Jak Microsoft Entra ID zajišťuje správu řízení cloudu pro místní úlohy

  • Článek

Microsoft Entra ID je komplexní řešení identity jako služby (IDaaS) používané miliony organizací, které zahrnují všechny aspekty identit, správy přístupu a zabezpečení. Microsoft Entra ID obsahuje více než miliardu identit uživatelů a pomáhá uživatelům při přihlašování a bezpečném přístupu k oběma:

  • Externí prostředky, jako jsou Microsoft 365, Centrum pro správu Microsoft Entra a tisíce dalších aplikací Typu software jako služba (SaaS).
  • Interní prostředky, jako jsou aplikace v podnikové síti a intranetu organizace, spolu se všemi cloudovými aplikacemi vyvinutými touto organizací.

Organizace můžou použít ID Microsoft Entra, pokud jsou čistě cloudová, nebo jako hybridní nasazení, pokud mají místní úlohy. Hybridní nasazení Microsoft Entra ID může být součástí strategie pro organizaci, která migruje své IT prostředky do cloudu, nebo pokračovat v integraci stávající místní infrastruktury spolu s novými cloudovými službami.

V minulosti "hybridní" organizace viděly Microsoft Entra ID jako rozšíření své stávající místní infrastruktury. V těchto nasazeních jsou místní správa zásad správného řízení identit, Windows Server Active Directory nebo jiné interní adresářové systémy kontrolní body a uživatelé a skupiny se synchronizují z těchto systémů do cloudového adresáře, jako je například Microsoft Entra ID. Jakmile jsou tyto identity v cloudu, můžete je zpřístupnit pro Microsoft 365, Azure a další aplikace.

Identity lifecycle

Vzhledem k tomu, že organizace přesouvají více své IT infrastruktury spolu s aplikacemi do cloudu, mnoho z nich hledá vylepšené možnosti zabezpečení a zjednodušené správy správy identit jako služby. Funkce IDaaS poskytované v cloudu v Microsoft Entra ID urychlují přechod na správu řízenou cloudem tím, že poskytují řešení a možnosti, které organizacím umožňují rychle přijmout a přesunout větší část správy identit z tradičních místních systémů do Microsoft Entra ID a zároveň nadále podporovat stávající i nové aplikace.

Tento dokument popisuje strategii Microsoftu pro hybridní IDaaS a popisuje, jak můžou organizace používat Microsoft Entra ID pro své stávající aplikace.

Přístup Microsoft Entra ID ke správě identit, který se řídí cloudem

Když organizace přecházejí do cloudu, potřebují záruky, že mají kontrolu nad kompletním prostředím – větší zabezpečení a lepší přehled o aktivitách podporovaných automatizací a proaktivním přehledům. "Správa řízená cloudem" popisuje, jak organizace spravují a řídí své uživatele, aplikace, skupiny a zařízení z cloudu.

V tomto moderním světě musí být organizace schopny efektivně spravovat ve velkém měřítku, a to kvůli šíření aplikací SaaS a rostoucí roli spolupráce a externích identit. Nová riziková oblast cloudu znamená, že organizace musí být responzivní – škodlivý aktér, který ohrožuje cloudové uživatele, by mohl ovlivnit cloudové a místní aplikace.

Zejména hybridní organizace musí být schopny delegovat a automatizovat úlohy, které v minulosti IT provedly ručně. Aby mohli automatizovat úlohy, potřebují rozhraní API a procesy, které orchestrují životní cyklus různých prostředků souvisejících s identitou (uživatelé, skupiny, aplikace, zařízení), aby mohli každodenní správu těchto prostředků delegovat na více jednotlivců mimo základní pracovníky IT. Id Microsoft Entra řeší tyto požadavky prostřednictvím správy uživatelských účtů a nativního ověřování pro uživatele bez nutnosti místní infrastruktury identit. Vytváření místní infrastruktury může těžit z organizací, které mají nové komunity uživatelů, jako jsou obchodní partneři, které nepocházejí z místního adresáře, ale jejichž správa přístupu je pro dosažení obchodních výsledků důležitá.

