Identiteits essentials voor multitenant defense-organisaties
De volgende handleiding bevat zero trust identity essentials voor multitenant defense organisaties en richt zich op Microsoft Entra ID. Zero Trust is een belangrijke strategie voor het waarborgen van de integriteit en vertrouwelijkheid van gevoelige informatie. Identiteit is een basispijler van nul vertrouwen. Microsoft Entra ID is de Microsoft-cloudidentiteitsservice. Microsoft Entra ID is een kritiek nulvertrouwensonderdeel dat alle Microsoft-cloudklanten gebruiken.
Architecten en besluitvormers moeten inzicht hebben in de kernmogelijkheden van Microsoft Entra ID en de rol ervan in nul vertrouwen voordat ze de strategie voor defensie-ondernemingen bouwen. Defensieorganisaties kunnen voldoen aan veel vereisten voor vertrouwensrelaties door Microsoft Entra ID te gebruiken. Velen hebben al toegang tot essentiële Microsoft Entra-functies via hun bestaande Microsoft 365-licenties.
Microsoft Entra-tenants
Een exemplaar van Microsoft Entra-id wordt een Microsoft Entra-tenant genoemd. Een Microsoft Entra-tenant is een identiteitsplatform en grens. Het is het identiteitsplatform voor uw organisatie en een veilige identiteitsgrens voor de Microsoft-cloudservices die u gebruikt. Daarom is het ideaal voor het beveiligen van gevoelige beveiligingsidentiteitsgegevens.
Microsoft Entra-tenants consolideren. Microsoft raadt één tenant per organisatie aan. Eén Microsoft Entra-tenant biedt de meest naadloze identiteitsbeheerervaring voor gebruikers en beheerders. Het biedt de meest uitgebreide mogelijkheden voor nulvertrouwen. Organisaties met meerdere Microsoft Entra-tenants moeten verschillende sets gebruikers, groepen, toepassingen en beleid beheren, waardoor de kosten toenemen en beheercomplexiteit worden toegevoegd. Eén tenant minimaliseert ook de licentiekosten.
U moet Microsoft 365, Azure-services, Power Platform-, LOB-toepassingen (Line-Of-Business), SaaS-toepassingen (Software-as-a-Service) en andere cloudserviceproviders (CSP) één Microsoft Entra-tenant gebruiken.
Microsoft Entra ID versus Active Directory. Microsoft Entra ID is geen evolutie van Active Directory-domein Services (AD DS). Het tenantconcept lijkt op een Active Directory-forest, maar de onderliggende architectuur is anders. Microsoft Entra ID is een hyperscale, moderne en cloudgebaseerde identiteitsservice.
Initiële domeinnamen en tenant-id's. Elke tenant heeft een unieke initiële domeinnaam en tenant-id. Een organisatie met de naam Contoso kan bijvoorbeeld de initiële domeinnaam contoso.onmicrosoft.com hebben voor Microsoft Entra-id en contoso.onmicrosoft.us voor Microsoft Entra Government. Tenant-id's zijn globally unique identifiers (GUID). Elke tenant heeft slechts één initiële domein- en tenant-id. Beide waarden zijn onveranderbaar en kunnen niet worden gewijzigd nadat de tenant is gemaakt.
Gebruikers melden zich aan bij Microsoft Entra-accounts met hun User Principal Name (UPN). De UPN is een Microsoft Entra-gebruikerskenmerk en heeft een routeerbaar achtervoegsel nodig. Het oorspronkelijke domein is het standaard routeerbare achtervoegsel (user@contoso.onmicrosoft.com). U kunt aangepaste domeinen toevoegen om een meer beschrijvende UPN te maken en te gebruiken. De beschrijvende UPN komt meestal overeen met het e-mailadres van de gebruiker (user@contoso.com). De UPN voor Microsoft Entra ID kan afwijken van de AD DS userPrincipalName van uw gebruikers. Het hebben van een andere UPN en AD DS userPrincipalName is gebruikelijk wanneer de waarden van AD DS userPrincipalName nietroutabel zijn of als ze een achtervoegsel gebruiken dat niet overeenkomt met een geverifieerd aangepast domein in de tenant.
