Strategieën voor cloud-, hybride en multicloudtoegang ontwerpen (inclusief Microsoft Entra-id)
In deze les vindt u een overzicht van ontwerpaanbiedingen met betrekking tot identiteits- en toegangsbeheer in een cloudomgeving, op basis van het ontwerpgebied voor Azure-identiteit en toegangsbeheer van het Cloud Adoption Framework. Zie de volgende artikelen voor gedetailleerdere bespreking van alle relevante ontwerpdiscussies:
Identiteitsoplossingen vergelijken
Active Directory vs Microsoft Entra ID: gebruikersbeheer
| Concept | Active Directory (AD) | Microsoft Entra ID |
|---|---|---|
| Gebruikers | ||
| Inrichten: gebruikers | Organisaties maken handmatig interne gebruikers of gebruiken een intern of geautomatiseerd inrichtingssysteem, zoals Microsoft Identity Manager, om te integreren met een HR-systeem. | Bestaande AD-organisaties gebruiken Microsoft Entra Verbinding maken om identiteiten te synchroniseren met de cloud. Microsoft Entra ID voegt ondersteuning toe voor het automatisch maken van gebruikers op basis van HR-systemen in de cloud. Microsoft Entra ID kan identiteiten inrichten in SaaS-apps waarvoor SCIM is ingeschakeld, zodat apps automatisch de benodigde gegevens krijgen om toegang voor gebruikers toe te staan. |
| Inrichten: externe identiteiten | Organisaties maken handmatig externe gebruikers als gewone gebruikers in een toegewezen externe AD-forest, wat leidt tot beheeroverhead voor het beheren van de levenscyclus van externe identiteiten (gastgebruikers) | Microsoft Entra ID biedt een speciale identiteitsklasse ter ondersteuning van externe identiteiten. Microsoft Entra B2B beheert de koppeling naar de externe gebruikersidentiteit om er zeker van te zijn dat deze geldig zijn. |
| Rechtenbeheer en groepen | Beheer istrators maken gebruikers lid van groepen. App- en resource-eigenaren geven vervolgens groepen toegang tot apps of resources. | Groepen zijn ook beschikbaar in Microsoft Entra-id en beheerders kunnen ook groepen gebruiken om machtigingen te verlenen aan resources. In Microsoft Entra ID kunnen beheerders handmatig lidmaatschap toewijzen aan groepen of een query gebruiken om gebruikers dynamisch op te nemen in een groep. Beheer istrators kunnen Rechtenbeheer in Microsoft Entra ID gebruiken om gebruikers toegang te geven tot een verzameling apps en resources met behulp van werkstromen en, indien nodig, op tijd gebaseerde criteria. |
| beheer van Beheer | Organisaties gebruiken een combinatie van domeinen, organisatie-eenheden en groepen in AD om beheerdersrechten te delegeren voor het beheren van de directory en resources die worden beheerd. | Microsoft Entra ID biedt ingebouwde rollen met het Microsoft Entra-systeem voor op rollen gebaseerd toegangsbeheer (Microsoft Entra RBAC), met beperkte ondersteuning voor het maken van aangepaste rollen voor het delegeren van bevoegde toegang tot het identiteitssysteem, de apps en resources die worden beheerd. Het beheren van rollen kan worden uitgebreid met Privileged Identity Management (PIM) om Just-In-Time,Time-beperkte of op werkstroom gebaseerde toegang te bieden tot bevoorrechte rollen. |
| Referentiebeheer | Referenties in Active Directory zijn gebaseerd op wachtwoorden, certificaatverificatie en smartcardverificatie. Wachtwoorden worden beheerd met behulp van wachtwoordbeleid dat is gebaseerd op wachtwoordlengte, verlooptijd en complexiteit. | Microsoft Entra ID maakt gebruik van intelligente wachtwoordbeveiliging voor de cloud en on-premises. Beveiliging omvat slimme vergrendeling plus het blokkeren van algemene en aangepaste wachtwoordzinnen en vervangingen. Microsoft Entra ID verbetert de beveiliging aanzienlijk via multi-factor authentication en wachtwoordloze technologieën, zoals FIDO2. Microsoft Entra ID vermindert de ondersteuningskosten door gebruikers een selfservicesysteem voor wachtwoordherstel te bieden. |
Op Active Directory gebaseerde services in Azure: AD DS, Microsoft Entra ID en Microsoft Entra Domain Services
Er zijn drie gebruikelijke manieren om op Active Directory gebaseerde services in Azure te gebruiken om toepassingen, services of apparaten toegang te geven tot een centrale identiteit. Deze keuze van identiteitsoplossingen biedt u de flexibiliteit om gebruik te maken van de meest geschikte map voor de behoeften van uw organisatie. Als u bijvoorbeeld vooral alleen-cloudgebruikers met mobiele apparaten beheert, is het wellicht niet zinvol om uw eigen AD DS-identiteitsoplossing (Active Directory Domain Services) te bouwen en uit te voeren. In plaats daarvan kunt u gewoon Microsoft Entra ID gebruiken.