Kromě toho není správa úplná bez zásad správného řízení --- a zásad správného řízení v tomto novém světě je integrovanou součástí systému identit, nikoli doplňku. Zásady správného řízení identit umožňují organizacím spravovat životní cyklus identit a přístupu napříč zaměstnanci, obchodními partnery a dodavateli a službami a aplikacemi.

Začlenění zásad správného řízení identit usnadňuje organizaci přechod na správu řízenou cloudem, umožňuje IT škálovat, řešit nové výzvy s hosty a poskytuje hlubší přehledy a automatizaci než zákazníci s místní infrastrukturou. Zásady správného řízení v tomto novém světě znamenají schopnost organizace mít transparentnost, viditelnost a správné kontroly přístupu k prostředkům v organizaci. S ID Microsoft Entra mají bezpečnostní operace a audit týmy přehled o tom, kdo má --- a kdo by měl mít – přístup k jakým prostředkům v organizaci (na jakých zařízeních), co tito uživatelé s tímto přístupem dělají a jestli má organizace a používá příslušné kontrolní mechanismy k odebrání nebo omezení přístupu v souladu s firemními nebo regulačními zásadami.

Nový model správy přináší organizacím s aplikacemi SaaS i obchodní aplikace (LOB), protože jsou snadněji schopny spravovat a zabezpečit přístup k těmto aplikacím. Díky integraci aplikací s Microsoft Entra ID budou moci organizace používat a spravovat přístup napříč cloudovými i místními identitami konzistentně. Správa životního cyklu aplikací se stává automatizovanější a Microsoft Entra ID poskytuje bohaté přehledy o využití aplikací, které nebylo snadné dosáhnout v místní správě identit. Prostřednictvím Microsoft Entra ID, skupin Microsoft 365 a samoobslužných funkcí Teams mohou organizace snadno vytvářet skupiny pro správu přístupu a spolupráci a přidávat nebo odebírat uživatele v cloudu a umožnit tak spolupráci a správu přístupu.

Výběr správných možností Microsoft Entra pro správu v cloudu závisí na aplikacích, které se mají použít, a na tom, jak budou tyto aplikace integrovány s Microsoft Entra ID. Následující části popisují přístupy k aplikacím integrovaným ve službě AD a aplikacím, které používají federační protokoly (například SAML, OAuth nebo OpenID Připojení).

Cloudová správa integrovaných aplikací AD

Microsoft Entra ID zlepšuje správu místní Active Directory integrovaných aplikací organizace prostřednictvím zabezpečeného vzdáleného přístupu a podmíněného přístupu k těmto aplikacím. Kromě toho Microsoft Entra ID také poskytuje správu životního cyklu účtu a správu přihlašovacích údajů pro stávající účty AD uživatele, včetně:

  • Zabezpečení vzdáleného přístupu a podmíněného přístupu pro místní aplikace

V mnoha organizacích je prvním krokem při správě přístupu z cloudu pro místní webové a vzdálené desktopové aplikace integrované službou AD nasazení proxy aplikace před těmito aplikacemi za účelem zajištění zabezpečeného vzdáleného přístupu.

Po jednotném přihlašování k Microsoft Entra ID můžou uživatelé přistupovat ke cloudovým i místním aplikacím prostřednictvím externí adresy URL nebo interního portálu aplikací. Například proxy aplikací poskytuje vzdálený přístup a jednotné přihlašování ke vzdálené ploše, SharePointu a aplikacím, jako jsou Tableau a Qlik a obchodní aplikace. Zásady podmíněného přístupu navíc můžou zahrnovat zobrazení podmínek použití a zajištění toho, aby se s nimi uživatel před přístupem k aplikaci dohodl.

Application proxy architecture

  • Automatická správa životního cyklu pro účty služby Active Directory

Zásady správného řízení identit pomáhají organizacím dosáhnout rovnováhy mezi produktivitou ---, jak rychle může mít osoba přístup k potřebným prostředkům, například když se připojí k organizaci? --- a bezpečnostní ---, jak by se měl jejich přístup v průběhu času měnit, například když se změní pracovní stav dané osoby? Správa životního cyklu identit je základem zásad správného řízení identit a efektivní zásady správného řízení ve velkém měřítku vyžadují modernizaci infrastruktury správy životního cyklu identit pro aplikace.

