Memo 22-09 podnikový systém správy identit

M 22-09 Memoria for Heads of Executive Departments and Agencies vyžaduje agentury, aby vytvořily plán konsolidace pro své platformy identit. Cílem je mít co nejvíce systémů identit spravovaných agenturou do 60 dnů od data zveřejnění (28. března 2022). Konsolidace platformy Identit Platform má několik výhod:

• Centralizovaná správa životního cyklu identit, vynucení zásad a auditovatelných ovládacích prvků
• Jednotná schopnost a parita vynucení
• Snížení potřeby trénovat prostředky napříč několika systémy
• Povolte uživatelům, aby se přihlásili jednou a pak přistupovali k aplikacím a službám v IT prostředí.
• Integrace s co nejvíce aplikacemi agentury
• Použití sdílených ověřovacích služeb a vztahů důvěryhodnosti k usnadnění integrace mezi institucemi

Proč Microsoft Entra ID?

Použijte Microsoft Entra ID k implementaci doporučení z memoria 22-09. Microsoft Entra ID má ovládací prvky identit, které podporují nulová důvěra (Zero Trust) iniciativy. S systém Microsoft Office 365 nebo Azure je ID Microsoft Entra zprostředkovatelem identity (IDP). Připojení aplikace a prostředky do Microsoft Entra ID jako celopodnikového systému identit.

Požadavky na jednotné přihlašování

Poznámka vyžaduje, aby se uživatelé přihlásili jednou a pak přistupovali k aplikacím. Když se uživatelé jednotného přihlašování Microsoftu přihlásí jednou a pak přistupují ke cloudovým službám a aplikacím. Viz bezproblémové jednotné přihlašování Microsoft Entra.

Integrace mezi institucemi

Využijte spolupráci Microsoft Entra B2B ke splnění požadavku usnadnění integrace a spolupráce napříč institucemi. Uživatelé můžou být ve stejném cloudu v tenantovi Microsoftu. Tenanti můžou být v jiném cloudu Microsoftu nebo v tenantovi mimo Azure AD (zprostředkovatel identity SAML/WS-Fed).

S nastavením přístupu mezi tenanty Microsoft Entra spravují agentury způsob spolupráce s jinými organizacemi Microsoft Entra a dalšími cloudy Microsoft Azure:

• Omezení přístupu uživatelů tenantů Microsoftu
• Nastavení pro přístup externího uživatele, včetně vynucování vícefaktorového ověřování a signálu zařízení

Další informace:

• Přehled spolupráce B2B
• Microsoft Entra B2B ve státní správě a národních cloudech
• Federace se zprostředkovateli identit SAML/WS-Fed pro uživatele typu host

Připojení aplikací

Pokud chcete konsolidovat a používat Microsoft Entra ID jako celopodnikový systém identit, zkontrolujte prostředky, které jsou v oboru.

Dokumentovat aplikace a služby

Vytvořte inventář aplikací a služeb, ke které mají uživatelé přístup. Systém správy identit chrání to, co ví.

Klasifikace prostředků:

• Citlivost dat v nich
• Zákony a předpisy týkající se důvěrnosti, integrity nebo dostupnosti dat a/nebo informací v hlavních systémech
  • Uvedené zákony a předpisy, které se vztahují na požadavky na ochranu systémových informací

U inventáře aplikací určete aplikace, které používají protokoly připravené pro cloud nebo starší ověřovací protokoly:

• Aplikace připravené pro cloud podporují moderní protokoly pro ověřování:
  • SAML
  • WS-Federation/Trust
  • OpenID Připojení (OIDC)
  • OAuth 2.0.
• Starší verze ověřovacích aplikací spoléhají na starší nebo proprietární metody ověřování:
  • Kerberos/NTLM (ověřování systému Windows)
  • Ověřování na základě hlaviček
  • LDAP
  • Základní ověřování

Přečtěte si další informace o integraci Microsoft Entra s ověřovacími protokoly.

Nástroje pro zjišťování aplikací a služeb

Microsoft nabízí následující nástroje pro podporu zjišťování aplikací a služeb.

