verbinding maken Sync-proces en wordt elke twee minuten uitgevoerd.
Gebruikerservaring. Als u de aanmeldingservaring van gebruikers wilt verbeteren, gebruikt u aan Microsoft Entra gekoppelde apparaten of hybride apparaten van Microsoft Entra. Als u uw Windows-apparaten niet kunt koppelen aan Microsoft Entra ID, raden we u aan naadloze eenmalige aanmelding te implementeren met wachtwoord-hashsynchronisatie. Naadloze eenmalige aanmelding elimineert onnodige prompts wanneer gebruikers zijn aangemeld.
Geavanceerde scenario's. Als organisaties ervoor kiezen, is het mogelijk om inzichten uit identiteiten te gebruiken met Microsoft Entra ID Protection-rapporten met Microsoft Entra ID P2. Een voorbeeld hiervan is het rapport met gelekte aanmeldingsgegevens. Windows Hello voor Bedrijven heeft specifieke vereisten wanneer u hash-synchronisatie wachtwoord gebruikt. Microsoft Entra Domain Services vereist wachtwoord-hashsynchronisatie om gebruikers in te richten met hun bedrijfsreferenties in het beheerde domein.
Organisaties die meervoudige verificatie met wachtwoord-hashsynchronisatie vereisen, moeten aangepaste besturingselementen voor Microsoft Entra-verificatie of aangepaste toegang gebruiken. Deze organisaties kunnen geen on-premises meervoudige verificatiemethoden of methoden van derden gebruiken die afhankelijk zijn van federatie.
Notitie
Voor voorwaardelijke toegang van Microsoft Entra zijn Microsoft Entra ID P1-licenties vereist.
Bedrijfscontinuïteit. Het gebruik van hash-synchronisatie wachtwoord met cloudverificatie is maximaal beschikbaar als een cloudservice die wordt geschaald naar alle Microsoft-datacenters. Implementeer een tweede Microsoft Entra Verbinding maken-server in de faseringsmodus in een stand-byconfiguratie om ervoor te zorgen dat wachtwoord-hashsynchronisatie gedurende langere perioden niet uitvalt.
Overwegingen. Op dit moment worden met hash-synchronisatie wachtwoord niet onmiddellijk wijzigingen in de statussen van on-premises accounts afgedwongen. In dit geval heeft een gebruiker toegang tot cloud-apps totdat de status van het gebruikersaccount wordt gesynchroniseerd met Microsoft Entra-id. Organisaties willen deze beperking mogelijk overwinnen door een nieuwe synchronisatiecyclus uit te voeren nadat beheerders bulksgewijs updates hebben uitgevoerd naar de statussen van on-premises gebruikersaccounts. Een voorbeeld is het uitschakelen van accounts.
Notitie
Het wachtwoord is verlopen en vergrendelde statussen voor accounts worden momenteel niet gesynchroniseerd met Microsoft Entra-id met Microsoft Entra Verbinding maken. Wanneer u het wachtwoord van een gebruiker wijzigt en de gebruiker het wachtwoord moet wijzigen bij de volgende aanmeldingsvlag, wordt de wachtwoordhash niet gesynchroniseerd met Microsoft Entra-id met Microsoft Entra Verbinding maken totdat de gebruiker zijn wachtwoord wijzigt.
Raadpleeg hash-synchronisatie wachtwoord implementeren voor implementatiestappen.
Cloudverificatie: passthrough-verificatie
Inspanning. Voor passthrough-verificatie hebt u een of meer (we raden aan drie) lichtgewicht agents nodig die zijn geïnstalleerd op bestaande servers. Deze agents moeten toegang hebben tot uw on-premises Active Directory Domain Services, inclusief uw on-premises AD-domeincontrollers. Ze hebben uitgaande toegang tot internet en toegang tot uw domeincontrollers nodig. Daarom wordt het niet ondersteund om de agents in een perimeternetwerk te implementeren.
Passthrough-verificatie vereist onbeperkte netwerktoegang tot domeincontrollers. Al het netwerkverkeer wordt versleuteld en beperkt tot verificatieaanvragen. Zie de uitgebreide informatie beveiliging over passthrough-verificatie voor meer informatie over dit proces.
