Ontwerp van identiteitsarchitectuur

IAM-architecturen (Identity and Access Management) bieden frameworks voor het beveiligen van gegevens en resources. Interne netwerken stellen beveiligingsgrenzen vast in on-premises systemen. In cloudomgevingen zijn perimeternetwerken en firewalls niet voldoende voor het beheren van toegang tot apps en gegevens. In plaats daarvan zijn openbare cloudsystemen afhankelijk van identiteitsoplossingen voor grensbeveiliging.

Een identiteitsoplossing beheert de toegang tot de apps en gegevens van een organisatie. Gebruikers, apparaten en toepassingen hebben identiteiten. IAM-onderdelen ondersteunen de verificatie en autorisatie van deze en andere identiteiten. Het verificatieproces bepaalt wie of wat een account gebruikt. Autorisatie bepaalt wat die gebruiker in toepassingen kan doen.

Of u nu net begint met het evalueren van identiteitsoplossingen of het uitbreiden van uw huidige implementatie, Azure biedt veel opties. Een voorbeeld hiervan is Microsoft Entra ID, een cloudservice die mogelijkheden voor identiteitsbeheer en toegangsbeheer biedt. Als u een oplossing wilt bepalen, leert u eerst over deze service en andere Azure-onderdelen, hulpprogramma's en referentiearchitecturen.

Inleiding tot identiteit in Azure

Als u geen kennis hebt met IAM, is Microsoft Learn de beste plek om te beginnen. Dit gratis online platform biedt video's, zelfstudies en praktische training voor verschillende producten en services.

De volgende bronnen kunnen u helpen de kernconcepten van IAM te leren kennen.

Leerpaden

• Basisprincipes van Microsoft-beveiliging, -naleving en -identiteit: de mogelijkheden van Oplossingen voor identiteits- en toegangsbeheer van Microsoft beschrijven
• Microsoft-identiteit implementeren - Koppelen
• SC-300: Een oplossing voor identiteitsbeheer implementeren
• MS-500 deel 1 - Identiteit en toegang implementeren en beheren

Modules

• Identiteitsconcepten beschrijven
• Het Microsoft Identity Platform verkennen

Pad naar productie

Nadat u de basisprincipes van identiteitsbeheer hebt behandeld, is de volgende stap het ontwikkelen van uw oplossing.

Ontwerpen

Raadpleeg de volgende bronnen om opties voor identiteitsoplossingen te verkennen:

• Zie Zelfbeheerde Active Directory-domein Services, Microsoft Entra ID en beheerde Microsoft Entra Domain Services vergelijken voor een vergelijking van drie services die toegang bieden tot een centrale identiteit.

• Zie Tolerant identiteits- en toegangsbeheer met Microsoft Entra ID voor meer informatie over hoe u IAM tolerant maakt.

• Zie On-premises AD integreren met Azure om de latentie te vergelijken bij het integreren met een Azure-netwerk.

• Zie Azure-factureringsaanbiedingen en Active Directory-tenants voor informatie over het koppelen van factureringsaanbiedingen aan een Microsoft Entra-tenant.

• Als u opties voor een identiteits- en toegangsbasis wilt evalueren, raadpleegt u het ontwerpgebied voor Identiteits- en toegangsbeheer van Azure.

• Als u manieren wilt verkennen om resources te ordenen die u in de cloud implementeert, raadpleegt u De resourceorganisatie.

• Zie De juiste verificatiemethode kiezen voor uw hybride identiteitsoplossing van Microsoft Entra voor een vergelijking van verschillende verificatieopties.

• Zie Hoe Microsoft Entra ID cloudbeheer biedt voor on-premises workloads voor een uitgebreide hybride identiteitsoplossing.

• Zie Wat is Microsoft Entra Connect?voor meer informatie over de integratie van on-premises directory's met Microsoft Entra ID.

Implementatie

Wanneer u een aanpak hebt gekozen, komt de implementatie als volgt te werk. Zie deze resources voor aanbevelingen voor implementatie:

• Zie Identiteitsbeheer in multitenant-toepassingen voor een reeks artikelen en codevoorbeelden voor een multitenant-oplossing.

