Základní informace o identitách pro víceklientských organizací
Následující průvodce poskytuje základní informace o identitě nulové důvěryhodnosti pro víceklientské organizace a zaměřuje se na Microsoft Entra ID. Nulová důvěryhodnost je klíčovou strategií pro zajištění integrity a důvěrnosti citlivých informací. Identita je základním pilířem nulové důvěryhodnosti. Microsoft Entra ID je cloudová služba identit Microsoftu. ID Microsoft Entra je kritická komponenta nulové důvěryhodnosti, kterou používají všichni zákazníci cloudu Microsoftu.
Architekti a pracovníci s rozhodovací pravomocí musí porozumět základním funkcím Microsoft Entra ID a jeho roli v nulové důvěře, než se vytvoří strategie obrany. Organizace obrany můžou splnit mnoho požadavků na nulovou důvěru tím, že přijmou ID Microsoft Entra. Mnoho z nich už má přístup k základním funkcím Microsoft Entra prostřednictvím stávajících licencí Microsoftu 365.
Tenanti Microsoft Entra
Instance ID Microsoft Entra se nazývá tenant Microsoft Entra. Tenant Microsoft Entra je platforma identit a hranice. Je to platforma identit pro vaši organizaci a zabezpečená hranice identit pro cloudové služby Microsoftu, které používáte. Proto je ideální pro ochranu citlivých dat identity ochrany.
Konsolidace tenantů Microsoft Entra Microsoft doporučuje pro každou organizaci jednoho tenanta. Jeden tenant Microsoft Entra poskytuje uživatelům a správcům nejrušnější prostředí pro správu identit. Poskytuje nejkomplexnější možnosti nulové důvěryhodnosti. Organizace s více tenanty Microsoft Entra musí spravovat různé sady uživatelů, skupin, aplikací a zásad, což zvyšuje náklady a zvyšuje složitost správy. Jeden tenant také minimalizuje náklady na licencování.
Měli byste se pokusit, aby aplikace Microsoft 365, Azure, Power Platform, obchodní aplikace, softwarové aplikace jako služba (SaaS) a další poskytovatelé cloudových služeb používali jednoho tenanta Microsoft Entra.
Microsoft Entra ID versus Active Directory. Microsoft Entra ID není vývojem služby Doména služby Active Directory Services (AD DS). Koncept tenanta je jako doménová struktura služby Active Directory, ale základní architektura se liší. Microsoft Entra ID je hyperškálování, moderní a cloudové služby identit.
Počáteční názvy domén a ID tenanta Každý tenant má jedinečný počáteční název domény a ID tenanta. Organizace s názvem Contoso může mít například počáteční název contoso.onmicrosoft.com domény pro ID Microsoft Entra a contoso.onmicrosoft.us pro Microsoft Entra Government. ID tenanta jsou globálně jedinečné identifikátory (GUID). Každý tenant má pouze jednu počáteční doménu a ID tenanta. Obě hodnoty jsou neměnné a po vytvoření tenanta je nejde změnit.
Uživatelé se přihlašují k účtům Microsoft Entra pomocí hlavního názvu uživatele (UPN). Hlavní název uživatele (UPN) je atribut uživatele Microsoft Entra a potřebuje směrovatelnou příponu. Počáteční doména je výchozí směrovatelná přípona (user@contoso.onmicrosoft.com). Můžete přidat vlastní domény pro vytvoření a použití přívětivějšího hlavního názvu uživatele (UPN). Popisný hlavní název uživatele (UPN) obvykle odpovídá e-mailové adrese uživatele (user@contoso.com). Hlavní název uživatele (UPN) pro Microsoft Entra ID se může lišit od uživatele AD DS userPrincipalName. Pokud hodnoty USERPrincipalName služby AD DS nejsou směrovatelné nebo používají příponu, která neodpovídá ověřené vlastní doméně v tenantovi, je běžné mít jiný hlavní název uživatele (UPN) a AD DS userPrincipalName.