V mnoha organizacích je životní cyklus identit pro zaměstnance svázaný s reprezentací tohoto uživatele v systému správy lidských kapitálu (HCM). Pro organizace používající Workday jako svůj systém HCM může Id Microsoft Entra zajistit, aby uživatelské účty v AD byly automaticky zřízeny a zrušeny pro pracovníky v Workday. To vede ke zlepšení produktivity uživatelů prostřednictvím automatizace účtů birthright a spravuje riziko tím, že zajistí, aby se přístup k aplikacím automaticky aktualizoval, když uživatel změní role nebo opustí organizaci. Plán nasazení nasazení zřizování uživatelů řízený aplikací Workday je podrobný průvodce, který organizace provede implementací osvědčených postupů implementace aplikace Workday do řešení zřizování uživatelů služby Active Directory v pěti krocích.

Microsoft Entra ID P1 nebo P2 také obsahuje Microsoft Identity Manager, který může importovat záznamy z jiných místních systémů HCM, včetně SAP, Oracle eBusiness a Oracle Lidé Soft.

Spolupráce mezi firmami stále častěji vyžaduje udělení přístupu lidem mimo vaši organizaci. Spolupráce Microsoft Entra B2B umožňuje organizacím bezpečně sdílet své aplikace a služby s uživateli typu host a externími partnery při zachování kontroly nad vlastními podnikovými daty.

Microsoft Entra ID může podle potřeby automaticky vytvářet účty v AD pro uživatele typu host, což umožňuje podnikovým hostům přístup k místním aplikacím integrovaným v AD bez nutnosti dalšího hesla. Organizace můžou pro uživateletypu host nastavit zásady vícefaktorového ověřování, aby se kontroly vícefaktorového ověřování prováděly během ověřování proxy aplikací. Všechny kontroly přístupu provedené na cloudových uživatelích B2B platí také pro místní uživatele. Pokud se například cloudový uživatel odstraní prostřednictvím zásad správy životního cyklu, místní uživatel se odstraní také.

Správa přihlašovacích údajů pro účty služby Active Directory

Samoobslužné resetování hesla v Microsoft Entra ID umožňuje uživatelům, kteří zapomněli svá hesla znovu ověřovat a resetovat jejich hesla, se změněnými hesly zapsanými do místní Active Directory. Proces resetování hesla může také používat zásady místní Active Directory hesel: Když uživatel resetuje heslo, zkontroluje se, jestli splňuje zásady místní Active Directory předtím, než ho potvrdí do daného adresáře. Plán nasazení samoobslužného resetování hesla popisuje osvědčené postupy pro zavedení samoobslužného resetování hesla uživatelům prostřednictvím webových a integrovaných prostředí windows.

Microsoft Entra SSPR architecture

A konečně pro organizace, které umožňují uživatelům měnit hesla ve službě AD, je možné službu AD nakonfigurovat tak, aby používala stejné zásady hesel jako organizace v Microsoft Entra ID prostřednictvím funkce ochrany hesel Microsoft Entra, která je aktuálně ve verzi Public Preview.

Když je organizace připravená přesunout aplikaci integrovanou do cloudu tak, že přesune operační systém hostující aplikaci do Azure, služba Microsoft Entra Domain Services poskytuje doménové služby kompatibilní s AD (například připojení k doméně, zásady skupiny, LDAP a ověřování Kerberos/NTLM). Služba Microsoft Entra Domain Services se integruje se stávajícím tenantem Microsoft Entra organizace, aby se uživatelé mohli přihlásit pomocí svých podnikových přihlašovacích údajů. Kromě toho je možné stávající skupiny a uživatelské účty použít k zabezpečení přístupu k prostředkům a zajistit plynulejší metodu "lift and shift" místních prostředků do služeb infrastruktury Azure.

Microsoft Entra Domain Services

Cloudová správa pro místní federační aplikace

Pro organizaci, která už používá místního zprostředkovatele identity, umožňuje přesun aplikací do Microsoft Entra ID bezpečnější přístup a jednodušší administrativní prostředí pro správu federace. Microsoft Entra ID umožňuje konfigurovat podrobné řízení přístupu pro jednotlivé aplikace, včetně vícefaktorového ověřování Microsoft Entra pomocí podmíněného přístupu Microsoft Entra. Microsoft Entra ID podporuje více možností, včetně podpisových certifikátů tokenů specifických pro aplikaci a konfigurovatelných dat vypršení platnosti certifikátu. Tyto funkce, nástroje a pokyny umožňují organizacím vyřadit zprostředkovatele místních identit. Vlastní IT od Microsoftu například přesunulo 17 987 aplikací z interního Active Directory Federation Services (AD FS) Microsoftu (AD FS) do Microsoft Entra ID.