• Zie de volgende bronnen voor informatie over het implementeren van Microsoft Entra-id:

  • Implementatiehandleiding voor Microsoft Entra-functies
  • Microsoft Entra-implementatieplannen
  • Azure Active Directory B2C-implementatieplannen

• Zie de zelfstudies bij Een toepassing met één pagina registreren bij het Microsoft Identity Platform voor meer informatie over het gebruik van Microsoft Entra ID om een toepassing met één pagina te beveiligen.

Aanbevolen procedures

• Met mogelijkheden als automatisering, selfservice en eenmalige aanmelding kan Microsoft Entra ID de productiviteit verhogen. Zie vier stappen voor een sterke identiteitsbasis met Microsoft Entra-id voor algemene informatie over het profiteren van deze service.

• Als u wilt controleren of uw Microsoft Entra-implementatie overeenkomt met azure Security Benchmark versie 2.0, raadpleegt u de Azure-beveiligingsbasislijn voor Microsoft Entra-id.

• Sommige oplossingen maken gebruik van privé-eindpunten in tenants om verbinding te maken met Azure-services. Zie Limit cross-tenant private endpoint connections in Azure (Richtlijnen voor beveiligingsproblemen met betrekking tot privé-eindpunten van meerdere tenants beperken in Azure) voor meer informatie over beveiligingsproblemen met betrekking tot privé-eindpunten.

• Zie On-premises AD-domeinen integreren met Microsoft Entra ID voor aanbevelingen voor de volgende scenario's:

  • Externe gebruikers van uw organisatie toegang geven tot uw Azure-web-apps
  • Selfservicemogelijkheden implementeren voor eindgebruikers
  • Een on-premises netwerk en een virtueel netwerk gebruiken dat niet is verbonden met een VPN-tunnel (virtueel particulier netwerk) of Een ExpressRoute-circuit

• Zie de volgende artikelen voor algemene informatie en richtlijnen voor het migreren van toepassingen naar Microsoft Entra ID:

  • Toepassingsverificatie verplaatsen naar Microsoft Entra-id
  • Toepassingsverificatie migreren naar Microsoft Entra-id
  • Het activiteitenrapport van de toepassing controleren
  • Bronnen voor het migreren van toepassingen naar Microsoft Entra ID

Suite met basislijn-implementaties

Deze referentiearchitecturen bieden basislijn-implementaties voor verschillende scenario's:

• Een AD DS-resourceforest maken in Azure
• AD DS implementeren in een virtueel Azure-netwerk
• On-premises AD FS uitbreiden naar Azure

Blijf op de hoogte met identiteit

Microsoft Entra ID ontvangt voortdurend verbeteringen.

• Als u op de hoogte wilt blijven van recente ontwikkelingen, raadpleegt u Wat is er nieuw in Microsoft Entra ID?.
• Zie Azure-updates voor een roadmap met nieuwe belangrijke functies en services.

Aanvullende bronnen

De volgende bronnen bieden praktische aanbevelingen en informatie voor specifieke scenario's.

Microsoft Entra ID in onderwijsomgevingen

• Inleiding tot Microsoft Entra-tenants
• Een architectuur met meerdere mappen ontwerpen voor grote instellingen
• Tenantconfiguratie ontwerpen
• Verificatie- en referentiestrategieën ontwerpen
• Een accountstrategie ontwerpen
• Identiteitsbeheer ontwerpen
• Bijgewerkte richtlijnen voor De implementatie van Microsoft 365 EDU tijdens COVID-19

Informatie voor Amazon Web Services (AWS) en Google Cloud-professionals

• Multi-cloudbeveiliging en -identiteit met Azure en Amazon Web Services (AWS)
• Microsoft Entra-identiteitsbeheer en toegangsbeheer voor AWS
• Vergelijking van Google Cloud naar Azure-services: beveiliging en identiteit