Podstawowe informacje dotyczące tożsamości w organizacjach ochrony wielodostępnych
Poniższy przewodnik zawiera podstawowe informacje dotyczące tożsamości o zerowym zaufaniu dla organizacji ochrony wielodostępnych i koncentruje się na identyfikatorze Entra firmy Microsoft. Zero trust to kluczowa strategia zapewnienia integralności i poufności poufnych informacji. Tożsamość jest podstawowym filarem zerowego zaufania. Microsoft Entra ID to usługa tożsamości w chmurze firmy Microsoft. Microsoft Entra ID to krytyczny składnik zerowego zaufania używany przez wszystkich klientów chmury firmy Microsoft.
Architekci i decydenci muszą zrozumieć podstawowe możliwości identyfikatora Entra firmy Microsoft i jego rolę w zerowym zaufaniu przed utworzeniem strategii przedsiębiorstwa obrony. Organizacje obrony mogą spełniać wiele wymagań dotyczących zerowego zaufania, przyjmując identyfikator Entra firmy Microsoft. Wielu ma już dostęp do podstawowych funkcji firmy Microsoft Entra za pośrednictwem istniejących licencji platformy Microsoft 365.
Dzierżawy firmy Microsoft Entra
Wystąpienie identyfikatora Entra firmy Microsoft jest nazywane dzierżawą firmy Microsoft Entra. Dzierżawa firmy Microsoft Entra to platforma tożsamości i granica. Jest to platforma tożsamości dla organizacji i bezpieczna granica tożsamości dla używanych usług w chmurze firmy Microsoft. W związku z tym idealnie nadaje się do ochrony poufnych danych tożsamości obrony.
Konsolidowanie dzierżaw firmy Microsoft Entra. Firma Microsoft zaleca jedną dzierżawę na organizację. Jedna dzierżawa firmy Microsoft Entra zapewnia najbardziej bezproblemowe środowisko zarządzania tożsamościami dla użytkowników i administratorów. Zapewnia ona najbardziej kompleksowe możliwości zerowego zaufania. Organizacje z wieloma dzierżawami firmy Microsoft Entra muszą zarządzać różnymi zestawami użytkowników, grup, aplikacji i zasad, zwiększając koszty i dodając złożoność administracyjną. Pojedyncza dzierżawa minimalizuje również koszt licencjonowania.
Należy spróbować mieć aplikacje platformy Microsoft 365, usług platformy Azure, platformy Power Platform, aplikacji biznesowych (LOB), aplikacji typu oprogramowanie jako usługa (SaaS) i innych dostawców usług w chmurze (CSP) przy użyciu jednej dzierżawy firmy Microsoft Entra.
Microsoft Entra ID a Active Directory. Microsoft Entra ID nie jest ewolucją usług domena usługi Active Directory (AD DS). Koncepcja dzierżawy jest podobna do lasu usługi Active Directory, ale podstawowa architektura jest inna. Microsoft Entra ID to hiperskala, nowoczesna i oparta na chmurze usługa tożsamości.
Początkowe nazwy domen i identyfikatory dzierżawy. Każda dzierżawa ma unikatową początkową nazwę domeny i identyfikator dzierżawy. Na przykład organizacja o nazwie Contoso może mieć początkową nazwę domeny dla identyfikatora contoso.onmicrosoft.com Entra firmy Microsoft i contoso.onmicrosoft.us dla firmy Microsoft Entra Government. Identyfikatory dzierżaw są globalnie unikatowymi identyfikatorami (GUID). Każda dzierżawa ma tylko jedną domenę początkową i identyfikator dzierżawy. Obie wartości są niezmienne i nie można ich zmienić po utworzeniu dzierżawy.