Vlastní doménu můžete ověřit pouze v jednom globálním tenantovi Microsoft Entra. Vlastní domény nejsou hranice zabezpečení nebo důvěryhodnosti, jako jsou doménové struktury Doména služby Active Directory Services (AD DS). Jedná se o obor názvů DNS pro identifikaci domácího tenanta uživatele Microsoft Entra.
Architektura Microsoft Entra
Id Microsoft Entra nemá žádné řadiče domény, organizační jednotky, objekty zásad skupiny, vztahy důvěryhodnosti domén/doménové struktury ani role FSMO (Flexible Single Master Operation). Microsoft Entra ID je řešení pro správu identit typu software jako služba. K Microsoft Entra ID můžete přistupovat prostřednictvím rozhraní RESTful API. K přístupu k prostředkům chráněným id Microsoft Entra používáte moderní ověřovací a autorizační protokoly. Adresář má plochou strukturu a používá oprávnění založená na prostředcích.
Každý tenant Microsoft Entra je vysoce dostupné úložiště dat pro data správy identit. Ukládá objekty identit, zásad a konfigurace a replikuje je napříč oblastmi Azure. Tenant Microsoft Entra poskytuje redundanci dat pro důležité informace o ochraně.
Typy identit
ID Microsoft Entra má dva typy identit. Dva typy identit jsou uživatelé a instanční objekty.
Uživatelé. Uživatelé jsou identity pro jednotlivce, kteří přistupují k Microsoftu a federovaným cloudovým službám. Uživatelé mohou být členy nebo hosty v instanci Microsoft Entra ID. Členové jsou obvykle interní pro vaši organizaci a hosté patří do externí organizace, jako je například partner mise nebo dodavatel obrany. Další informace o uživatelích typu host a spolupráci mezi organizacemi najdete v přehledu spolupráce B2B.
Instanční objekty. Instanční objekty jsou neosobní entity (NPE) v ID Microsoft Entra. Instanční objekty můžou představovat aplikace, účty služby / automatizace a prostředky Azure. I prostředky mimo Azure, jako jsou místní servery, můžou mít instanční objekt v ID Microsoft Entra a interagovat s dalšími prostředky Azure. Instanční objekty jsou užitečné při automatizaci pracovních postupů obrany a správě aplikací důležitých pro operace obrany. Další informace naleznete v tématu Aplikace a instanční objekty v Microsoft Entra ID.
Synchronizace identit. Pomocí nástroje Microsoft Entra Connect Sync nebo Microsoft Entra Connect Cloud Sync můžete synchronizovat objekty uživatelů, skupin a počítačů (zařízení) ve službě Doména služby Active Directory Services s ID Microsoft Entra. Tato konfigurace se nazývá hybridní identita.
Oprávnění
Microsoft Entra ID používá jiný přístup k oprávněním než tradiční místní Active Directory Domain Services (AD DS).
Role Microsoft Entra Oprávnění v Microsoft Entra ID přiřadíte pomocí rolí adresáře Microsoft Entra. Tyto role udělují přístup ke konkrétním rozhraním API a oborům. Globální správce je nejvyšší privilegovaná role v Microsoft Entra ID. Pro různé omezené funkce správce existuje mnoho předdefinovaných rolí. Měli byste delegovat podrobná oprávnění, abyste snížili prostor pro útok.
Důležité
Microsoft doporučuje používat role s nejmenšími oprávněními. To pomáhá zlepšit zabezpečení pro vaši organizaci. Globální správce je vysoce privilegovaná role, která by měla být omezená na scénáře tísňového volání, pokud nemůžete použít existující roli.
Přiřazení oprávnění se zvýšenými oprávněními Pro zvýšení zabezpečení a snížení zbytečných oprávnění poskytuje ID Microsoft Entra dva principy pro přiřazení oprávnění:
Just-in-Time (JIT):Microsoft Entra ID podporuje přístup za běhu. Funkce JIT umožňuje dočasně přiřadit oprávnění v případě potřeby. Přístup JIT minimalizuje vystavení zbytečných oprávnění a snižuje prostor pro útoky.