Gebruikerservaring. Als u de aanmeldingservaring van gebruikers wilt verbeteren, gebruikt u aan Microsoft Entra gekoppelde apparaten of hybride apparaten van Microsoft Entra. Als u uw Windows-apparaten niet kunt koppelen aan Microsoft Entra ID, raden we u aan naadloze eenmalige aanmelding te implementeren met wachtwoord-hashsynchronisatie. Naadloze eenmalige aanmelding elimineert onnodige prompts wanneer gebruikers zijn aangemeld.
Geavanceerde scenario's. Passthrough-verificatie dwingt het beleid voor on-premises accounts af op het moment van aanmelden. De toegang wordt bijvoorbeeld geweigerd wanneer de accountstatus van een on-premises gebruiker is uitgeschakeld, vergrendeld of het wachtwoord verloopt of de aanmeldingspoging buiten de uren valt wanneer de gebruiker zich mag aanmelden.
Organisaties die meervoudige verificatie met passthrough-verificatie vereisen, moeten aangepaste besturingselementen voor Microsoft Entra-verificatie of aangepaste toegang gebruiken. Deze organisaties kunnen geen on-premises meervoudige verificatiemethode of methode van derden gebruiken die afhankelijk is van federatie. Voor geavanceerde functies is vereist dat hash-synchronisatie wachtwoord wordt geïmplementeerd, ongeacht of u passthrough-verificatie kiest. Een voorbeeld hiervan is het rapport met gelekte aanmeldingsgegevens van Identity Protection.
Bedrijfscontinuïteit. U wordt aangeraden twee extra passthrough-verificatieagents te implementeren. Deze extra's zijn naast de eerste agent op de Microsoft Entra Verbinding maken-server. Deze andere implementatie zorgt voor hoge beschikbaarheid van verificatieaanvragen. Wanneer u drie agents hebt geïmplementeerd, kan één agent nog steeds mislukken wanneer een andere agent niet beschikbaar is voor onderhoud.
Er is nog een voordeel bij het implementeren van hash-synchronisatie wachtwoord, naast passthrough-verificatie. Het fungeert als een back-upverificatiemethode wanneer de primaire verificatiemethode niet meer beschikbaar is.
Overwegingen. U kunt hash-synchronisatie van wachtwoord gebruiken als back-upverificatiemethode voor passthrough-verificatie wanneer de agents de aanmeldingsgegevens van een gebruiker niet kunnen valideren vanwege een aanzienlijke on-premises fout. Failover naar wachtwoord-hashsynchronisatie vindt niet automatisch plaats en u moet Microsoft Entra Verbinding maken gebruiken om de aanmeldingsmethode handmatig over te schakelen.
Zie de veelgestelde vragen voor andere overwegingen over passthrough-verificatie, waaronder ondersteuning voor alternatieve id's.
Raadpleeg passthrough-verificatie implementeren voor implementatiestappen.
Federatieve verificatie
Inspanning. Een federatief verificatiesysteem is afhankelijk van een extern vertrouwd systeem om gebruikers te verifiëren. Sommige bedrijven willen hun bestaande federatieve systeeminvesteringen opnieuw gebruiken met hun hybride identiteitsoplossing van Microsoft Entra. Het onderhoud en beheer van het federatieve systeem valt buiten de controle van Microsoft Entra-id. Het is aan de organisatie om er met behulp van het federatieve systeem voor te zorgen dat het veilig wordt geïmplementeerd en de verificatiebelasting kan verwerken.
Gebruikerservaring. De gebruikerservaring van federatieve verificatie is afhankelijk van de implementatie van de functies, topologie en configuratie van de federatiefarm. Sommige organisaties hebben deze flexibiliteit nodig om de toegang tot de federatiefarm aan te passen en te configureren aan de hand van hun beveiligingsvereisten. Het is bijvoorbeeld mogelijk om intern verbonden gebruikers en apparaten te configureren om gebruikers automatisch aan te melden, zonder hen om aanmeldingsgegevens te vragen. Deze configuratie werkt omdat ze al zijn aangemeld bij hun apparaten. Indien nodig maken sommige geavanceerde beveiligingsfuncties het aanmeldingsproces van gebruikers moeilijker.
Geavanceerde scenario's. Een federatieve verificatieoplossing is vereist wanneer klanten een verificatievereiste hebben die microsoft Entra-id geen systeemeigen ondersteuning biedt. Zie gedetailleerde informatie om u te helpen bij het kiezen van de juiste aanmeldingsoptie. Houd rekening met de volgende algemene vereisten:
- Externe multifactor-providers waarvoor een federatieve id-provider is vereist.
- Verificatie met behulp van verificatieoplossingen van derden. Zie de compatibiliteitslijst met Microsoft Entra-federaties.
