Návrh cloudových, hybridních a multicloudových strategií přístupu (včetně Microsoft Entra ID)
Tato lekce shrnuje doporučení návrhu související se správou identit a přístupu v cloudovém prostředí na základě oblasti návrhu správy identit Azure a přístupu v rámci architektury přechodu na cloud. Podrobnější diskuzi o všech relevantních diskuzích o návrhu najdete v následujících článcích:
Porovnání řešení identit
Active Directory vs. Microsoft Entra ID: správa uživatelů
| Koncepce | Active Directory (AD) | Microsoft Entra ID |
|---|---|---|
| Uživatelé | ||
| Zřizování: uživatelé | Organizace vytvářejí interní uživatele ručně nebo používají interní nebo automatizovaný systém zřizování, jako je Microsoft Identity Manager, k integraci se systémem personálního oddělení. | Stávající organizace AD používají Microsoft Entra Připojení k synchronizaci identit do cloudu. Microsoft Entra ID přidává podporu pro automatické vytváření uživatelů z cloudových personálních systémů. Microsoft Entra ID může zřizovat identity v aplikacích SaaS s podporou SCIM, aby aplikace automaticky poskytovaly potřebné podrobnosti pro povolení přístupu uživatelům. |
| Zřizování: externí identity | Organizace vytvářejí externí uživatele ručně jako běžné uživatele ve vyhrazené externí doménové struktuře AD, což vede ke správě režijních nákladů na správu životního cyklu externích identit (uživatelů typu host). | Microsoft Entra ID poskytuje speciální třídu identity pro podporu externích identit. Microsoft Entra B2B bude spravovat odkaz na identitu externího uživatele, aby se ujistil, že jsou platné. |
| Správa nároků a skupiny | Správa istrátory umožňují uživatelům vytvářet členy skupin. Vlastníci aplikací a prostředků pak udělují skupinám přístup k aplikacím nebo prostředkům. | Skupiny jsou také k dispozici v Microsoft Entra ID a správci můžou skupiny také použít k udělení oprávnění k prostředkům. V Microsoft Entra ID mohou správci přiřadit členství do skupin ručně nebo pomocí dotazu dynamicky zahrnout uživatele do skupiny. Správa istrátory můžou používat správu nároků v Microsoft Entra ID k tomu, aby uživatelé měli přístup ke kolekci aplikací a prostředků pomocí pracovních postupů a v případě potřeby kritéria založená na čase. |
| správa Správa | Organizace budou používat kombinaci domén, organizačních jednotek a skupin v AD k delegování práv správce ke správě adresáře a prostředků, které řídí. | Microsoft Entra ID poskytuje předdefinované role se systémem Řízení přístupu na základě role (Microsoft Entra RBAC) Microsoft Entra, s omezenou podporou vytváření vlastních rolí pro delegování privilegovaného přístupu k systému identit, aplikacím a prostředkům, které řídí. Správu rolí je možné vylepšit službou Privileged Identity Management (PIM) tak, aby poskytovala přístup k privilegovaným rolím podle časového limitu nebo pracovního postupu. |
| Správa přihlašovacích údajů | Přihlašovací údaje ve službě Active Directory jsou založené na heslech, ověřování certifikátů a ověřování pomocí čipové karty. Hesla se spravují pomocí zásad hesel založených na délce hesla, vypršení platnosti a složitosti. | Microsoft Entra ID používá inteligentní ochranu heslem pro cloud a místní prostředí. Ochrana zahrnuje inteligentní uzamčení a blokování běžných a vlastních hesel frází a nahrazení. Microsoft Entra ID výrazně zvyšuje zabezpečení prostřednictvím vícefaktorového ověřování a bez hesel technologií, jako je FIDO2. Microsoft Entra ID snižuje náklady na podporu tím, že uživatelům poskytuje samoobslužný systém resetování hesla. |
Služby založené na Active Directory v Azure: AD DS, Microsoft Entra ID a Microsoft Entra Domain Services
Aby bylo možné poskytovat aplikace, služby nebo zařízení přístup k centrální identitě, existují tři běžné způsoby použití služeb založených na Active Directory v Azure. Tato volba v řešeních identit vám dává flexibilitu používat nejvhodnější adresář pro potřeby vaší organizace. Pokud například většinou spravujete výhradně cloudové uživatele, kteří používají mobilní zařízení, nemusí mít smysl sestavovat a spouštět vlastní řešení identit Doména služby Active Directory Services (AD DS). Místo toho byste mohli použít id Microsoft Entra.
I když tři řešení identit založená na Active Directory sdílejí společný název a technologii, jsou navržená tak, aby poskytovala služby, které splňují různé požadavky zákazníků. Na vysoké úrovni jsou tato řešení identit a sady funkcí:
- Doména služby Active Directory Services (AD DS) – server LDAP (Lightweight Directory Access Protocol) připravený pro podniky, který poskytuje klíčové funkce, jako je identita a ověřování, správa objektů počítače, zásady skupiny a vztahy důvěryhodnosti.
