Wybieranie właściwej metody uwierzytelniania dla rozwiązania tożsamości hybrydowej firmy Microsoft Entra

Wybór właściwej metody uwierzytelniania jest pierwszą kwestią dla organizacji, które chcą przenieść swoje aplikacje do chmury. Nie podejmuj tej decyzji lekko, z następujących powodów:

1. Jest to pierwsza decyzja dla organizacji, która chce przejść do chmury.

2. Metoda uwierzytelniania jest krytycznym składnikiem obecności organizacji w chmurze. Kontroluje dostęp do wszystkich danych i zasobów w chmurze.

3. Jest to podstawa wszystkich innych zaawansowanych funkcji zabezpieczeń i środowiska użytkownika w usłudze Microsoft Entra ID.

Tożsamość to nowa płaszczyzna kontroli zabezpieczeń IT, dlatego uwierzytelnianie to ochrona dostępu organizacji do nowego świata chmury. Organizacje potrzebują płaszczyzny kontroli tożsamości, która zwiększa bezpieczeństwo i chroni aplikacje w chmurze przed intruzami.

Uwaga

Zmiana metody uwierzytelniania wymaga planowania, testowania i potencjalnie przestoju. Wdrożenie etapowe to doskonały sposób testowania migracji użytkowników z federacji do uwierzytelniania w chmurze.

Poza zakresem

Organizacje, które nie mają istniejącego lokalnego katalogu, nie skupiają się na tym artykule. Zazwyczaj te firmy tworzą tożsamości tylko w chmurze, co nie wymaga rozwiązania tożsamości hybrydowej. Tożsamości tylko w chmurze istnieją wyłącznie w chmurze i nie są skojarzone z odpowiednimi tożsamościami na miejscu.

Metody uwierzytelniania

Gdy rozwiązanie tożsamości hybrydowej Firmy Microsoft Entra to nowa płaszczyzna sterowania, uwierzytelnianie jest podstawą dostępu do chmury. Wybór właściwej metody uwierzytelniania jest kluczową pierwszą decyzją podczas konfigurowania rozwiązania tożsamości hybrydowej firmy Microsoft Entra. Wybrana przez Ciebie metoda uwierzytelniania jest konfigurowana za pomocą Microsoft Entra Connect, który również wprowadza użytkowników w chmurze.

Aby wybrać metodę uwierzytelniania, należy wziąć pod uwagę czas, istniejącą infrastrukturę, złożoność i koszt implementacji. Te czynniki są różne dla każdej organizacji i mogą ulec zmianie w czasie.

Identyfikator Entra firmy Microsoft obsługuje następujące metody uwierzytelniania dla rozwiązań do obsługi tożsamości hybrydowych.

Uwierzytelnianie w chmurze

Po wybraniu tej metody uwierzytelniania identyfikator Entra firmy Microsoft obsługuje proces logowania użytkowników. W połączeniu z logowaniem jednokrotnym użytkownicy mogą logować się do aplikacji w chmurze bez konieczności ponownego wprowadzania poświadczeń. W przypadku uwierzytelniania w chmurze można wybrać jedną z dwóch opcji:

Synchronizacja skrótu hasła Microsoft Entra. Najprostszym sposobem włączenia uwierzytelniania dla obiektów katalogu lokalnego w identyfikatorze Entra firmy Microsoft. Użytkownicy mogą używać tej samej nazwy użytkownika i hasła, które używają lokalnie bez konieczności wdrażania innej infrastruktury. Niektóre funkcje premium identyfikatora Entra firmy Microsoft, takie jak Ochrona tożsamości Microsoft Entra i Microsoft Entra Domain Services, wymagają synchronizacji skrótów haseł, niezależnie od wybranej metody uwierzytelniania.

Uwaga

Hasła nigdy nie są przechowywane w postaci zwykłego tekstu lub szyfrowane za pomocą algorytmu odwracalnego w identyfikatorze Entra firmy Microsoft. Aby uzyskać więcej informacji na temat rzeczywistego procesu synchronizacji skrótów haseł, zobacz Implementowanie synchronizacji skrótów haseł za pomocą programu Microsoft Entra Connect Sync.