Użytkownicy logują się do kont Microsoft Entra przy użyciu głównej nazwy użytkownika (UPN). Nazwa UPN jest atrybutem użytkownika Entra firmy Microsoft i potrzebuje sufiksu routingu. Domena początkowa jest domyślnym sufiksem routingu (user@contoso.onmicrosoft.com). Możesz dodać domeny niestandardowe do tworzenia i używania bardziej przyjaznej nazwy UPN. Przyjazna nazwa UPN zwykle odpowiada adresowi e-mail użytkownika (user@contoso.com). Nazwa UPN dla identyfikatora Entra firmy Microsoft może różnić się od nazwy userPrincipalName użytkowników usług AD DS. Użycie innej nazwy UPN i parametru userPrincipalName usług AD DS jest powszechne, gdy wartości userPrincipalName usług AD DS są niezwiązane lub używają sufiksu, który nie jest zgodny ze zweryfikowaną domeną niestandardową w dzierżawie.
Domenę niestandardową można zweryfikować tylko w jednej dzierżawie firmy Microsoft Entra globalnie. Domeny niestandardowe nie są granicami zabezpieczeń ani zaufania, takimi jak lasy usług domena usługi Active Directory Services (AD DS). Są to przestrzeń nazw DNS identyfikująca dzierżawę główną użytkownika firmy Microsoft Entra.
Architektura firmy Microsoft Entra
Identyfikator Entra firmy Microsoft nie ma żadnych kontrolerów domeny, jednostek organizacyjnych, obiektów zasad grupy, relacji zaufania domeny/lasu lub elastycznych ról operacji pojedynczego wzorca (FSMO). Microsoft Entra ID to rozwiązanie do zarządzania tożsamościami typu oprogramowanie jako usługa. Dostęp do identyfikatora Entra firmy Microsoft można uzyskać za pośrednictwem interfejsów API RESTful. Nowoczesne protokoły uwierzytelniania i autoryzacji służą do uzyskiwania dostępu do zasobów chronionych przez identyfikator Firmy Microsoft Entra. Katalog ma płaską strukturę i używa uprawnień opartych na zasobach.
Każda dzierżawa firmy Microsoft Entra jest wysoce dostępnym magazynem danych na potrzeby zarządzania tożsamościami. Przechowuje obiekty tożsamości, zasad i konfiguracji oraz replikuje je w regionach świadczenia usługi Azure. Dzierżawa firmy Microsoft Entra zapewnia nadmiarowość danych dla informacji o krytycznej obronie.
Typy tożsamości
Identyfikator Entra firmy Microsoft ma dwa typy tożsamości. Dwa typy tożsamości to użytkownicy i jednostki usługi.
Użytkownicy. Użytkownicy to tożsamości dla użytkowników, którzy uzyskują dostęp do usług firmy Microsoft i federacyjnych usług w chmurze. Użytkownicy mogą być członkami lub gośćmi w wystąpieniu identyfikatora Entra firmy Microsoft. Zazwyczaj członkowie są wewnętrzni w organizacji, a goście należą do organizacji zewnętrznej, takiej jak partner misji lub wykonawca obrony. Aby dowiedzieć się więcej o użytkownikach-gościach i współpracy między organizacjami, zobacz Omówienie współpracy B2B.
Jednostki usługi. Jednostki usługi to jednostki inne niż jednostki (NPE) w identyfikatorze Entra firmy Microsoft. Jednostki usług mogą reprezentować aplikacje, konta usług/automatyzacji i zasoby platformy Azure. Nawet zasoby spoza platformy Azure, takie jak serwery lokalne, mogą mieć jednostkę usługi w identyfikatorze Entra firmy Microsoft i korzystać z innych zasobów platformy Azure. Jednostki usługi są przydatne w automatyzowaniu przepływów pracy obrony i zarządzaniu aplikacjami krytycznymi dla operacji obronnych. Aby uzyskać więcej informacji, zobacz Application and service principal objects in Microsoft Entra ID (Obiekty aplikacji i jednostki usługi w usłudze Microsoft Entra ID).
Synchronizowanie tożsamości. Program Microsoft Entra Connect Sync lub Microsoft Entra Connect Cloud Sync umożliwia synchronizowanie obiektów użytkowników, grup i komputerów (urządzeń) w usługach domena usługi Active Directory z identyfikatorem Entra firmy Microsoft. Ta konfiguracja jest nazywana tożsamością hybrydową.