- SLUŽBA AD DS je ústřední komponentou v mnoha organizacích s místním IT prostředím a poskytuje základní funkce ověřování uživatelských účtů a správy počítačů.
- Microsoft Entra ID – Cloudová identita a správa mobilních zařízení, které poskytují uživatelské účty a ověřovací služby pro prostředky, jako jsou Microsoft 365, Azure Portal nebo aplikace SaaS.
- Microsoft Entra ID je možné synchronizovat s místním prostředím služby AD DS a poskytnout tak uživatelům jedinou identitu, která funguje nativně v cloudu.
- Microsoft Entra Domain Services (Microsoft Entra Domain Services) – poskytuje spravované doménové služby podmnožinou plně kompatibilních tradičních funkcí služby AD DS, jako jsou připojení k doméně, zásady skupiny, LDAP a ověřování Kerberos / NTLM.
- Služba Microsoft Entra Domain Services se integruje s ID Microsoft Entra, které se může synchronizovat s místním prostředím SLUŽBY AD DS. Tato schopnost rozšiřuje případy použití centrální identity na tradiční webové aplikace, které běží v Azure jako součást strategie "lift and shift".
Rozsáhlejší diskuzi o porovnání těchto tří možností najdete v tématu Porovnání samoobslužných Doména služby Active Directory Services, Microsoft Entra ID a spravovaných služeb Microsoft Entra Domain Services.
Doporučení k návrhu křížového řezu
- Používejte centralizované a delegované zodpovědnosti na základě požadavků na roli a zabezpečení ke správě prostředků v cílové zóně.
- Následující typy privilegovaných operací vyžadují zvláštní oprávnění. Zvažte, kteří uživatelé budou tyto žádosti zpracovávat, a jak odpovídajícím způsobem zabezpečit a monitorovat své účty.
- Vytváření objektů instančního objektu
- Registrace aplikací v Microsoft Entra ID
- Nákup a zpracování certifikátů nebo zástupných znaků
- Pokud chcete získat přístup k aplikacím, které používají místní ověřování vzdáleně prostřednictvím ID Microsoft Entra, použijte proxy aplikace Microsoft Entra.
- Vyhodnoťte kompatibilitu úloh pro službu Microsoft Entra Domain Services a službu AD DS na Windows Serveru.
- Nezapomeňte navrhnout síť tak, aby prostředky, které vyžadují službu AD DS na Windows Serveru pro místní ověřování a správu, mohly přistupovat ke svým řadičům domény. Pro službu AD DS na Windows Serveru zvažte prostředí sdílených služeb, která nabízejí místní ověřování a správu hostitelů v širším kontextu sítě v celém podniku.
- Když nasadíte službu Microsoft Entra Domain Services nebo integrujete místní prostředí do Azure, použijte umístění s Zóny dostupnosti pro zvýšení dostupnosti.
- Nasaďte službu Microsoft Entra Domain Services v primární oblasti, protože tuto službu můžete projektovat pouze do jednoho předplatného. Službu Microsoft Entra Domain Services můžete rozšířit do dalších oblastí se sadami replik.
- Pro ověřování ve službách Azure použijte místo instančních objektů spravované identity. Tento přístup snižuje riziko krádeže přihlašovacích údajů.
Hybridní identita Azure a místní hybridní identita – Doporučení k návrhu
V případě řešení hybridních identit IaaS (Infrastruktura jako služba) vyhodnoťte následující doporučení:
- U aplikací hostovaných částečně místně a částečně v Azure ověřte, která integrace dává smysl na základě vašeho scénáře. Další informace najdete v tématu Nasazení služby AD DS ve virtuální síti Azure.
- Pokud máte službu AD FS, přejděte do cloudu, abyste centralovali identitu a snížili provozní úsilí. Pokud je služba AD FS stále součástí vašeho řešení identit, nainstalujte a použijte Microsoft Entra Připojení.
Identita pro prostředky platformy Azure – doporučení pro návrh
Centralizovaná identita používá jedno umístění v cloudu a integraci služby Active Directory, řízení přístupu, ověřování a aplikací. Tento přístup poskytuje it týmu lepší správu. Pro centralizované adresářové služby je osvědčeným postupem mít pouze jednoho tenanta Microsoft Entra.
Když udělíte přístup k prostředkům, použijte skupiny Microsoft Entra-only pro prostředky řídicí roviny Azure a Microsoft Entra Privileged Identity Management. Pokud už existuje systém pro správu skupin, přidejte do skupiny Microsoft Entra-only místní skupiny. Upozorňujeme, že pouze Microsoft Entra-only se označuje jako pouze cloud.