U kunt slechts een aangepast domein in één Microsoft Entra-tenant wereldwijd verifiëren. Aangepaste domeinen zijn geen beveiligings- of vertrouwensgrenzen, zoals ad DS-forests (Active Directory-domein Services). Ze zijn een DNS-naamruimte voor het identificeren van de thuistenant van een Microsoft Entra-gebruiker.
Architectuur van Microsoft Entra
Microsoft Entra-id heeft geen domeincontrollers, organisatie-eenheden, groepsbeleidsobjecten, domein-/forestvertrouwensrelaties of FSMO-rollen (Flexible Single Master Operation). Microsoft Entra ID is een oplossing voor software-as-a-service, identiteitsbeheer. U hebt toegang tot Microsoft Entra-id via RESTful-API's. U gebruikt moderne verificatie - en autorisatieprotocollen voor toegang tot resources die worden beveiligd door Microsoft Entra-id. De map heeft een platte structuur en maakt gebruik van machtigingen op basis van resources.
Elke Microsoft Entra-tenant is een maximaal beschikbaar gegevensarchief voor identiteitsbeheergegevens. Hiermee worden identiteits-, beleids- en configuratieobjecten opgeslagen en gerepliceerd in Azure-regio's. Een Microsoft Entra-tenant biedt gegevensredundantie voor kritieke verdedigingsinformatie.
Identiteitstypen
Microsoft Entra ID heeft twee typen identiteiten. De twee identiteitstypen zijn gebruikers en service-principals.
Gebruikers. Gebruikers zijn identiteiten voor personen die toegang hebben tot Microsoft- en federatieve cloudservices. Gebruikers kunnen leden of gasten zijn in een exemplaar van Microsoft Entra-id. Leden zijn meestal intern voor uw organisatie en gasten behoren tot een externe organisatie, zoals een missiepartner of defensiecontractant. Zie het overzicht van B2B-samenwerking voor meer informatie over gastgebruikers en samenwerking tussen organisaties.
Service-principals. Service-principals zijn niet-persoonsentiteiten (NPE) in Microsoft Entra-id. Service-principals kunnen toepassingen, service-/automation-accounts en Azure-resources vertegenwoordigen. Zelfs niet-Azure-resources, zoals on-premises servers, kunnen een service-principal hebben in Microsoft Entra ID en communiceren met andere Azure-resources. Service-principals zijn handig bij het automatiseren van verdedigingswerkstromen en het beheren van toepassingen die essentieel zijn voor verdedigingsbewerkingen. Zie Toepassings- en service-principalobjecten in Microsoft Entra-id voor meer informatie.
Identiteiten synchroniseren. U kunt Microsoft Entra Connect Sync of Microsoft Entra Connect Cloud Sync gebruiken om gebruikers-, groeps- en computerobjecten (apparaat) te synchroniseren in Active Directory-domein Services met Microsoft Entra ID. Deze configuratie wordt hybride identiteit genoemd.
Machtigingen
Microsoft Entra ID maakt gebruik van een andere benadering van machtigingen dan traditionele on-premises Active Directory-domein Services (AD DS).
Microsoft Entra-rollen. U wijst machtigingen toe in Microsoft Entra-id met behulp van Microsoft Entra-directoryrollen. Deze rollen verlenen toegang tot specifieke API's en bereiken. Globale beheerder is de hoogste bevoorrechte rol in Microsoft Entra-id. Er zijn veel ingebouwde rollen voor verschillende beperkte beheerfuncties. U moet gedetailleerde machtigingen delegeren om het oppervlakoppervlak voor aanvallen te verminderen.
Belangrijk
Microsoft raadt u aan rollen te gebruiken met de minste machtigingen. Dit helpt de beveiliging voor uw organisatie te verbeteren. Globale beheerder is een zeer bevoorrechte rol die moet worden beperkt tot scenario's voor noodgevallen wanneer u geen bestaande rol kunt gebruiken.
Toewijzing van verhoogde machtigingen. Om de beveiliging te verbeteren en onnodige bevoegdheden te verminderen, biedt Microsoft Entra ID twee principes voor het toewijzen van machtigingen:
Just-In-Time (JIT): Microsoft Entra ID biedt ondersteuning voor Just-In-Time-toegang. Met de JIT-functie kunt u tijdelijk machtigingen toewijzen wanneer dat nodig is. JIT-toegang minimaliseert de blootstelling van onnodige bevoegdheden en vermindert het kwetsbaarheid voor aanvallen.