Hoewel de drie op Active Directory gebaseerde identiteitsoplossingen een gemeenschappelijke naam en technologie delen, zijn ze ontworpen om services te bieden die voldoen aan verschillende klanteisen. Op hoog niveau zijn de identiteitsoplossingen en functiesets als volgt:
- Active Directory Domain Services (AD DS) - LDAP-server (Lightweight Directory Access Protocol) voor zakelijk gebruik die belangrijke functies biedt, zoals identiteit en verificatie, computerobjectbeheer, groepsbeleid en vertrouwensrelaties.
- AD DS is een centraal onderdeel in veel organisaties met een on-premises IT-omgeving en biedt kernverificatie van gebruikersaccounts en computerbeheerfuncties.
- Microsoft Entra ID : cloudgebaseerde identiteits- en beheer van mobiele apparaten die gebruikersaccounts en verificatieservices biedt voor resources zoals Microsoft 365, Azure Portal of SaaS-toepassingen.
- Microsoft Entra-id kan worden gesynchroniseerd met een on-premises AD DS-omgeving om één identiteit te bieden aan gebruikers die systeemeigen in de cloud werken.
- Microsoft Entra Domain Services (Microsoft Entra Domain Services): biedt beheerde domeinservices met een subset van volledig compatibele traditionele AD DS-functies zoals domeindeelname, groepsbeleid, LDAP en Kerberos/NTLM-verificatie.
- Microsoft Entra Domain Services kan worden geïntegreerd met Microsoft Entra ID, die zelf kan worden gesynchroniseerd met een on-premises AD DS-omgeving. Met deze mogelijkheid worden de centrale identiteitgebruikscases uitgebreid naar traditionele webtoepassingen die worden uitgevoerd in Azure als onderdeel van een lift-and-shift-strategie.
Zie Zelfbeheerde Active Directory-domein Services, Microsoft Entra ID en beheerde Microsoft Entra Domain Services vergelijken voor een uitgebreidere bespreking van deze drie opties.
Aanbevelingen voor kruislings ontwerp
- Gebruik gecentraliseerde en gedelegeerde verantwoordelijkheden op basis van rol- en beveiligingsvereisten om resources binnen de landingszone te beheren.
- Voor de volgende typen bevoegde bewerkingen zijn speciale machtigingen vereist. Bedenk welke gebruikers dergelijke aanvragen zullen verwerken en hoe ze hun accounts adequaat kunnen beveiligen en controleren.
- Service-principalobjecten maken.
- Toepassingen registreren in Microsoft Entra ID.
- Certificaten of jokertekencertificaten aanschaffen en verwerken.
- Gebruik de Microsoft Entra-toepassingsproxy om toegang te krijgen tot toepassingen die gebruikmaken van on-premises verificatie op afstand via Microsoft Entra-id.
- Evalueer de compatibiliteit van workloads voor Microsoft Entra Domain Services en voor AD DS op Windows Server.