Uprawnienia
Identyfikator Entra firmy Microsoft używa innego podejścia do uprawnień niż tradycyjne usługi lokalna usługa Active Directory Domain Services (AD DS).
Role entra firmy Microsoft. Uprawnienia w usłudze Microsoft Entra ID można przypisywać przy użyciu ról katalogu Entra firmy Microsoft. Te role zapewniają dostęp do określonych interfejsów API i zakresów. Administrator globalny jest rolą o najwyższych uprawnieniach w identyfikatorze Entra firmy Microsoft. Istnieje wiele wbudowanych ról dla różnych ograniczonych funkcji administracyjnych. Aby zmniejszyć obszar obszaru podatnego na ataki, należy delegować szczegółowe uprawnienia.
Ważne
Firma Microsoft zaleca używanie ról z najmniejszymi uprawnieniami. Pomaga to zwiększyć bezpieczeństwo organizacji. Administrator globalny to wysoce uprzywilejowana rola, która powinna być ograniczona do scenariuszy awaryjnych, gdy nie można użyć istniejącej roli.
Przypisanie uprawnień z podwyższonym poziomem uprawnień. Aby zwiększyć bezpieczeństwo i zmniejszyć niepotrzebne uprawnienia, identyfikator Entra firmy Microsoft udostępnia dwie zasady przypisywania uprawnień:
Just-in-Time (JIT) : Identyfikator Firmy Microsoft Entra obsługuje dostęp just in time. Funkcja JIT umożliwia tymczasowe przypisywanie uprawnień w razie potrzeby. Dostęp JIT minimalizuje narażenie niepotrzebnych uprawnień i zmniejsza obszar ataków.
Just-Enough-Admin (JEA): Identyfikator Entra firmy Microsoft jest zgodny z zasadą just-enough-admin. Wbudowane role umożliwiają delegowanie zadań administratora bez udzielania nadmiernych uprawnień. Jednostki administracyjne mogą dodatkowo ograniczyć zakres uprawnień dla ról firmy Microsoft Entra.
Uwierzytelnianie
W przeciwieństwie do usługi Active Directory użytkownicy w identyfikatorze Entra firmy Microsoft nie są ograniczeni do uwierzytelniania za pomocą hasła ani karty inteligentnej. Użytkownicy firmy Microsoft Entra mogą używać haseł i wielu innych metod uwierzytelniania i weryfikacji. Microsoft Entra ID używa nowoczesnych protokołów uwierzytelniania, chroni przed atakami opartymi na tokenach i wykrywa podejrzane zachowanie logowania.
Metody uwierzytelniania. Metody uwierzytelniania entra firmy Microsoft obejmują natywną obsługę certyfikatów kart inteligentnych i pochodnych poświadczeń, bez hasła microsoft Authenticator, kluczy zabezpieczeń FIDO2 (klucza dostępu sprzętowego) i poświadczeń urządzeń, takich jak Windows Hello dla firm. Firma Microsoft Entra ID oferuje metody odporne na wyłudzanie informacji w ramach możliwości protokołu Memorandum 22-09 i strategii zero trustu DODCIO.
Protokoły uwierzytelniania. Identyfikator Entra firmy Microsoft nie używa protokołu Kerberos, NTLM ani LDAP. Używa nowoczesnych otwartych protokołów przeznaczonych do użytku przez Internet, takich jak OpenID Connect, OAuth 2.0, SAML 2.0 i SCIM. Chociaż firma Entra nie używa protokołu Kerberos do własnego uwierzytelniania, może wystawiać bilety Protokołu Kerberos dla tożsamości hybrydowych w celu obsługi usługi Azure Files i włączania logowania bez hasła do zasobów lokalnych. Serwer proxy aplikacji Entra umożliwia skonfigurowanie logowania jednokrotnego entra dla aplikacji lokalnych, które obsługują tylko starsze protokoły, takie jak Kerberos i uwierzytelnianie oparte na nagłówku.