- Aanmelden waarvoor een sAMAccountName is vereist, bijvoorbeeld DOMAIN\username, in plaats van een User Principal Name (UPN), bijvoorbeeld user@domain.com.
Bedrijfscontinuïteit. Federatieve systemen vereisen doorgaans een matrix met taakverdeling van servers, ook wel een farm genoemd. Deze farm is geconfigureerd in een interne netwerk- en perimeternetwerktopologie om hoge beschikbaarheid voor verificatieaanvragen te garanderen.
Implementeer hash-synchronisatie wachtwoord samen met federatieve verificatie als back-upverificatiemethode wanneer de primaire verificatiemethode niet meer beschikbaar is. Een voorbeeld is wanneer de on-premises servers niet beschikbaar zijn. Voor sommige grote organisaties is een federatieoplossing vereist voor de ondersteuning van meerdere internetinkomstpunten die zijn geconfigureerd met geo-DNS voor verificatieaanvragen met lage latentie.
Overwegingen. Federatieve systemen vereisen doorgaans een aanzienlijke investering in de on-premises infrastructuur. De meeste organisaties kiezen deze optie als ze al een on-premises federatie-investering hebben. En als het een sterke bedrijfsvereiste is om een provider met één identiteit te gebruiken. Federatie is complexer om mee te werken en problemen voor op te lossen in vergelijking met cloudverificatieoplossingen.
Voor een niet-routable domein dat niet kan worden geverifieerd in Microsoft Entra ID, hebt u extra configuratie nodig om aanmelding van gebruikers-id's te implementeren. Deze vereiste staat bekend als ondersteuning voor alternatieve aanmeldings-id's. Zie Alternatieve aanmeldings-id configureren voor beperkingen en vereisten. Als u ervoor kiest om een meervoudige verificatieprovider van derden met federatie te gebruiken, moet u ervoor zorgen dat de provider WS-Trust ondersteunt om apparaten toe te staan lid te worden van Microsoft Entra ID.
Raadpleeg Federatieservers implementeren voor implementatiestappen.
Notitie
Wanneer u uw hybride identiteitsoplossing van Microsoft Entra implementeert, moet u een van de ondersteunde topologieën van Microsoft Entra Verbinding maken implementeren. Meer informatie over ondersteunde en niet-ondersteunde configuraties in Topologieën voor Microsoft Entra Verbinding maken.
Architectuurdiagrammen
In de volgende diagrammen worden de architectuuronderdelen op hoog niveau beschreven die vereist zijn voor elke verificatiemethode die u kunt gebruiken met uw hybride identiteitsoplossing van Microsoft Entra. Ze bieden een overzicht om u te helpen de verschillen tussen de oplossingen te vergelijken.
Eenvoud van een oplossing voor hash-synchronisatie wachtwoord:
Agentvereisten voor passthrough-verificatie met behulp van twee agents voor redundantie:
Onderdelen die vereist zijn voor federatie in uw perimeter en intern netwerk van uw organisatie:
Methoden vergelijken
| Overweging | Hash-synchronisatie van wachtwoord | Passthrough-verificatie | Federatie met AD FS |
|---|---|---|---|
| Waar vindt verificatie plaats? | In de cloud | In de cloud, na een veilige uitwisseling van wachtwoordverificatie met de on-premises verificatieagent | On-premises |
| Wat zijn de vereisten voor de on-premises server buiten het inrichtingssysteem: Microsoft Entra Verbinding maken? | Geen | Eén server voor elke extra verificatieagent | Twee of meer AD FS-servers Twee of meer WAP-servers in het perimeter-/DMZ-netwerk |
| Wat zijn de vereisten voor on-premises internet en netwerken buiten het inrichtingssysteem? | Geen | Uitgaande internettoegang vanaf de servers waarop verificatieagents worden uitgevoerd | Inkomende internettoegang naar WAP-servers in de perimeter Inkomende netwerktoegang tot AD FS-servers vanaf WAP-servers in de perimeter Taakverdeling voor netwerken |
| Is er een TLS/SSL-certificaatvereiste? | Nee | No | Ja |
| Is er een oplossing voor statuscontrole? | Niet vereist | Agentstatus opgegeven door het Microsoft Entra-beheercentrum | Microsoft Entra Verbinding maken Health |