- Zorg ervoor dat u uw netwerk ontwerpt, zodat resources waarvoor AD DS op Windows Server is vereist voor lokale verificatie en beheer toegang hebben tot hun domeincontrollers. Voor AD DS in Windows Server kunt u gedeelde serviceomgevingen overwegen die lokale verificatie en hostbeheer bieden in een grotere bedrijfsbrede netwerkcontext.
- Wanneer u Microsoft Entra Domain Services implementeert of on-premises omgevingen in Azure integreert, gebruikt u locaties met Beschikbaarheidszones voor meer beschikbaarheid.
- Implementeer Microsoft Entra Domain Services in de primaire regio, omdat u deze service alleen in één abonnement kunt projecteer. U kunt Microsoft Entra Domain Services uitbreiden naar andere regio's met replicasets.
- Gebruik beheerde identiteiten in plaats van service-principals voor verificatie bij Azure-services. Door deze aanpak wordt de blootstelling aan referentiediefstal beperkt.
Azure- en on-premises hybride identiteit - Ontwerpaanbevelingen
Evalueer de volgende aanbevelingen voor het hosten van iaaS-oplossingen (Infrastructure as a Service) voor hybride identiteiten:
- Voor toepassingen die gedeeltelijk on-premises en deels in Azure worden gehost, controleert u welke integratie zinvol is op basis van uw scenario. Zie AD DS implementeren in een virtueel Azure-netwerk voor meer informatie.
- Als u AD FS hebt, gaat u naar de cloud om identiteit te centraliseren en operationele inspanningen te verminderen. Als AD FS nog steeds deel uitmaakt van uw identiteitsoplossing, installeert en gebruikt u Microsoft Entra Verbinding maken.
Identiteit voor Azure-platformbronnen - ontwerpaanbevelingen
Een gecentraliseerde identiteit maakt gebruik van één locatie in de cloud en de integratie van de Active Directory-service, het beheren van toegang, verificatie en toepassingen. Deze aanpak biedt een beter beheer voor het IT-team. Voor gecentraliseerde Directory-services is de best practice om slechts één Microsoft Entra-tenant te hebben.
Wanneer u toegang verleent tot resources, gebruikt u Microsoft Entra-groepen voor Azure-besturingsvlak-resources en Microsoft Entra Privileged Identity Management. Voeg on-premises groepen toe aan de Microsoft Entra-only-groep als er al een groepsbeheersysteem aanwezig is. Microsoft Entra-only wordt ook wel alleen cloud genoemd.
Met behulp van Microsoft Entra-groepen kunt u zowel gebruikers als groepen toevoegen die on-premises worden gesynchroniseerd met behulp van Microsoft Entra Verbinding maken. U kunt ook Microsoft Entra-only-gebruikers en -groepen toevoegen aan één Microsoft Entra-only-groep, inclusief gastgebruikers.
Groepen die vanuit on-premises worden gesynchroniseerd, kunnen alleen worden beheerd en bijgewerkt vanuit de identiteitsbron van waarheid. Dit is de on-premises Active Directory. Deze groepen kunnen alleen leden van dezelfde identiteitsbron bevatten, wat geen flexibiliteit biedt op de manier waarop Microsoft Entra-groepen dat doen.
Integreer Microsoft Entra-logboeken met de platform-centrale Log Analytics-werkruimte. Met deze benadering kunt u één bron van waarheid rond logboek- en bewakingsgegevens in Azure gebruiken. Deze bron biedt organisaties cloudeigen opties om te voldoen aan de vereisten voor het verzamelen en bewaren van logboeken.
Aangepast gebruikersbeleid kan alle vereisten voor gegevenssoevereiniteit voor de organisatie afdwingen.
Als identiteitsbeveiliging wordt gebruikt als onderdeel van uw identiteitsoplossing, moet u ervoor zorgen dat u het break-glass-beheerdersaccount uitsluit.