Just-Enough-Admin (JEA): Microsoft Entra ID volgt het just-enough-admin-principe. Met ingebouwde rollen kunt u beheerderstaken delegeren zonder overmatige machtigingen te verlenen. Beheereenheden kunnen het machtigingsbereik voor Microsoft Entra-rollen verder beperken.
Verificatie
In tegenstelling tot Active Directory zijn gebruikers in Microsoft Entra ID niet beperkt tot wachtwoord- of smartcardverificatie. Microsoft Entra-gebruikers kunnen wachtwoorden en vele andere verificatie- en verificatiemethoden gebruiken. Microsoft Entra ID maakt gebruik van moderne verificatieprotocollen, beschermt tegen aanvallen op basis van tokens en detecteert verdacht aanmeldingsgedrag.
Verificatiemethode. Microsoft Entra-verificatiemethoden omvatten systeemeigen ondersteuning voor smartcardcertificaten en afgeleide referenties, Microsoft Authenticator zonder wachtwoord, FIDO2-beveiligingssleutels (hardwarewachtwoordsleutel) en apparaatreferenties zoals Windows Hello voor Bedrijven. Microsoft Entra ID biedt wachtwoordloze, phishingbestendige methoden ter ondersteuning van de mogelijkheden van Memorandum 22-09 en DODCIO Zero Trust Strategy.
Verificatieprotocollen. Microsoft Entra ID maakt geen gebruik van Kerberos, NTLM of LDAP. Het maakt gebruik van moderne open protocollen die zijn bedoeld voor gebruik via internet, zoals OpenID Connect, OAuth 2.0, SAML 2.0 en SCIM. Hoewel Entra kerberos niet gebruikt voor eigen verificatie, kan kerberos-tickets voor hybride identiteiten worden uitgegeven om Azure Files te ondersteunen en aanmelding zonder wachtwoord in te schakelen voor on-premises resources. Met de Entra-toepassingsproxy kunt u Eenmalige aanmelding van Entra configureren voor on-premises toepassingen die alleen verouderde protocollen ondersteunen, zoals Kerberos en verificatie op basis van headers.
Beveiliging tegen tokenaanvallen. Traditionele AD DS is vatbaar voor kerberos-aanvallen. AD DS maakt gebruik van beveiligingsgroepen met bekende beveiligings-id's (SID),zoals S-1-5-domain-512 voor domeinadministratoren. Wanneer een domeinbeheerder een lokale of netwerk-aanmelding uitvoert, geeft de domeincontroller een Kerberos-ticket met de SID van domeinadministratoren uit en slaat deze op in een referentiecache. Bedreigingsactoren maken vaak gebruik van dit mechanisme met behulp van laterale verplaatsing en uitbreidingstechnieken voor bevoegdheden, zoals pass-the-hash en pass-the-ticket.
Microsoft Entra-id is echter niet vatbaar voor Kerberos-aanvallen. Het cloudequivalent is adversary-in-the-middle (AiTM)-technieken, zoals sessiekaaping en sessieherplay, om sessietokens (aanmeldingstokens) te stelen. Clienttoepassingen, Web Account Manager (WAM) of de webbrowser van de gebruiker (sessiecookies) slaan deze sessietokens op. Ter bescherming tegen tokendiefstalaanvallen gebruikt u het token van de Microsoft Entra ID-records om opnieuw afspelen te voorkomen en kunnen tokens cryptografisch zijn gebonden aan het apparaat van de gebruiker.
Zie het tokendiefstalplaybook voor meer informatie over diefstal van tokens.
Detecteer verdacht aanmeldingsgedrag. Microsoft Entra ID Protection maakt gebruik van een combinatie van realtime- en offlinedetecties om riskante gebruikers en aanmeldingsgebeurtenissen te identificeren. U kunt risicovoorwaarden in Entra-voorwaardelijke toegang gebruiken om de toegang tot uw toepassingen dynamisch te beheren of te blokkeren. Met continue toegangsevaluatie (CAE) kunnen client-apps wijzigingen in de sessie van een gebruiker detecteren om toegangsbeleid in bijna realtime af te dwingen.