Uwierzytelnianie przekazywane przez firmę Microsoft Entra. Zapewnia prostą weryfikację hasła dla usług uwierzytelniania Firmy Microsoft Entra przy użyciu agenta oprogramowania, który działa na co najmniej jednym serwerze lokalnym. Serwery weryfikują użytkowników bezpośrednio z lokalnym serwerem Active Directory, co gwarantuje, że weryfikacja hasła nie nastąpi w chmurze.

Firmy, które mają wymóg bezpieczeństwa, aby natychmiast egzekwować stany kont użytkowników na miejscu, zasady dotyczące haseł i dostępność godzin logowania, mogą używać tej metody uwierzytelniania. Aby uzyskać więcej informacji na temat rzeczywistego procesu uwierzytelniania pass-through, zobacz Logowanie użytkownika przy użyciu uwierzytelniania pass-through Microsoft Entra.

Uwierzytelnianie federacyjne

Po wybraniu tej metody uwierzytelniania, Microsoft Entra ID przekazuje proces uwierzytelniania do odrębnego zaufanego systemu, takiego jak lokalne usługi Active Directory Federation Services (AD FS), w celu weryfikacji hasła użytkownika.

System uwierzytelniania może zapewnić inne zaawansowane wymagania dotyczące uwierzytelniania, na przykład uwierzytelnianie wieloskładnikowe innej firmy.

Poniższa sekcja ułatwia określenie, która metoda uwierzytelniania jest odpowiednia dla Ciebie przy użyciu drzewa decyzyjnego. Ułatwia to określenie, czy wdrożyć uwierzytelnianie w chmurze, czy federacyjne dla rozwiązania tożsamości hybrydowej firmy Microsoft Entra.

Drzewo decyzyjne

Szczegółowe informacje na temat pytań dotyczących decyzji:

1. Microsoft Entra ID może obsługiwać logowanie dla użytkowników bez polegania na składnikach lokalnych w celu zweryfikowania haseł.
2. Identyfikator Entra firmy Microsoft może przekazać logowanie użytkownika do zaufanego dostawcy uwierzytelniania, takiego jak usługi AD FS firmy Microsoft.
3. Jeśli musisz zastosować zasady zabezpieczeń usługi Active Directory na poziomie użytkownika, takie jak konto wygasło, konto wyłączone, hasło wygasło, konto zablokowane i godziny logowania użytkownika na każdym logowaniu użytkownika, identyfikator Microsoft Entra ID wymaga niektórych składników lokalnych.
4. Funkcje logowania nie są natywnie obsługiwane przez identyfikator Entra firmy Microsoft:
   • Logowanie przy użyciu zewnętrznej usługi uwierzytelniania.
   • Rozwiązanie uwierzytelniania lokalnego obejmujące wiele lokacji.
5. Ochrona Microsoft Entra Identyfikator wymaga synchronizacji skrótów haseł niezależnie od wybranej metody logowania, aby udostępnić raport użytkownikom o ujawnionych poświadczeniach. Organizacje mogą przełączyć się na Synchronizację Skrótu Hasła, jeśli ich podstawowa metoda logowania zawiedzie i została skonfigurowana przed wystąpieniem awarii.

Uwaga

Ochrona tożsamości Microsoft Entra wymaga licencji Microsoft Entra ID P2.

Szczegółowe zagadnienia

Uwierzytelnianie w chmurze: synchronizacja skrótów haseł

• Wysiłek. Synchronizacja skrótów haseł wymaga najmniejszego nakładu pracy w zakresie wdrażania, konserwacji i infrastruktury. Ten poziom nakładu pracy zwykle dotyczy organizacji, które potrzebują tylko swoich użytkowników do logowania się do platformy Microsoft 365, aplikacji SaaS i innych zasobów opartych na identyfikatorach Firmy Microsoft. Po włączeniu synchronizacja skrótów haseł jest częścią procesu synchronizacji programu Microsoft Entra Connect i jest uruchamiana co dwie minuty.