Just-Enough-Admin (JEA):Microsoft Entra ID se řídí principem just-enough-admin. Předdefinované role umožňují delegovat úlohy správce bez udělení nadměrných oprávnění. Jednotky pro správu můžou dále omezit obor oprávnění pro role Microsoft Entra.
Ověřování
Na rozdíl od služby Active Directory nejsou uživatelé v MICROSOFT Entra ID omezeni na ověřování pomocí hesla nebo čipové karty. Uživatelé Microsoft Entra můžou používat hesla a mnoho dalších metod ověřování a ověřování. Microsoft Entra ID používá moderní ověřovací protokoly, chrání před útoky na základě tokenů a detekuje podezřelé chování přihlašování.
Metody ověřování. Metody ověřování Microsoft Entra zahrnují nativní podporu certifikátů čipových karet a odvozených přihlašovacích údajů, bez hesla Microsoft Authenticatoru, klíčů zabezpečení FIDO2 (hardwarový klíč) a přihlašovacích údajů zařízení, jako jsou Windows Hello pro firmy. Microsoft Entra ID nabízí metody odolné proti útokům phishing bez hesla na podporu možností strategie Memo 22-09 a DODCIO nulová důvěra (Zero Trust).
Ověřovací protokoly. Microsoft Entra ID nepoužívá Protokol Kerberos, NTLM ani LDAP. Používá moderní otevřené protokoly určené pro použití přes internet, jako je OpenID Connect, OAuth 2.0, SAML 2.0 a SCIM. I když Entra nepoužívá Protokol Kerberos pro vlastní ověřování, může vydávat lístky Kerberos pro hybridní identity pro podporu služby Azure Files a povolovat přihlašování k místním prostředkům bez hesla. Proxy aplikací Entra umožňuje nakonfigurovat jednotné přihlašování Entra pro místní aplikace, které podporují pouze starší protokoly, jako je Kerberos a ověřování založené na hlavičce.
Ochrana proti útokům na tokeny Tradiční služba AD DS je náchylná k útokům založeným na protokolu Kerberos. Služba AD DS používá skupiny zabezpečení s dobře známými identifikátory zabezpečení (SID), jako S-1-5-domain-512 je například domain Admins. Když správce domény provede místní nebo síťové přihlášení, řadič domény vydá lístek Kerberos obsahující identifikátor SID Domain Admins a uloží ho do mezipaměti přihlašovacích údajů. Aktéři hrozeb tento mechanismus běžně využívají pomocí technik eskalace laterálního pohybu a oprávnění, jako jsou pass-the-hash a pass-the-ticket.
ID Microsoft Entra však není náchylné k útokům Kerberos. Ekvivalentem cloudu jsou techniky nežádoucí osoby uprostřed (AiTM), jako je napadení relace a přehrání relace, aby ukradly tokeny relací (token přihlašování). Klientské aplikace, Správce webových účtů (WAM) nebo webový prohlížeč uživatele (soubory cookie relace) ukládají tyto tokeny relací. Kvůli ochraně před útoky na krádež tokenů používá Microsoft Entra ID token k zabránění přehrání a může vyžadovat kryptograficky vázané tokeny na zařízení uživatele.
Další informace o krádeži tokenů najdete v playbooku Krádež tokenů.
Detekce podezřelého chování přihlašování Microsoft Entra ID Protection používá kombinaci detekcí v reálném čase a offline k identifikaci rizikových uživatelů a událostí přihlašování. Pomocí rizikových podmínek v podmíněném přístupu Entra můžete dynamicky řídit nebo blokovat přístup k vašim aplikacím. Funkce CaE (Continuous Access Evaluation) umožňuje klientským aplikacím zjišťovat změny v relaci uživatele a vynucovat zásady přístupu téměř v reálném čase.