Toepassingen
Microsoft Entra ID is niet alleen voor Microsoft-toepassingen en -services. Microsoft Entra ID kan de id-provider zijn voor elke toepassing, cloudserviceprovider, SaaS-provider of identiteitssysteem dat gebruikmaakt van dezelfde protocollen. Het biedt eenvoudig ondersteuning voor interoperabiliteit met geallieerde defensiekrachten en aannemers.
Beleids afdwingingspunt (PEP) en Beleidsbeslissingspunt (PDP). Microsoft Entra ID is een common policy enforcement point (PEP) en policy decision point (PDP) in zero trust architecturen. Het dwingt beveiligingsbeleid en toegangsbeheer af voor toepassingen.
Microsoft Entra ID-governance. Microsoft Entra ID-governance is een Microsoft Entra-functie. Hiermee kunt u de gebruikerstoegang beheren en de levenscyclus van de toegang automatiseren. Het zorgt ervoor dat gebruikers geschikte en tijdige toegang hebben tot toepassingen en resources.
Voorwaardelijke toegang. Met voorwaardelijke toegang kunt u kenmerken gebruiken voor verfijnde autorisatie voor toepassingen. U kunt toegangsbeleid definiëren op basis van verschillende factoren. Deze factoren omvatten gebruikerskenmerken, referentiesterkte, toepassingskenmerken, gebruikers- en aanmeldingsrisico's, apparaatstatus en locatie. Zie zero trust security voor meer informatie.
Apparaten
Microsoft Entra ID biedt veilige en naadloze toegang tot Microsoft-services via apparaatbeheer. U kunt Windows-apparaten beheren en koppelen aan Microsoft Entra, vergelijkbaar met de manier waarop u dat zou doen met Active Directory-domein Services.
Geregistreerde apparaten. Apparaten worden geregistreerd bij uw Entra-tenant wanneer gebruikers zich aanmelden bij toepassingen met hun Entra-account. Registratie van entra-apparaten is niet hetzelfde als apparaatinschrijving of Entra join. Gebruikers melden zich aan bij geregistreerde apparaten met een lokaal account of Microsoft-account. Geregistreerde apparaten omvatten vaak Bring Your Own Devices (BYOD), zoals de pc voor thuisgebruik of persoonlijke telefoon van een gebruiker.
Aan Microsoft Entra gekoppelde apparaten. Wanneer gebruikers zich aanmelden bij een apparaat dat is toegevoegd aan Microsoft Entra, wordt een apparaatgebonden sleutel ontgrendeld met behulp van een pincode of beweging. Na validatie geeft Microsoft Entra ID een primair vernieuwingstoken (PRT) aan het apparaat. Deze PRT vereenvoudigt eenmalige aanmelding tot met Microsoft Entra ID beveiligde services zoals Microsoft Teams.
Aan Microsoft Entra gekoppelde apparaten die zijn ingeschreven in Microsoft Endpoint Manager (Intune), kunnen apparaatcompatibiliteit gebruiken als een toekenningsbeheer binnen voorwaardelijke toegang.
Hybride apparaten van Microsoft Entra. Met Hybride koppeling van Microsoft Entra kunnen Windows-apparaten tegelijkertijd worden verbonden met zowel Active Directory-domein Services als Microsoft Entra ID. Deze apparaten verifiëren gebruikers eerst bij Active Directory en vervolgens halen ze een primair vernieuwingstoken op uit Microsoft Entra-id.
Door Intune beheerde apparaten en toepassingen. Microsoft Intune vereenvoudigt het registreren en inschrijven van apparaten voor beheer. Met Intune kunt u compatibele en veilige statussen definiëren voor gebruikersapparaten, apparaten beveiligen met Microsoft Defender voor Eindpunt en vereisen dat gebruikers een compatibel apparaat gebruiken voor toegang tot bedrijfsresources.
Microsoft 365 en Azure
Microsoft Entra ID is het identiteitsplatform van Microsoft. Het fungeert zowel voor Microsoft 365- als Azure-services. Microsoft 365-abonnementen maken en gebruiken een Microsoft Entra-tenant. Azure-services zijn ook afhankelijk van een Microsoft Entra-tenant.