• Doświadczenie użytkownika. Aby ulepszyć środowisko logowania użytkowników, użyj urządzeń dołączonych do Microsoft Entra lub urządzeń hybrydowo dołączonych do Microsoft Entra. Jeśli nie możesz dołączyć urządzeń z systemem Windows do identyfikatora Entra firmy Microsoft, zalecamy wdrożenie bezproblemowego logowania jednokrotnego przy użyciu synchronizacji skrótów haseł. Bezproblemowe logowanie jednokrotne eliminuje niepotrzebne monity, gdy użytkownicy są zalogowani.

• Zaawansowane scenariusze. Jeśli organizacje zdecydują się, można korzystać z danych z tożsamości, w raportach Microsoft Entra ID Protection, z wykorzystaniem Microsoft Entra ID P2 firmy Microsoft. Przykładem jest raport z wyciekiem danych uwierzytelniających. Windows Hello dla firm ma określone wymagania dotyczące korzystania z synchronizacji skrótów haseł. Usługi Microsoft Entra Domain Services wymagają synchronizacji skrótów haseł, aby zapewnić użytkownikom dostęp do poświadczeń firmowych w zarządzanej domenie.

  Organizacje wymagające uwierzytelniania wieloskładnikowego z synchronizacją skrótów haseł muszą używać uwierzytelniania wieloskładnikowego Microsoft Entra lub niestandardowych kontrolek dostępu warunkowego. Organizacje te nie mogą używać metod uwierzytelniania wieloskładnikowego innych firm ani lokalnych, które opierają się na federacji.

Uwaga

Dostęp warunkowy firmy Microsoft Entra wymaga licencji microsoft Entra ID P1 .

• Ciągłość działalności biznesowej. Korzystanie z synchronizacji skrótów haseł z uwierzytelnianiem w chmurze jest wysoce dostępne jako usługa w chmurze, która jest skalowana do wszystkich centrów danych firmy Microsoft. Aby upewnić się, że synchronizacja skrótów haseł nie działa przez dłuższy czas, wdróż drugi serwer Microsoft Entra Connect w trybie przejściowym w konfiguracji rezerwowej.

• Zagadnienia. Obecnie synchronizacja skrótów haseł nie wymusza natychmiast zmian w stanach konta lokalnego. W takiej sytuacji użytkownik ma dostęp do aplikacji w chmurze, dopóki stan konta użytkownika nie zostanie zsynchronizowany z identyfikatorem Entra firmy Microsoft. Organizacje mogą chcieć przezwyciężyć to ograniczenie, uruchamiając nowy cykl synchronizacji po tym, jak administratorzy zbiorczo aktualizują stany konta użytkownika lokalnego. Przykładem jest wyłączenie kont.

Uwaga

Hasło wygasło, a stany zablokowania konta nie są obecnie synchronizowane z Microsoft Entra ID przy użyciu Microsoft Entra Connect. Jeśli zmienisz hasło użytkownika i ustawisz użytkownik musi zmienić hasło przy następnym logowaniu, skrót hasła nie zostanie zsynchronizowany do Microsoft Entra ID za pomocą Microsoft Entra Connect, aż użytkownik zmieni hasło.

Aby uzyskać instrukcje wdrażania, zapoznaj się z tematem Implementowanie synchronizacji skrótów haseł.

Uwierzytelnianie w chmurze: uwierzytelnianie przekazywane

• Wysiłek. W przypadku uwierzytelniania przekazywanego potrzebny jest co najmniej jeden (zalecamy co najmniej trzy) lekki agent zainstalowany na istniejących serwerach. Ci agenci muszą mieć dostęp do lokalnych usług Active Directory Domain Services, w tym do lokalnych kontrolerów domeny AD. Potrzebują one dostępu wychodzącego do Internetu i dostępu do kontrolerów domeny. Z tego powodu nie jest zalecane wdrażanie agentów w sieci obwodowej.