Ontwerpaanbevelingen - Azure-identiteit en -toegang voor landingszones
Implementeer beleid voor voorwaardelijke toegang van Microsoft Entra voor gebruikers met rechten voor Azure-omgevingen. Voorwaardelijke toegang biedt een ander mechanisme om een beheerde Azure-omgeving te beschermen tegen onbevoegde toegang.
Meervoudige verificatie (MFA) afdwingen voor gebruikers met rechten voor de Azure-omgevingen. Voor veel nalevingsframeworks is afdwinging van meervoudige verificatie vereist. Meervoudige verificatie vermindert het risico op diefstal van referenties en onbevoegde toegang aanzienlijk.
Overweeg het gebruik van service-principals voor niet-interactieve resource-aanmeldingen, zodat meervoudige verificatie en tokenvernieuwingen geen invloed hebben op bewerkingen.
Gebruik door Microsoft Entra beheerde identiteiten voor Azure-resources om verificatie op basis van referenties te voorkomen. Veel beveiligingsschendingen van openbare cloudresources zijn afkomstig van referentiediefstal die is ingesloten in code of andere tekst. Het afdwingen van beheerde identiteiten voor programmatische toegang vermindert het risico op diefstal van referenties aanzienlijk.
Gebruik Microsoft Defender voor Cloud voor Just-In-Time-toegang tot alle IaaS-resources (Infrastructure as a Service). Defender voor Cloud kunt u beveiliging op netwerkniveau inschakelen voor kortstondige gebruikerstoegang tot virtuele IaaS-machines.
PIM (Privileged Identity Management)
Gebruik Microsoft Entra Privileged Identity Management (PIM) om zero-trust en minimale toegangsrechten tot stand te brengen. Wijs de rollen van uw organisatie toe aan de minimale toegangsniveaus die nodig zijn. Microsoft Entra PIM kan systeemeigen Azure-hulpprogramma's gebruiken, huidige hulpprogramma's en processen uitbreiden of indien nodig zowel huidige als systeemeigen hulpprogramma's gebruiken.
Gebruik Microsoft Entra PIM-toegangsbeoordelingen om periodiek resourcerechten te valideren. Toegangsbeoordelingen maken deel uit van veel nalevingsframeworks, dus veel organisaties hebben al een proces voor toegangsbeoordeling.
Gebruik bevoegde identiteiten voor Automation-runbooks waarvoor verhoogde toegangsmachtigingen vereist zijn. Gebruik dezelfde hulpprogramma's en beleidsregels om geautomatiseerde werkstromen te beheren die toegang hebben tot kritieke beveiligingsgrenzen als u gebruikt om gebruikers van gelijkwaardige bevoegdheden te beheren.
RBAC-aanbevelingen
Gebruik Azure RBAC om, indien mogelijk, de toegang tot resources in het gegevensvlak te beheren. Voorbeelden van eindpunten voor gegevensvlakken zijn Azure Key Vault, een opslagaccount of een SQL Database.
Voeg gebruikers niet rechtstreeks toe aan Azure-resourcebereiken. Directe gebruikerstoewijzingen omzeilen gecentraliseerd beheer, waardoor het moeilijker wordt om onbevoegde toegang tot beperkte gegevens te voorkomen. Voeg in plaats daarvan gebruikers toe aan gedefinieerde rollen en wijs de rollen toe aan resourcebereiken.
Gebruik ingebouwde Rollen van Microsoft Entra om de volgende identiteitsinstellingen te beheren:
| Rol | Gebruik | Notitie |
|---|---|---|
| Globale beheerder | Wijs niet meer dan vijf personen toe aan deze rol. | |
| Hybride omgeving | Hybrid Identity-beheerder | |
| Verificatie | Beveiligingsbeheer | |
| Ondernemingstoepassing of toepassingsproxy | Toepassingsbeheerder | Geen globale beheerder van toestemming. |
Als de ingebouwde Azure-rollen niet voldoen aan de specifieke behoeften van uw organisatie, kunt u uw eigen aangepaste rollen maken.