Pomocí skupin pouze Microsoft Entra můžete přidat uživatele i skupiny synchronizované z místního prostředí pomocí microsoft Entra Připojení. Uživatele a skupiny Microsoft Entra-only můžete přidat také do jedné skupiny Microsoft Entra-only, včetně uživatelů typu host.
Skupiny synchronizované z místního prostředí je možné spravovat a aktualizovat pouze ze zdroje pravdy identity, což je místní Active Directory. Tyto skupiny můžou obsahovat pouze členy ze stejného zdroje identity, což neposkytuje flexibilitu, jak to dělají jenom skupiny Microsoft Entra.
Integrujte protokoly Microsoft Entra s pracovním prostorem Log Analytics centrální platformy. Tento přístup umožňuje jeden zdroj pravdivých informací o datech protokolů a monitorování v Azure. Tento zdroj poskytuje organizacím možnosti nativní pro cloud, které splňují požadavky na shromažďování a uchovávání protokolů.
Vlastní zásady uživatelů můžou vynucovat jakékoli požadavky na suverenitu dat pro organizaci.
Pokud se ochrana identit používá jako součást vašeho řešení identity, ujistěte se, že vyloučíte účet správce se zalomeným sklem.
Doporučení k návrhu – Identita Azure a přístup pro cílové zóny
Nasaďte zásady podmíněného přístupu Microsoft Entra pro uživatele s právy do prostředí Azure. Podmíněný přístup poskytuje další mechanismus, který pomáhá chránit řízené prostředí Azure před neoprávněným přístupem.
Vynucujte vícefaktorové ověřování (MFA) pro uživatele s právy k prostředím Azure. Mnoho architektur dodržování předpisů vyžaduje vynucování vícefaktorového ověřování. Vícefaktorové ověřování výrazně snižuje riziko krádeže přihlašovacích údajů a neoprávněného přístupu.
Zvažte použití instančních objektů pro neinteraktivní přihlašování prostředků, takže vícefaktorové ověřování a aktualizace tokenů nebudou mít vliv na operace.
Využijte spravované identity Microsoft Entra pro prostředky Azure, abyste se vyhnuli ověřování na základě přihlašovacích údajů. Mnoho porušení zabezpečení prostředků veřejného cloudu pochází z krádeže přihlašovacích údajů vložených do kódu nebo jiného textu. Vynucení spravovaných identit pro programový přístup výrazně snižuje riziko krádeže přihlašovacích údajů.
Použijte Microsoft Defender for Cloud pro přístup ke všem prostředkům infrastruktury jako služby (IaaS) za běhu. Defender for Cloud umožňuje povolit ochranu na úrovni sítě pro dočasný přístup uživatelů k virtuálním počítačům IaaS.
Privileged Identity Management (PIM)
Použijte Microsoft Entra Privileged Identity Management (PIM) k vytvoření přístupu s nulovou důvěryhodností a nejnižšími oprávněními. Namapujte role vaší organizace na minimální potřebné úrovně přístupu. Microsoft Entra PIM může používat nativní nástroje Azure, rozšířit aktuální nástroje a procesy nebo podle potřeby používat aktuální i nativní nástroje.
Pomocí kontrol přístupu Microsoft Entra PIM pravidelně ověřte nároky na prostředky. Kontroly přístupu jsou součástí mnoha architektur dodržování předpisů, takže mnoho organizací už má zavedený proces kontroly přístupu.
Pro runbooky automatizace, které vyžadují oprávnění přístupu vyšší úrovně, používejte privilegované identity. Pomocí stejných nástrojů a zásad můžete řídit automatizované pracovní postupy, které přistupují k kritickým hranicím zabezpečení při řízení uživatelů s ekvivalentními oprávněními.
Doporučení RBAC
Pokud je to možné, použijte Azure RBAC ke správě přístupu k prostředkům roviny dat. Mezi příklady koncových bodů roviny dat patří Azure Key Vault, účet úložiště nebo SQL Database.
Nepřidávejte uživatele přímo do oborů prostředků Azure. Přímá přiřazení uživatelů obcházejí centralizovanou správu, což ztěžuje zabránění neoprávněnému přístupu k omezeným datům. Místo toho přidejte uživatele do definovaných rolí a přiřaďte role k oborům prostředků.
Pomocí předdefinovaných rolí Microsoft Entra můžete spravovat následující nastavení identity:
| Role | Využití | Poznámka: |
|---|---|---|
| Globální správce | Nepřiřazujte k této roli víc než pět lidí. | |
| Hybridní prostředí | Hybridní identita Správa istrator | |
| Ověřování | Správce zabezpečení | |
| Podniková aplikace nebo proxy aplikací | Správce aplikace | Žádný globální správce souhlasu. |
Pokud předdefinované role Azure nevyhovují konkrétním potřebám vaší organizace, můžete si vytvořit vlastní role.