Nástroj	Využití
Analýza využití pro Active Directory Federation Services (AD FS) (AD FS)	Analyzuje provoz ověřování federovaného serveru. Viz, monitorování služby AD FS pomocí služby Microsoft Entra Připojení Health
Microsoft Defender for Cloud Apps	Kontroluje protokoly brány firewall a zjišťuje cloudové aplikace, služby IaaS (infrastruktura jako služba) a služby PaaS (platforma jako služba). Integrujte Defender for Cloud Apps s programem Defender for Endpoint za účelem zjišťování dat analyzovaných z klientských zařízení s Windows. Viz přehled Microsoft Defenderu pro Cloud Apps
List zjišťování aplikací	Zdokumentujte aktuální stavy aplikací. Viz list Zjišťování aplikací

Vaše aplikace můžou být v jiných systémech než Microsoft a nástroje Microsoftu tyto aplikace nemusí objevit. Ujistěte se, že je kompletní inventář. Poskytovatelé potřebují mechanismy zjišťování aplikací, které používají své služby.

Určení priority aplikací pro připojení

Jakmile zjistíte aplikace ve vašem prostředí, upřednostněte je pro migraci. Rozmyslete si:

• Obchodní důležitost
• Profily uživatelů
• Využití
• Životnost

Další informace: Migrace ověřování aplikací do Microsoft Entra ID

Připojení aplikace připravené pro cloud v pořadí podle priority. Určete aplikace, které používají starší ověřovací protokoly.

Pro aplikace, které používají starší ověřovací protokoly:

• U aplikací s moderním ověřováním je překonfigurujte tak, aby používaly ID Microsoft Entra.
• Pro aplikace bez moderního ověřování existují dvě možnosti:
  • Aktualizace kódu aplikace tak, aby používala moderní protokoly integrací knihovny MICROSOFT Authentication Library (MSAL)
  • Použití proxy aplikací Microsoft Entra nebo zabezpečeného hybridního partnerského přístupu pro zabezpečený přístup
• Vyřazení přístupu k aplikacím, které už nejsou potřeba, nebo které nejsou podporované

Další informace

• Integrace Microsoft Entra s ověřovacími protokoly
• Co je platforma Microsoft Identity Platform?
• Zabezpečený hybridní přístup: Ochrana starších aplikací pomocí Microsoft Entra ID

Připojení zařízení

Součástí centralizovaného systému správy identit je povolení přihlášení uživatelů k fyzickým a virtuálním zařízením. Zařízení s Windows a Linuxem můžete připojit v centralizovaného systému Microsoft Entra, který eliminuje více samostatných systémů identit.

Během inventáře a určení rozsahu identifikujte zařízení a infrastrukturu, které se mají integrovat s ID Microsoft Entra. Integrace centralizuje ověřování a správu pomocí zásad podmíněného přístupu s vícefaktorovým ověřováním vynuceným prostřednictvím Microsoft Entra ID.

Nástroje ke zjišťování zařízení

Pomocí účtů Azure Automation můžete identifikovat zařízení prostřednictvím shromažďování inventáře připojeného ke službě Azure Monitor. Microsoft Defender for Endpoint má funkce inventáře zařízení. Zjistěte, která zařízení mají nakonfigurovaný Defender for Endpoint a zařízení, která nemají. Inventář zařízení pochází z místních systémů, jako je System Center Configuration Manager nebo jiné systémy, které spravují zařízení a klienty.

Další informace:

• Správa shromažďování inventáře z virtuálních počítačů
• Přehled Microsoft Defenderu pro koncový bod
• Úvod do inventáře hardwaru

Integrace zařízení s Microsoft Entra ID

Zařízení integrovaná s Microsoft Entra ID jsou zařízení připojená k hybridnímu připojení nebo zařízení připojená k Microsoft Entra. Oddělení registrace zařízení klientskými a uživatelskými zařízeními a fyzickými a virtuálními počítači, které fungují jako infrastruktura. Další informace o strategii nasazení pro uživatelská zařízení najdete v následujících doprovodných materiálech.

• Plánování nasazení zařízení Microsoft Entra
• Zařízení připojená k hybridní službě Microsoft Entra
• Zařízení připojená k Microsoft Entra
• Přihlášení k virtuálnímu počítači s Windows v Azure pomocí ID Microsoft Entra včetně bez hesla
• Přihlášení k virtuálnímu počítači s Linuxem v Azure pomocí Microsoft Entra ID a OpenSSH
• Připojení k Microsoft Entra pro Azure Virtual Desktop
• Identita zařízení a virtualizace desktopů

Další kroky

Následující články jsou součástí této sady dokumentace:

• Splnění požadavkůnach
• Splnění vícefaktorových požadavků na ověřování podle smlouvy 22-09
• Splnění požadavků na autorizaci memoria 22-09
• Další oblasti nulová důvěra (Zero Trust) adresované v zprávě 22-09
• Zabezpečení identity pomocí nulová důvěra (Zero Trust)