Aplikace
Microsoft Entra ID není jen pro aplikace a služby Microsoftu. Microsoft Entra ID může být zprostředkovatelem identity pro libovolnou aplikaci, poskytovatele cloudových služeb, poskytovatele SaaS nebo systém identit, který používá stejné protokoly. Snadno podporuje interoperabilitu se spojenci a dodavateli obrany.
Bod vynucení zásad (PEP) a bod rozhodování zásad (PDP). Microsoft Entra ID je společný bod vynucení zásad (PEP) a bod rozhodování zásad (PDP) v architekturách nulové důvěryhodnosti. Vynucuje zásady zabezpečení a řízení přístupu pro aplikace.
Zásady správného řízení id Microsoft Entra. Zásady správného řízení ID Microsoft Entra jsou funkce Microsoft Entra. Pomáhá spravovat přístup uživatelů a automatizovat životní cyklus přístupu. Zajišťuje, aby uživatelé měli odpovídající a včasný přístup k aplikacím a prostředkům.
Podmíněný přístup. Podmíněný přístup umožňuje používat atributy k jemně odstupňované autorizaci pro aplikace. Zásady přístupu můžete definovat na základě různých faktorů. Mezi tyto faktory patří atributy uživatele, síla přihlašovacích údajů, atributy aplikace, riziko uživatele a přihlášení, stav zařízení a umístění. Další informace najdete v tématu Zabezpečení nulové důvěryhodnosti.
Zařízení
Microsoft Entra ID poskytuje zabezpečený a bezproblémový přístup k služby Microsoft prostřednictvím správy zařízení. Zařízení s Windows můžete spravovat a připojovat k Microsoft Entra podobně jako u Doména služby Active Directory Services.
Registrovaná zařízení. Zařízení jsou zaregistrovaná ve vašem tenantovi Entra, když se uživatelé přihlásí k aplikacím pomocí svého účtu Entra. Registrace zařízení Entra není stejná jako registrace zařízení nebo připojení k Entra. Uživatelé se přihlašují k registrovaným zařízením pomocí místního účtu nebo účtu Microsoft. Registrovaná zařízení často zahrnují zařízení Přineste si vlastní zařízení (BYOD), jako je domácí počítač nebo osobní telefon uživatele.
Zařízení připojená k Microsoft Entra. Když se uživatelé přihlásí k zařízení připojenému k Microsoft Entra, klíč vázané na zařízení se odemkne pomocí KÓDU PIN nebo gesta. Po ověření microsoft Entra ID vydává primární obnovovací token (PRT) zařízení. Toto PRT usnadňuje jednotné přihlašování k chráněným službám Microsoft Entra ID, jako je Microsoft Teams.
Zařízení připojená k Microsoft Entra zaregistrovaná v Microsoft Endpoint Manageru (Intune) můžou používat dodržování předpisů zařízením jako řízení udělení v rámci podmíněného přístupu.
Zařízení připojená k hybridní službě Microsoft Entra Hybridní spojení Microsoft Entra umožňuje, aby zařízení s Windows byla současně připojená k Doména služby Active Directory Services i k Microsoft Entra ID. Tato zařízení nejprve ověřují uživatele ve službě Active Directory a pak z ID Microsoft Entra načtou primární obnovovací token.
Zařízení a aplikace spravované v Intune Microsoft Intune usnadňuje registraci a registraci zařízení pro správu. Intune umožňuje definovat kompatibilní a zabezpečené stavy pro uživatelská zařízení, chránit zařízení pomocí programu Microsoft Defender for Endpoint a vyžadovat, aby uživatelé používali kompatibilní zařízení pro přístup k podnikovým prostředkům.
Microsoft 365 a Azure
Microsoft Entra ID je platforma Microsoft Identity Platform. Slouží službám Microsoftu 365 i Azure. Předplatná Microsoftu 365 vytvářejí a používají tenanta Microsoft Entra. Služby Azure také spoléhají na tenanta Microsoft Entra.