  Przekazywane uwierzytelnianie wymaga nieograniczonego dostępu sieciowego do kontrolerów domeny. Cały ruch sieciowy jest szyfrowany i ograniczony do żądań uwierzytelniania. Aby uzyskać więcej informacji na temat tego procesu, zapoznaj się z szczegółowym omówieniem zabezpieczeń uwierzytelniania przepustowego.

• Doświadczenie użytkownika. Aby ulepszyć doświadczenia użytkowników związane z logowaniem, użyj urządzeń połączonych z Microsoft Entra lub urządzeń hybrydowo połączonych z Microsoft Entra. Jeśli nie możesz dołączyć urządzeń z systemem Windows do identyfikatora Entra firmy Microsoft, zalecamy wdrożenie bezproblemowego logowania jednokrotnego przy użyciu synchronizacji skrótów haseł. Bezproblemowe SSO eliminuje niepotrzebne monity, gdy użytkownicy są uwierzytelnieni.

• Zaawansowane scenariusze. Uwierzytelnianie przekazywane wymusza zasady konta lokalnego podczas logowania. Na przykład odmowa dostępu następuje, gdy status konta użytkownika na miejscu jest wyłączone, zablokowane lub gdy jego hasło wygasa albo próba logowania nie mieści się w dozwolonych godzinach logowania.

  Organizacje, które wymagają uwierzytelniania wieloskładnikowego z uwierzytelnianiem przekazywanym, muszą używać uwierzytelniania wieloskładnikowego firmy Microsoft lub niestandardowych mechanizmów kontroli dostępu warunkowego. Te organizacje nie mogą używać zewnętrznych ani lokalnych metod uwierzytelniania wieloskładnikowego, które opierają się na federacji. Zaawansowane funkcje wymagają wdrożenia synchronizacji skrótu hasła, niezależnie od tego, czy wybierzesz uwierzytelnianie bezpośrednie. Przykładem jest wykrywanie wyciekniętych poświadczeń przez Microsoft Entra ID Protection.

• Ciągłość działalności biznesowej. Zalecamy wdrożenie dwóch dodatkowych agentów z przepustowym uwierzytelnianiem. Dodatki te stanowią dodatek do pierwszego agenta na serwerze Microsoft Entra Connect. To inne wdrożenie zapewnia wysoką dostępność żądań uwierzytelniania. Po wdrożeniu trzech agentów, jeden agent nadal może ulegać awarii, gdy inny agent jest wyłączony z powodu konserwacji.

  Istnieje dodatkowa korzyść z wdrażania synchronizacji skrótów haseł oprócz uwierzytelniania przekazywanego. Działa jako metoda uwierzytelniania kopii zapasowej, gdy podstawowa metoda uwierzytelniania nie jest już dostępna.

• Zagadnienia. Synchronizacja skrótów haseł może służyć jako zapasowa metoda uwierzytelniania dla uwierzytelniania przekazywanego, gdy agenci nie mogą zweryfikować poświadczeń użytkownika z powodu poważnej awarii infrastruktury lokalnej. Synchronizacja skrótów haseł w trybie failover nie jest wykonywana automatycznie i musisz użyć programu Microsoft Entra Connect, aby ręcznie przełączyć metodę logowania.

  Aby zapoznać się z innymi zagadnieniami dotyczącymi uwierzytelniania typu "Pass-through", w tym obsługi identyfikatorów alternatywnych, zobacz często zadawane pytania.

Aby uzyskać instrukcje dotyczące wdrażania, zapoznaj się z implementowaniem uwierzytelniania przekazywanego.

Uwierzytelnianie federacyjne

• Wysiłek. System uwierzytelniania federacyjnego korzysta z zewnętrznego zaufanego systemu do uwierzytelniania użytkowników. Niektóre firmy chcą ponownie wykorzystać swoje istniejące inwestycje w system federacyjny z rozwiązaniem tożsamości hybrydowej firmy Microsoft Entra. Konserwacja i zarządzanie systemem federacyjnym wykracza poza kontrolę nad identyfikatorem Entra firmy Microsoft. To organizacja, korzystając z systemu federacyjnego, musi zapewnić, że wdrożenie jest bezpieczne i może obsłużyć obciążenie uwierzytelniania.