| Krijgen gebruikers eenmalige aanmelding bij cloudresources van domein-gekoppelde apparaten in het bedrijfsnetwerk? | Ja met apparaten die zijn toegevoegd aan Microsoft Entra, hybride apparaten van Microsoft Entra, de invoegtoepassing Microsoft Enterprise SSO voor Apple-apparaten of naadloze eenmalige aanmelding | Ja met apparaten die zijn toegevoegd aan Microsoft Entra, hybride apparaten van Microsoft Entra, de invoegtoepassing Microsoft Enterprise SSO voor Apple-apparaten of naadloze eenmalige aanmelding | Ja |
| Welke aanmeldingstypen worden ondersteund? | UserPrincipalName + wachtwoord Geïntegreerde Windows-verificatie met naadloze eenmalige aanmelding Alternatieve aanmeldings-id Aan Microsoft Entra gekoppelde apparaten Hybride apparaten van Microsoft Entra Verificatie van certificaten en smartcards |
UserPrincipalName + wachtwoord Geïntegreerde Windows-verificatie met naadloze eenmalige aanmelding Alternatieve aanmeldings-id Aan Microsoft Entra gekoppelde apparaten Hybride apparaten van Microsoft Entra Verificatie van certificaten en smartcards |
UserPrincipalName + wachtwoord sAMAccountName + wachtwoord Geïntegreerde Windows-verificatie Verificatie van certificaten en smartcards Alternatieve aanmeldings-id |
| Wordt Windows Hello voor Bedrijven ondersteund? | Model van sleutelvertrouwen Hybride cloudvertrouwen |
Model van sleutelvertrouwen Hybride cloudvertrouwen Voor beide is functionaliteitsniveau Windows Server 2016-domein vereist |
Model van sleutelvertrouwen Hybride cloudvertrouwen Certificaatvertrouwensmodel |
| Wat zijn de opties voor meervoudige verificatie? | Meervoudige verificatie van Microsoft Entra Aangepaste besturingselementen met voorwaardelijke toegang* |
Meervoudige verificatie van Microsoft Entra Aangepaste besturingselementen met voorwaardelijke toegang* |
Meervoudige verificatie van Microsoft Entra MFA van derden Aangepaste besturingselementen met voorwaardelijke toegang* |
| Welke gebruikersaccountstatussen worden ondersteund? | Uitgeschakelde accounts (tot 30 minuten vertraging) |
Uitgeschakelde accounts Account geblokkeerd Account verlopen Wachtwoord verlopen Aanmeldingsuren |
Uitgeschakelde accounts Account geblokkeerd Account verlopen Wachtwoord verlopen Aanmeldingsuren |
| Wat zijn de opties voor voorwaardelijke toegang? | Voorwaardelijke toegang van Microsoft Entra met Microsoft Entra ID P1 of P2 | Voorwaardelijke toegang van Microsoft Entra met Microsoft Entra ID P1 of P2 | Voorwaardelijke toegang van Microsoft Entra met Microsoft Entra ID P1 of P2 AD FS-claimregels |
| Wordt het blokkeren van verouderde protocollen ondersteund? | Ja | Ja | Ja |
| Kunt u het logo, de afbeelding en de beschrijving van de aanmeldingspagina's aanpassen? | Ja, met Microsoft Entra ID P1 of P2 | Ja, met Microsoft Entra ID P1 of P2 | Ja |
| Welke geavanceerde scenario's worden ondersteund? | Smart password lockout Gelekte referentiesrapporten, met Microsoft Entra ID P2 |
Smart password lockout | Verificatiesysteem met lage latentie voor meerdere sites Vergrendeling van AD FS-extranet Integratie met identiteitssystemen van derden |
Notitie
Aangepaste besturingselementen in voorwaardelijke toegang van Microsoft Entra bieden momenteel geen ondersteuning voor apparaatregistratie.
Aanbevelingen
Uw identiteitssysteem zorgt ervoor dat uw gebruikers toegang hebben tot apps die u migreert en beschikbaar maakt in de cloud. Gebruik of schakel wachtwoord-hashsynchronisatie in met de verificatiemethode die u kiest, om de volgende redenen:
Hoge beschikbaarheid en herstel na noodgevallen. Passthrough-verificatie en federatie zijn afhankelijk van de on-premises infrastructuur. Voor passthrough-verificatie omvat de on-premises footprint de serverhardware en het netwerk dat de passthrough-verificatieagents vereisen. Voor federatie is de on-premises footprint nog groter. Hiervoor zijn servers in uw perimeternetwerk vereist voor proxyverificatieaanvragen en de interne federatieservers.