Microsoft 365-identiteit. Microsoft Entra ID is integraal voor alle identiteitsbewerkingen binnen Microsoft 365. Het verwerkt de toewijzing van gebruikersaanmelding, samenwerking, delen en machtigingen. Het ondersteunt identiteitsbeheer voor Office 365-, Intune- en Microsoft Defender XDR-services. Uw gebruikers gebruiken Microsoft Entra telkens wanneer ze zich aanmelden bij een Office-app licatie zoals Word of Outlook, een document delen met OneDrive, een externe gebruiker uitnodigen voor een SharePoint-site of een nieuw team maken in Microsoft Teams.
Azure-identiteit. In Azure is elke resource gekoppeld aan een Azure-abonnement en zijn abonnementen gekoppeld aan één Microsoft Entra-tenant. U delegeert machtigingen voor het beheren van Azure-resources door Azure-rollen toe te wijzen aan gebruikers, beveiligingsgroepen of service-principals.
Beheerde identiteiten spelen een cruciale rol bij het veilig communiceren van Azure-resources met andere resources. Deze beheerde identiteiten zijn beveiligingsprinciplen in de Microsoft Entra-tenant. U verleent machtigingen aan hen op basis van minimale bevoegdheden. U kunt een beheerde identiteit autoriseren voor toegang tot API's die worden beveiligd door Microsoft Entra-id, zoals Microsoft Graph. Wanneer een Azure-resource een beheerde identiteit gebruikt, is de beheerde identiteit een service-principal-object. Het service-principalobject bevindt zich binnen dezelfde Microsoft Entra-tenant als het abonnement dat is gekoppeld aan de resource.
Microsoft Graph
Microsoft-webportals voor Microsoft Entra, Azure en Microsoft 365 bieden een grafische interface voor Microsoft Entra-id. U kunt programmatische toegang automatiseren voor het lezen en bijwerken van Microsoft Entra-objecten en configuratiebeleid met behulp van RESTful-API's met de naam Microsoft Graph. Microsoft Graph ondersteunt clients in verschillende talen. Ondersteunde talen zijn PowerShell, Go, Python, Java, .NET, Ruby en meer. Verken de Microsoft Graph-opslagplaatsen op GitHub.
Azure Government-clouds
Er zijn twee afzonderlijke versies van de Microsoft Entra Services Defense-organisaties die kunnen worden gebruikt op openbare (internetverbinding) netwerken: Microsoft Entra Global en Microsoft Entra Government.
Microsoft Entra Global. Microsoft Entra Global is voor commerciële Microsoft 365 en Azure, Microsoft 365 GCC Moderate. De aanmeldingsservice voor Microsoft Entra Global is login.microsoftonline.com.
Microsoft Entra Government. Microsoft Entra Government is Azure Government (IL4), DoD (IL5), Microsoft 365 GCC High, Microsoft 365 DoD (IL5). De aanmeldingsservice voor Microsoft Entra Government is login.microsoftonline.us.
Service-URL's. Verschillende Microsoft Entra-services gebruiken verschillende aanmeldings-URL's. Als gevolg hiervan moet u afzonderlijke webportals gebruiken. U moet ook omgevingsswitches opgeven om verbinding te maken met Microsoft Graph-clients en PowerShell-modules voor het beheren van Azure en Microsoft 365 (zie tabel 1).
Tabel 1. Azure Government-eindpunten.
| Eindpunt | Globaal | GCC Hoog | DoD Impact Level 5 (IL5) |
|---|---|---|---|
| Microsoft Entra-beheercentrum | entra.microsoft.com | entra.microsoft.us | entra.microsoft.us |
| Azure Portal | portal.azure.com | portal.azure.us | portal.azure.us |
| Defender-beheercentrum | security.microsoft.com | security.microsoft.us | security.apps.mil |
| MS Graph PowerShell | Connect-MgGraph<br>-Environment Global |
Connect-MgGraph<br>-Environment USGov |
Connect-MgGraph<br>-Environment USGovDoD |
| Az-module PowerShell | Connect-AzAccount<br>-Environment AzureCloud |
Connect-AzAccount<br>-Environment AzureUSGovernment |
Connect-AzAccount<br>-Environment AzureUSGovernment |
| Azure-CLI | az cloud set --name AzureCloud |
az cloud set --name AzureUSGovernment |
az cloud set --name AzureUSGovernment |