Ochrona przed atakami tokenów. Tradycyjne usługi AD DS są podatne na ataki oparte na protokole Kerberos. Usługi AD DS używają grup zabezpieczeń z dobrze znanymi identyfikatorami zabezpieczeń (SID), takimi jak S-1-5-domain-512 administratorzy domeny. Gdy administrator domeny wykonuje logowanie lokalne lub sieciowe, kontroler domeny wystawia bilet protokołu Kerberos zawierający identyfikator SID administratorów domeny i przechowuje go w pamięci podręcznej poświadczeń. Aktorzy zagrożeń często wykorzystują ten mechanizm przy użyciu technik przenoszenia bocznego i eskalacji uprawnień, takich jak pass-the-hash i pass-the-ticket.
Jednak identyfikator Entra firmy Microsoft nie jest podatny na ataki Kerberos. Odpowiednikiem chmury są techniki adversary-in-the-middle (AiTM), takie jak przejęcie sesji i odtwarzanie sesji, w celu kradzieży tokenów sesji (token logowania). Aplikacje klienckie, Menedżer kont sieci Web (WAM) lub przeglądarka internetowa użytkownika (pliki cookie sesji) przechowują te tokeny sesji. Aby chronić się przed atakami polegającymi na kradzieży tokenów, token rekordów entra id firmy Microsoft jest używany w celu zapobiegania odtwarzaniu i może wymagać kryptograficznego powiązania tokenów z urządzeniem użytkownika.
Aby dowiedzieć się więcej na temat kradzieży tokenów, zobacz podręcznik kradzieży tokenu.
Wykrywanie podejrzanego zachowania logowania. Ochrona tożsamości Microsoft Entra używa kombinacji wykrywania w czasie rzeczywistym i offline do identyfikowania ryzykownych użytkowników i zdarzeń logowania. Możesz użyć warunków ryzyka w dostępie warunkowym Entra, aby dynamicznie kontrolować lub blokować dostęp do aplikacji. Funkcja oceny ciągłego dostępu (CAE) umożliwia aplikacjom klienckim wykrywanie zmian w sesji użytkownika w celu wymuszania zasad dostępu w czasie niemal rzeczywistym.
Aplikacje
Microsoft Entra ID nie jest tylko dla aplikacji i usług firmy Microsoft. Identyfikator Entra firmy Microsoft może być dostawcą tożsamości dla dowolnej aplikacji, dostawcy usług w chmurze, dostawcy usług SaaS lub systemu tożsamości, który używa tych samych protokołów. Łatwo wspiera współdziałanie z sojuszniczymi siłami obronnymi i wykonawcami.
Punkt wymuszania zasad (PEP) i punkt decyzyjny zasad (PDP). Microsoft Entra ID to wspólny punkt wymuszania zasad (PEP) i punkt decyzyjny zasad (PDP) w architekturach zerowego zaufania. Wymusza zasady zabezpieczeń i mechanizmy kontroli dostępu dla aplikacji.
Zarządzanie tożsamością Microsoft Entra. Zarządzanie tożsamością Microsoft Entra jest funkcją firmy Microsoft Entra. Ułatwia zarządzanie dostępem użytkowników i automatyzowanie cyklu życia dostępu. Gwarantuje to, że użytkownicy mają odpowiedni i terminowy dostęp do aplikacji i zasobów.
Dostęp warunkowy. Dostęp warunkowy umożliwia używanie atrybutów do szczegółowej autoryzacji dla aplikacji. Zasady dostępu można definiować na podstawie różnych czynników. Te czynniki obejmują atrybuty użytkownika, siłę poświadczeń, atrybuty aplikacji, ryzyko związane z użytkownikiem i logowaniem, kondycję urządzenia i lokalizację. Aby uzyskać więcej informacji, zobacz zabezpieczenia o zerowym zaufaniu.