• Doświadczenie użytkownika. Doświadczenie użytkownika w przypadku uwierzytelniania federacyjnego zależy od implementacji funkcji, topologii i konfiguracji farmy federacyjnej. Niektóre organizacje potrzebują tej elastyczności, aby dostosować i skonfigurować dostęp do farmy federacyjnej w celu spełnienia wymagań dotyczących zabezpieczeń. Na przykład można skonfigurować wewnętrznie połączonych użytkowników i urządzeń w celu automatycznego logowania użytkowników bez monitowania o poświadczenia. Ta konfiguracja działa, ponieważ już zalogowali się na swoich urządzeniach. W razie potrzeby niektóre zaawansowane funkcje zabezpieczeń utrudniają proces logowania użytkowników.

• Zaawansowane scenariusze. Rozwiązanie do uwierzytelniania federacyjnego jest wymagane, gdy klienci mają wymóg uwierzytelniania, którego identyfikator Entra firmy Microsoft nie obsługuje natywnie. Zobacz szczegółowe informacje ułatwiające wybranie odpowiedniej opcji logowania. Weź pod uwagę następujące typowe wymagania:

  • Dostawcy zewnętrzni wieloskładnikowi wymagający federacyjnego dostawcy tożsamości.
  • Uwierzytelnianie przy użyciu rozwiązań uwierzytelniania innych firm. ** Zobacz listę kompatybilności federacji Microsoft Entra.
  • Logowanie wymaga nazwy sAMAccountName, na przykład DOMAIN\username, zamiast głównej nazwy użytkownika (UPN), na przykład user@domain.com.

• Ciągłość działalności biznesowej. Systemy federacyjne zwykle wymagają macierzy serwerów o zrównoważonym obciążeniu, znanej jako farma. Farma serwerów jest skonfigurowana w topologii sieci wewnętrznej i obwodowej, aby zapewnić dostępność na wysokim poziomie dla żądań uwierzytelniania.

  Wdróż synchronizację skrótów haseł wraz z uwierzytelnianiem federacyjnym jako metodą uwierzytelniania kopii zapasowej, gdy podstawowa metoda uwierzytelniania nie jest już dostępna. Przykładem może być brak dostępności serwerów lokalnych. Niektóre duże przedsiębiorstwa wymagają rozwiązania federacyjnego do obsługi wielu internetowych punktów dostępu skonfigurowanych z usługą geo-DNS dla żądań uwierzytelniania o niskich opóźnieniach.

• Zagadnienia. Systemy federacyjne zwykle wymagają bardziej znaczących inwestycji w infrastrukturę lokalną. Większość organizacji wybiera tę opcję, jeśli ma już inwestycję w federację lokalną. A jeśli jest to silne wymaganie biznesowe, aby korzystać z dostawcy jednolitej tożsamości. Federacja jest bardziej złożona do obsługi i rozwiązywania problemów w porównaniu z rozwiązaniami uwierzytelniania w chmurze.

W przypadku niedostępnej domeny, której nie można zweryfikować w Microsoft Entra ID, potrzebujesz dodatkowej konfiguracji, aby wdrożyć logowanie użytkownika. To wymaganie jest nazywane obsługą alternatywnego identyfikatora logowania. Zobacz Konfigurowanie alternatywnego identyfikatora logowania, aby uzyskać ograniczenia i wymagania. Jeśli zdecydujesz się użyć dostawcy uwierzytelniania wieloskładnikowego innej firmy z federacją, upewnij się, że dostawca obsługuje protokół WS-Trust, aby zezwolić urządzeniom na dołączanie do usługi Microsoft Entra ID.

Aby uzyskać instrukcje wdrażania, zobacz Wdrażanie serwerów federacyjnych.