Identita Microsoftu 365 Microsoft Entra ID je nedílnou součástí všech operací identit v Rámci Microsoftu 365. Zpracovává přihlašování uživatelů, spolupráci, sdílení a přiřazení oprávnění. Podporuje správu identit pro služby Office 365, Intune a XDR v programu Microsoft Defender. Vaši uživatelé používají Microsoft Entra při každém přihlášení k aplikace Office licaci, jako je Word nebo Outlook, sdílení dokumentu pomocí OneDrivu, pozvání externího uživatele na sharepointový web nebo vytvoření nového týmu v Microsoft Teams.
Identita Azure V Azure je každý prostředek přidružený k předplatnému Azure a předplatná jsou propojená s jedním tenantem Microsoft Entra. Oprávnění ke správě prostředků Azure delegujete přiřazením rolí Azure uživatelům, skupinám zabezpečení nebo instančním objektům.
Spravované identity hrají zásadní roli při tom, aby prostředky Azure bezpečně spolupracovaly s jinými prostředky. Tyto spravované identity jsou objekty zabezpečení v rámci tenanta Microsoft Entra. Oprávnění jim udělíte na základě nejnižších oprávnění. Spravovanou identitu můžete autorizovat pro přístup k rozhraním API chráněným ID Microsoft Entra, jako je Například Microsoft Graph. Když prostředek Azure používá spravovanou identitu, je spravovaná identita instančním objektem. Objekt instance se nachází ve stejném tenantovi Microsoft Entra jako předplatné přidružené k prostředku.
Microsoft Graph
Webové portály Microsoftu pro Microsoft Entra, Azure a Microsoft 365 poskytují grafické rozhraní pro Microsoft Entra ID. Pomocí rozhraní RESTful API označovaných jako Microsoft Graph můžete automatizovat programový přístup ke čtení a aktualizaci objektů a zásad konfigurace Microsoft Entra. Microsoft Graph podporuje klienty v různých jazycích. Mezi podporované jazyky patří PowerShell, Go, Python, Java, .NET, Ruby a další. Prozkoumejte úložiště Microsoft Graphu na GitHubu.
Cloudy Azure Government
Existují dvě samostatné verze organizací microsoft Entra services defense, které mohou používat ve veřejných sítích (připojených k internetu): Microsoft Entra Global a Microsoft Entra Government.
Microsoft Entra Global. Microsoft Entra Global je určený pro komerční Microsoft 365 a Azure, Microsoft 365 GCC Moderate. Přihlašovací služba pro Microsoft Entra Global je login.microsoftonline.com.
Microsoft Entra Government. Microsoft Entra Government je Azure Government (IL4), DoD (IL5), Microsoft 365 GCC High, Microsoft 365 DoD (IL5). Přihlašovací služba pro Microsoft Entra Government je login.microsoftonline.us.
Adresy URL služby. Různé služby Microsoft Entra používají různé přihlašovací adresy URL. V důsledku toho musíte použít samostatné webové portály. Pro správu Azure a Microsoft 365 (viz tabulka 1) musíte také zadat přepínače prostředí pro připojení s klienty Microsoft Graphu a moduly PowerShellu.
Tabulka 1. Koncové body Azure Government
| Koncový bod | Globální | GCC High | DoD Impact Level 5 (IL5) |
|---|---|---|---|
| Centrum pro správu Microsoft Entra | entra.microsoft.com | entra.microsoft.us | entra.microsoft.us |
| portál Azure | portal.azure.com | portal.azure.us | portal.azure.us |
| Centrum pro správu Defenderu | security.microsoft.com | security.microsoft.us | security.apps.mil |
| MS Graph PowerShell | Connect-MgGraph<br>-Environment Global |
Connect-MgGraph<br>-Environment USGov |
Connect-MgGraph<br>-Environment USGovDoD |
| Modul Az PowerShellu | Connect-AzAccount<br>-Environment AzureCloud |
Connect-AzAccount<br>-Environment AzureUSGovernment |
Connect-AzAccount<br>-Environment AzureUSGovernment |
| Azure CLI | az cloud set --name AzureCloud |
az cloud set --name AzureUSGovernment |
az cloud set --name AzureUSGovernment |