Urządzenia
Identyfikator entra firmy Microsoft zapewnia bezpieczny i bezproblemowy dostęp do usługi firmy Microsoft za pośrednictwem zarządzania urządzeniami. Urządzenia z systemem Windows można zarządzać urządzeniami z systemem Windows i dołączać je do firmy Microsoft, podobnie jak w przypadku usług domena usługi Active Directory.
Zarejestrowane urządzenia. Urządzenia są rejestrowane w dzierżawie entra, gdy użytkownicy logują się do aplikacji przy użyciu konta Entra. Rejestracja urządzenia Entra nie jest taka sama jak rejestracja urządzenia ani dołączanie entra. Użytkownicy logować się do zarejestrowanych urządzeń przy użyciu konta lokalnego lub konta Microsoft. Zarejestrowane urządzenia często obejmują urządzenia Bring Your Own Devices (BYOD), takie jak komputer domowy użytkownika lub telefon osobisty.
Urządzenia dołączone do firmy Microsoft Entra. Po zalogowaniu się do urządzenia przyłączonego do firmy Microsoft klucz powiązany z urządzeniem jest odblokowywane przy użyciu numeru PIN lub gestu. Po weryfikacji identyfikator Entra firmy Microsoft wystawia podstawowy token odświeżania (PRT) na urządzeniu. Ten prT ułatwia dostęp do logowania jednokrotnego do chronionych usług firmy Microsoft Entra ID, takich jak Microsoft Teams.
Urządzenia dołączone do firmy Microsoft entra zarejestrowane w programie Microsoft Endpoint Manager (Intune) mogą używać zgodności urządzeń jako kontroli udzielania w ramach dostępu warunkowego.
Urządzenia dołączone hybrydo do firmy Microsoft Entra. Dołączanie hybrydowe firmy Microsoft Entra umożliwia jednoczesne łączenie urządzeń z systemem Windows zarówno z usługami domena usługi Active Directory, jak i z identyfikatorem Entra firmy Microsoft. Te urządzenia najpierw uwierzytelniają użytkowników w usłudze Active Directory, a następnie pobierają podstawowy token odświeżania z identyfikatora Entra firmy Microsoft.
Urządzenia i aplikacje zarządzane przez usługę Intune. Usługa Microsoft Intune ułatwia rejestrowanie i rejestrowanie urządzeń do zarządzania. Usługa Intune umożliwia definiowanie zgodnych i bezpiecznych stanów dla urządzeń użytkowników, ochronę urządzeń przy użyciu Ochrona punktu końcowego w usłudze Microsoft Defender i wymaganie od użytkowników używania zgodnego urządzenia w celu uzyskania dostępu do zasobów przedsiębiorstwa.
Platforma Microsoft 365 i platforma Azure
Microsoft Entra ID to platforma tożsamości firmy Microsoft. Obsługuje zarówno usługi Platformy Microsoft 365, jak i platformy Azure. Subskrypcje platformy Microsoft 365 tworzą dzierżawę firmy Microsoft Entra i używają jej. Usługi platformy Azure korzystają również z dzierżawy firmy Microsoft Entra.
Tożsamość platformy Microsoft 365. Identyfikator Entra firmy Microsoft jest integralną częścią wszystkich operacji związanych z tożsamościami w ramach platformy Microsoft 365. Obsługuje logowanie użytkownika, współpracę, udostępnianie i przypisywanie uprawnień. Obsługuje ona zarządzanie tożsamościami dla usług Office 365, Intune i Microsoft Defender XDR. Użytkownicy używają usługi Microsoft Entra za każdym razem, gdy logują się do aplikacja pakietu Office licacji, takiej jak Word lub Outlook, udostępniają dokument przy użyciu usługi OneDrive, zapraszają użytkownika zewnętrznego do witryny programu SharePoint lub tworzą nowy zespół w usłudze Microsoft Teams.