Uwaga

Podczas wdrażania rozwiązania tożsamości hybrydowej firmy Microsoft Entra należy zaimplementować jedną z obsługiwanych topologii programu Microsoft Entra Connect. Dowiedz się więcej o obsługiwanych i nieobsługiwanych konfiguracjach w Topologies for Microsoft Entra Connect.

Diagramy architektury

Na poniższych diagramach przedstawiono składniki architektury wysokiego poziomu wymagane dla każdej metody uwierzytelniania, których można używać z rozwiązaniem tożsamości hybrydowej firmy Microsoft Entra. Zawierają one omówienie ułatwiające porównanie różnic między rozwiązaniami.

• Prostota rozwiązania synchronizacji skrótów haseł:

  

• Wymagania agenta dotyczące uwierzytelniania przelotowego przy użyciu dwóch agentów na potrzeby redundancji:

  

• Składniki wymagane do federacji w sieci obwodowej i wewnętrznej organizacji:

  

Porównywanie metod

Kwestie wymagające rozważenia	Synchronizacja skrótów haseł	Uwierzytelnianie przepływowe	Federacja z usługami AD FS
Gdzie ma miejsce uwierzytelnianie?	W chmurze	W chmurze po bezpiecznej wymiany weryfikacji hasła z lokalnym agentem uwierzytelniania	Na terenie firmy
Jakie są wymagania dotyczące serwera lokalnego wykraczające poza system aprowizacji: Microsoft Entra Connect?	Brak	Jeden serwer dla każdego dodatkowego agenta uwierzytelniania	Co najmniej dwa serwery usług AD FS Co najmniej dwa serwery WAP w sieci obwodowej/DMZ
Jakie są wymagania dotyczące lokalnego Internetu i sieci poza systemem aprowizacji?	Brak	Wychodzący dostęp do Internetu z serwerów z uruchomionymi agentami uwierzytelniania	Przychodzący dostęp z Internetu do serwerów WAP na granicy sieci Przychodzący dostęp sieciowy do serwerów usług AD FS z serwerów WAP w obwodzie Równoważenie obciążenia sieciowego
Czy istnieje wymaganie dotyczące certyfikatu TLS/SSL?	Nie	Nie	Tak
Czy istnieje rozwiązanie do monitorowania kondycji?	Niewymagane	Stan agenta udostępniany przez centrum administracyjne firmy Microsoft Entra	Microsoft Entra Connect Health
Czy użytkownicy uzyskują logowanie jednokrotne do zasobów w chmurze z urządzeń przyłączonych do domeny w sieci firmowej?	Tak z urządzeniami dołączonymi do Microsoft Entra, urządzeniami hybrydowo dołączonymi do Microsoft Entra, wtyczką Microsoft Enterprise SSO dla urządzeń Apple lub Bezproblemowe logowanie jednokrotne	Tak z urządzeniami dołączonymi do Microsoft Entra, urządzeniami dołączonymi hybrydowo do Microsoft Entra, wtyczką Microsoft Enterprise SSO dla urządzeń Apple lub bezproblemowym logowaniem jednokrotnym	Tak
Jakie typy logowania są obsługiwane?	UserPrincipalName + hasło Zintegrowane uwierzytelnianie systemu Windows przy użyciu bezproblemowego logowania jednokrotnego Alternatywny identyfikator logowania Urządzenia dołączone do Microsoft Entra Hybrydowo połączone urządzenia Microsoft Entra Uwierzytelnianie certyfikatu i karty inteligentnej	UserPrincipalName + hasło Zintegrowane uwierzytelnianie systemu Windows przy użyciu bezproblemowego logowania jednokrotnego Alternatywny identyfikator logowania Urządzenia dołączone do usługi Microsoft Entra Hybrydowe urządzenia połączone z Microsoft Entra Uwierzytelnianie certyfikatu i karty inteligentnej	UserPrincipalName + hasło sAMAccountName + hasło Uwierzytelnianie zintegrowane z systemem Windows Uwierzytelnianie certyfikatu i karty inteligentnej Alternatywny identyfikator logowania
Czy Windows Hello dla firm jest obsługiwana?	Model zaufania klucza Zaufanie chmury hybrydowej	Model zaufania klucza Zaufanie chmury hybrydowej Oba wymagają poziomu funkcjonalności domeny systemu Windows Server 2016	Kluczowy model zaufania Zaufanie chmury hybrydowej Model zaufania certyfikatów
Jakie są opcje uwierzytelniania wieloskładnikowego?	Uwierzytelnianie wieloskładnikowe Microsoft Entra Kontrolki niestandardowe z dostępem warunkowym*	Microsoft Entra uwierzytelnianie wieloskładnikowe Kontrolki niestandardowe z dostępem warunkowym*	Microsoft Entra uwierzytelnianie wieloskładnikowe Uwierzytelnianie wieloskładnikowe od zewnętrznej firmy Kontrolki niestandardowe z dostępem warunkowym*
Jakie stany konta użytkownika są obsługiwane?	Wyłączone konta (do 30 minut opóźnienia)	Wyłączone konta Zablokowane konto Konto wygasło Hasło wygasło Godziny logowania	Wyłączone konta Zablokowane konto Konto wygasło Hasło wygasło Godziny logowania
Jakie są opcje dostępu warunkowego?	Usługa Microsoft Entra Conditional Access z Microsoft Entra ID w wersji P1 lub P2	Dostęp warunkowy Microsoft Entra, z Microsoft Entra ID P1 lub P2	Microsoft Entra Conditional Access z identyfikatorem Microsoft Entra ID P1 lub P2
Czy blokowanie starszych protokołów jest obsługiwane?	Tak	Tak	Tak
Czy można dostosować logo, obraz i opis na stronach logowania?	Tak, z Microsoft Entra ID P1 lub P2	Tak, w przypadku identyfikatora Entra ID firmy Microsoft P1 lub P2	Tak
Jakie zaawansowane scenariusze są obsługiwane?	Blokada inteligentnego hasła Raporty wyciekłych poświadczeń z Microsoft Entra ID P2	Blokada inteligentnego hasła	System uwierzytelniania o małych opóźnieniach w wielu lokacjach Blokada ekstranetu usług AD FS Integracja z systemami tożsamości innych firm