Microsoft Entra evolution

Pokud chcete začít migrovat federované aplikace do Microsoft Entra ID jako zprostředkovatele identity, projděte si https://aka.ms/migrateapps odkazy na:

  • Dokument white paper Migrace aplikací do Microsoft Entra ID, který představuje výhody migrace a popisuje, jak naplánovat migraci ve čtyřech jasně popsaných fázích: zjišťování, klasifikace, migrace a průběžná správa. Seznámíte se s tím, jak se zamyslet nad procesem a rozdělit projekt na snadno použitelné části. V celém dokumentu jsou odkazy na důležité zdroje informací, které vám pomůžou.

  • Průvodce migrací ověřování aplikací z Active Directory Federation Services (AD FS) do Microsoft Entra ID podrobněji zkoumá stejné čtyři fáze plánování a provádění projektu migrace aplikací. V této příručce se dozvíte, jak tyto fáze použít na konkrétní cíl přesunu aplikace z Active Directory Federation Services (AD FS) (AD FS) do Microsoft Entra ID.

  • Skript připravenosti pro migraci Active Directory Federation Services (AD FS) lze spustit na existujících serverech místní Active Directory Federation Services (AD FS), aby bylo možné určit připravenost aplikací na migraci na Microsoft Entra ID.

Průběžná správa přístupu napříč cloudovými a místními aplikacemi

Organizace potřebují proces správy přístupu, který je škálovatelný. Uživatelé i nadále hromadí přístupová práva a končí nad rámec toho, co jim bylo původně zřízeno. Kromě toho musí být podnikové organizace schopné efektivně vyvíjet a vynucovat zásady přístupu a kontroly průběžně.

IT obvykle deleguje rozhodnutí o schválení přístupu na pracovníky s rozhodovací pravomocí firmy. Kromě toho může IT zapojit i samotné uživatele. Uživatelé, kteří mají například přístup k důvěrným zákaznickým datům v marketingové aplikaci společnosti v Evropě, musí znát zásady společnosti. Uživatelé typu host také nemusí vědět o požadavcích na zpracování dat v organizaci, ke kterým byli pozváni.

Organizace mohou automatizovat proces životního cyklu přístupu prostřednictvím technologií, jako jsou dynamické skupiny, ve spojení se zřizováním uživatelů pro aplikace SaaS nebo aplikace integrované pomocí standardu System for Cross-Domain Identity Management (SCIM). Organizace můžou také řídit, kteří uživatelé typu host mají přístup k místním aplikacím. Tato přístupová práva je pak možné pravidelně kontrolovat pomocí opakovaných kontrol přístupu Microsoft Entra.

Budoucí směry

V hybridních prostředích je strategie Microsoftu umožnit nasazení, kde je cloud řídicí rovinou pro identitu, a místní adresáře a další systémy identit, jako je Active Directory a jiné místní aplikace, jsou cílem zřizování uživatelů s přístupem. Tato strategie bude i nadále zajišťovat práva, identity a přístup k těmto aplikacím a úlohám, které na nich závisejí. V tomto koncovém stavu budou moci organizace zcela zvýšit produktivitu koncových uživatelů z cloudu.

Microsoft Entra architecture

Další kroky

Další informace o tom, jak začít na této cestě, najdete v plánech nasazení Microsoft Entra. Tyto plány poskytují ucelené pokyny pro nasazení funkcí Microsoft Entra. Každý plán vysvětluje obchodní hodnotu, aspekty plánování, návrh a provozní postupy potřebné k úspěšnému zavedení běžných funkcí Microsoft Entra. Microsoft průběžně aktualizuje plány nasazení osvědčenými postupy, které se naučily z nasazení zákazníků a další zpětnou vazbu, když přidáme nové funkce pro správu z cloudu pomocí Microsoft Entra ID.