Tożsamość platformy Azure. Na platformie Azure każdy zasób jest skojarzony z subskrypcją platformy Azure, a subskrypcje są połączone z jedną dzierżawą firmy Microsoft Entra. Uprawnienia do zarządzania zasobami platformy Azure można delegować, przypisując role platformy Azure użytkownikom, grupom zabezpieczeń lub jednostkom usługi.
Tożsamości zarządzane odgrywają kluczową rolę w zabezpieczaniu interakcji zasobów platformy Azure z innymi zasobami. Te tożsamości zarządzane są podmiotami zabezpieczeń w dzierżawie firmy Microsoft Entra. Udzielasz im uprawnień na zasadzie najniższych uprawnień. Tożsamość zarządzaną można autoryzować do uzyskiwania dostępu do interfejsów API chronionych przez identyfikator entra firmy Microsoft, takich jak Microsoft Graph. Gdy zasób platformy Azure używa tożsamości zarządzanej, tożsamość zarządzana jest obiektem jednostki usługi. Obiekt jednostki usługi znajduje się w tej samej dzierżawie firmy Microsoft Entra co subskrypcja skojarzona z zasobem.
Microsoft Graph
Portale internetowe firmy Microsoft dla firmy Microsoft Entra, Azure i Microsoft 365 udostępniają graficzny interfejs identyfikatora Entra firmy Microsoft. Dostęp programowy można zautomatyzować w celu odczytu i aktualizowania obiektów i zasad konfiguracji firmy Microsoft przy użyciu interfejsów API RESTful o nazwie Microsoft Graph. Program Microsoft Graph obsługuje klientów w różnych językach. Obsługiwane języki obejmują programy PowerShell, Go, Python, Java, .NET, Ruby i inne. Zapoznaj się z repozytoriami programu Microsoft Graph w usłudze GitHub.
Chmury platformy Azure Government
Istnieją dwie oddzielne wersje organizacji obrony usług Entra firmy Microsoft, które mogą być używane w sieciach publicznych (połączonych z Internetem): Microsoft Entra Global i Microsoft Entra Government.
Microsoft Entra Global. Microsoft Entra Global jest przeznaczony dla komercyjnych platform Microsoft 365 i Azure, Microsoft 365 GCC Moderate. Usługa logowania dla firmy Microsoft Entra Global jest login.microsoftonline.com.
Microsoft Entra Government. Microsoft Entra Government to Azure Government (IL4), DoD (IL5), Microsoft 365 GCC High, Microsoft 365 DoD (IL5). Usługa logowania dla firmy Microsoft Entra Government jest login.microsoftonline.us.
Adresy URL usługi. Różne usługi Firmy Microsoft Entra używają różnych adresów URL logowania. W związku z tym należy używać oddzielnych portali internetowych. Należy również podać przełączniki środowiska, aby nawiązać połączenie z klientami programu Microsoft Graph i modułami programu PowerShell na potrzeby zarządzania platformą Azure i platformą Microsoft 365 (zobacz tabelę 1).
Tabela 1. Punkty końcowe platformy Azure Government.
| Punkt końcowy | Globalnie | GCC High | DoD Impact Level 5 (IL5) |
|---|---|---|---|
| Centrum administracyjne Microsoft Entra | entra.microsoft.com | entra.microsoft.us | entra.microsoft.us |
| Azure Portal | portal.azure.com | portal.azure.us | portal.azure.us |
| Centrum administracyjne usługi Defender | security.microsoft.com | security.microsoft.us | security.apps.mil |
| MS Graph PowerShell | Connect-MgGraph<br>-Environment Global |
Connect-MgGraph<br>-Environment USGov |
Connect-MgGraph<br>-Environment USGovDoD |
| Moduł Az programu PowerShell | Connect-AzAccount<br>-Environment AzureCloud |
Connect-AzAccount<br>-Environment AzureUSGovernment |
Connect-AzAccount<br>-Environment AzureUSGovernment |
| Interfejs wiersza polecenia platformy Azure | az cloud set --name AzureCloud |
az cloud set --name AzureUSGovernment |
az cloud set --name AzureUSGovernment |