Uwaga

Kontrolki niestandardowe w usłudze Microsoft Entra Conditional Access nie obsługują obecnie rejestracji urządzeń.

Zalecenia

System tożsamości zapewnia użytkownikom dostęp do aplikacji migrowanych i udostępnianych w chmurze. Użyj lub włącz synchronizację skrótów haseł z wybraną metodą uwierzytelniania z następujących powodów:

1. Wysoka dostępność i odzyskiwanie po awarii. Uwierzytelnianie przepływowe i federacja opierają się na infrastrukturze lokalnej. W przypadku uwierzytelniania przekazywanego środowisko lokalne obejmuje sprzęt serwera i sieć wymagane przez agentów uwierzytelniania przekazywanego. W przypadku federacji obecność lokalnej infrastruktury jest jeszcze większa. Wymaga serwerów w sieci obwodowej do żądań uwierzytelniania serwera proxy i serwerów federacyjnych wewnętrznych.

   Aby uniknąć pojedynczych punktów awarii, wdróż nadmiarowe serwery. Żądania uwierzytelniania będą zawsze obsługiwane, jeśli którykolwiek składnik ulegnie awarii. Zarówno uwierzytelnianie przekazywane, jak i federacja również polegają na kontrolerach domeny, aby reagować na żądania uwierzytelniania, co może również zakończyć się niepowodzeniem. Wiele z tych składników wymaga konserwacji, aby zachować dobrą kondycję. Awarie są bardziej prawdopodobne, gdy konserwacja nie jest planowana i implementowana prawidłowo.