Implementeer redundante servers om single points of failure te voorkomen. Vervolgens worden verificatieaanvragen altijd verwerkt als een onderdeel mislukt. Zowel passthrough-verificatie als federatie zijn ook afhankelijk van domeincontrollers om te reageren op verificatieaanvragen, die ook kunnen mislukken. Veel van deze onderdelen hebben onderhoud nodig om gezond te blijven. Storingen zijn waarschijnlijker wanneer onderhoud niet is gepland en correct wordt geïmplementeerd.
On-premises storingen overleven. De gevolgen van een on-premises storing als gevolg van een cyberaanval of noodgeval kunnen aanzienlijk zijn, variërend van reputatieschade tot een verlamde organisatie die niet kan omgaan met de aanval. Onlangs waren veel organisaties het slachtoffer van malware-aanvallen, waaronder gerichte ransomware, waardoor hun on-premises servers uitvielen. Wanneer Microsoft klanten helpt bij het omgaan met dit soort aanvallen, zijn twee categorieën organisaties zichtbaar:
Organisaties die eerder ook hash-synchronisatie wachtwoord hebben ingeschakeld naast federatieve of passthrough-verificatie, hebben hun primaire verificatiemethode gewijzigd om vervolgens hash-synchronisatie wachtwoord te gebruiken. Ze waren binnen een paar uur weer online. Door toegang tot e-mail via Microsoft 365 te gebruiken, hebben ze zich gericht op probleemoplossing en toegang tot andere cloudworkloads.
Organisaties die wachtwoord-hashsynchronisatie niet eerder hebben ingeschakeld, moesten gebruikmaken van niet-vertrouwde externe e-mailsystemen voor consumenten om problemen op te lossen. In die gevallen duurde het weken om hun on-premises identiteitsinfrastructuur te herstellen voordat gebruikers zich opnieuw konden aanmelden bij cloud-apps.
Identiteitsbeveiliging. Een van de beste manieren om gebruikers in de cloud te beveiligen, is Microsoft Entra ID Protection met Microsoft Entra ID P2. Microsoft scant het internet voortdurend op lijsten met gebruikers en wachtwoorden die slechte actoren verkopen en beschikbaar maken op het darkweb. Microsoft Entra-id kan deze informatie gebruiken om te controleren of een van de gebruikersnamen en wachtwoorden in uw organisatie is aangetast. Daarom is het essentieel om hash-synchronisatie wachtwoord in te schakelen, ongeacht welke verificatiemethode u gebruikt, of dat nu federatieve of passthrough-verificatie is. Gelekte aanmeldingsgegevens worden weergegeven als een rapport. Gebruik deze informatie om gebruikers te blokkeren of te dwingen hun wachtwoorden te wijzigen wanneer ze zich proberen aan te melden met gelekte wachtwoorden.
Conclusie
In dit artikel worden verschillende verificatieopties beschreven die organisaties kunnen configureren en implementeren ter ondersteuning van toegang tot cloud-apps. Organisaties kunnen kiezen tussen hash-synchronisatie wachtwoord, passthrough-verificatie en federatie om te voldoen aan verschillende zakelijke, beveiligings- en technische vereisten.
Overweeg elke verificatiemethode. Voldoet de inspanning om de oplossing te implementeren en voldoet de gebruikerservaring van het aanmeldingsproces aan uw bedrijfsvereisten? Evalueer of uw organisatie de geavanceerde scenario's en functies voor bedrijfscontinuïteit van elke verificatiemethode nodig heeft. Evalueer ten slotte de overwegingen van elke verificatiemethode. Voorkomen ze dat u uw keuze implementeert?
Volgende stappen
In de huidige wereld zijn bedreigingen 24 uur per dag aanwezig en komen overal vandaan. Als u de juiste verificatiemethode implementeert, worden uw beveiligingsrisico's verminderd en uw identiteiten beschermd.
Ga aan de slag met Microsoft Entra ID en implementeer de juiste verificatieoplossing voor uw organisatie.
Als u nadenkt over migratie van federatieve naar cloudverificatie, vindt u meer informatie over het wijzigen van de aanmeldingsmethode. Als u de migratie wilt plannen en implementeren, gebruikt u deze projectimplementatieplannen of kunt u overwegen de nieuwe functie Gefaseerde implementatie te gebruiken om federatieve gebruikers te migreren naar het gebruik van cloudverificatie in een gefaseerde benadering.