2. Przetrwanie awarii w środowisku lokalnym. Konsekwencje awarii lokalnej z powodu cyberataku lub katastrofy mogą być znaczne, począwszy od uszkodzenia marki reputacji po sparaliżowaną organizację, która nie może poradzić sobie z atakiem. Ostatnio wiele organizacji padło ofiarą ataków złośliwego oprogramowania, w tym ukierunkowanego oprogramowania wymuszającego okup, co spowodowało, że ich serwery lokalne spadły. Gdy firma Microsoft pomaga klientom w radzeniu sobie z tego rodzaju atakami, widzi dwie kategorie organizacji:

   • Organizacje, które wcześniej włączały również synchronizację skrótów haseł na podstawie uwierzytelniania federacyjnego lub przekazywanego, zmieniły podstawową metodę uwierzytelniania, aby następnie używać synchronizacji skrótów haseł. Wrócili do internetu w ciągu kilku godzin. Korzystając z dostępu do poczty e-mail za pośrednictwem platformy Microsoft 365, pracowali nad rozwiązaniem problemów i uzyskiwaniem dostępu do innych obciążeń opartych na chmurze.

   • Organizacje, które wcześniej nie włączały synchronizacji skrótów haseł, musiały uciekać się do niezaufanych zewnętrznych systemów poczty e-mail konsumenckich w celu komunikacji w celu rozwiązania problemów. W takich przypadkach przywrócenie lokalnej infrastruktury tożsamości trwało kilka tygodni, zanim użytkownicy mogli ponownie zalogować się do aplikacji w chmurze.

3. Ochrona identyfikatorów. Jednym z najlepszych sposobów ochrony użytkowników w chmurze jest Microsoft Entra ID Protection z Microsoft Entra ID P2. Firma Microsoft stale skanuje Internet pod kątem listy użytkowników i haseł, które złe podmioty sprzedają i udostępniają je w ciemnej sieci Web. Identyfikator entra firmy Microsoft może użyć tych informacji, aby sprawdzić, czy którakolwiek z nazw użytkowników i haseł w organizacji jest naruszona. W związku z tym niezwykle ważne jest włączenie synchronizacji skrótów haseł niezależnie od używanej metody uwierzytelniania, niezależnie od tego, czy jest to uwierzytelnianie federacyjne, czy przekazywane. Ujawnione poświadczenia są prezentowane jako raport. Użyj tych informacji, aby zablokować lub zmusić użytkowników do zmiany haseł podczas próby zalogowania się przy użyciu ujawnionych haseł.

Podsumowanie

W tym artykule opisano różne opcje uwierzytelniania, które organizacje mogą konfigurować i wdrażać w celu obsługi dostępu do aplikacji w chmurze. Aby spełnić różne wymagania biznesowe, zabezpieczeniowe i techniczne, organizacje mogą wybierać między synchronizacją skrótów haseł, uwierzytelnianiem typu Pass-through i federacją.

Rozważ każdą metodę uwierzytelniania. Czy nakład pracy nad wdrożeniem rozwiązania i doświadczenie użytkownika podczas procesu logowania spełniają Państwa wymagania biznesowe? Oceń, czy organizacja potrzebuje zaawansowanych scenariuszy i funkcji ciągłości działania każdej metody uwierzytelniania. Na koniec należy ocenić zagadnienia dotyczące każdej metody uwierzytelniania. Czy którykolwiek z nich uniemożliwia zaimplementowanie wybranego wyboru?

Następne kroki

W dzisiejszym świecie zagrożenia są obecne 24 godziny dziennie i pochodzą z każdego miejsca. Zaimplementuj poprawną metodę uwierzytelniania, aby ograniczyć zagrożenia bezpieczeństwa i chronić tożsamości.

Rozpocznij pracę z identyfikatorem Entra firmy Microsoft i wdróż odpowiednie rozwiązanie uwierzytelniania dla organizacji.

Jeśli myślisz o migracji z uwierzytelniania federacyjnego do chmury, dowiedz się więcej o zmianie metody logowania. Aby ułatwić planowanie i implementowanie migracji, należy użyć tych planów wdrażania projektu lub rozważyć użycie nowej funkcji wdrażania etapowego do migrowania użytkowników federacyjnych do korzystania z uwierzytelniania w chmurze w ramach podejścia etapowego.