Projektowanie strategii chmury, hybrydowego i wielochmurowego dostępu (w tym microsoft Entra ID)
W tej lekcji podsumowano zalecenia dotyczące projektowania związane z zarządzaniem tożsamościami i dostępem w środowisku chmury na podstawie obszaru projektowania zarządzania tożsamościami i dostępem na platformie Azure w przewodniku Cloud Adoption Framework. Aby uzyskać bardziej szczegółowe omówienie wszystkich odpowiednich dyskusji projektowych, zobacz następujące artykuły:
- Microsoft Entra ID i tożsamość hybrydowa
- Dostęp do platformy
- Wymagania wstępne dotyczące strefy docelowej
Porównywanie rozwiązań do obsługi tożsamości
Active Directory a Microsoft Entra ID: zarządzanie użytkownikami
| Pojęcie | Active Directory (AD) | Tożsamość Microsoft Entra |
|---|---|---|
| Użytkownicy | ||
| Aprowizowanie: użytkownicy | Organizacje tworzą użytkowników wewnętrznych ręcznie lub używają wewnętrznego lub zautomatyzowanego systemu aprowizacji, takiego jak program Microsoft Identity Manager, w celu integracji z systemem KADR. | Istniejące organizacje usługi AD używają Połączenie firmy Microsoft do synchronizowania tożsamości z chmurą. Identyfikator Entra firmy Microsoft dodaje obsługę automatycznego tworzenia użytkowników z systemów hr w chmurze. Identyfikator Entra firmy Microsoft może aprowizować tożsamości w aplikacjach SaaS z włączoną obsługą protokołu SCIM, aby automatycznie udostępniać aplikacjom niezbędne szczegóły umożliwiające dostęp użytkownikom. |
| Aprowizowanie: tożsamości zewnętrzne | Organizacje tworzą użytkowników zewnętrznych ręcznie jako zwykłych użytkowników w dedykowanym zewnętrznym lesie usługi AD, co powoduje obciążenie administracyjne w celu zarządzania cyklem życia tożsamości zewnętrznych (użytkowników-gości) | Identyfikator Entra firmy Microsoft udostępnia specjalną klasę tożsamości do obsługi tożsamości zewnętrznych. Firma Microsoft Entra B2B zarządza linkiem do tożsamości użytkownika zewnętrznego, aby upewnić się, że są prawidłowe. |
| Zarządzanie upoważnieniami i grupy | Administracja istratory sprawiają, że użytkownicy są członkami grup. Właściciele aplikacji i zasobów zapewniają następnie grupom dostęp do aplikacji lub zasobów. | Grupy są również dostępne w usłudze Microsoft Entra ID, a administratorzy mogą również używać grup do udzielania uprawnień do zasobów. W usłudze Microsoft Entra ID administratorzy mogą ręcznie przypisywać członkostwo do grup lub używać zapytania do dynamicznego dołączania użytkowników do grupy. Administracja istratory mogą używać zarządzania upoważnieniami w usłudze Microsoft Entra ID, aby zapewnić użytkownikom dostęp do kolekcji aplikacji i zasobów przy użyciu przepływów pracy oraz, w razie potrzeby, kryteriów opartych na czasie. |
| zarządzanie Administracja | Organizacje będą używać kombinacji domen, jednostek organizacyjnych i grup w usłudze AD w celu delegowania uprawnień administracyjnych do zarządzania katalogiem i zasobami, które kontroluje. | Microsoft Entra ID udostępnia wbudowane role z systemem kontroli dostępu opartej na rolach firmy Microsoft (Microsoft Entra RBAC) z ograniczoną obsługą tworzenia ról niestandardowych w celu delegowania uprzywilejowanego dostępu do systemu tożsamości, aplikacji i zasobów, które kontroluje. Zarządzanie rolami można zwiększyć za pomocą usługi Privileged Identity Management (PIM), aby zapewnić dostęp just-in-time, ograniczony czasowo lub oparty na przepływie pracy do uprzywilejowanych ról. |
| Zarządzanie poświadczeniami | Poświadczenia w usłudze Active Directory są oparte na hasłach, uwierzytelnianiu certyfikatu i uwierzytelnianiu za pomocą karty inteligentnej. Hasła są zarządzane przy użyciu zasad haseł opartych na długości hasła, wygaśnięciu i złożoności. | Identyfikator Entra firmy Microsoft używa inteligentnej ochrony haseł dla chmury i środowiska lokalnego. Ochrona obejmuje inteligentną blokadę oraz blokowanie typowych i niestandardowych fraz haseł oraz podstawień. Identyfikator Entra firmy Microsoft znacznie zwiększa bezpieczeństwo dzięki technologii multi-factor authentication i bez hasła, takich jak FIDO2. Microsoft Entra ID obniża koszty pomocy technicznej, zapewniając użytkownikom samoobsługowy system resetowania haseł. |
Usługi oparte na usłudze Active Directory na platformie Azure: AD DS, Microsoft Entra ID i Microsoft Entra Domain Services
Aby zapewnić aplikacjom, usługom lub urządzeniom dostęp do tożsamości centralnej, istnieją trzy typowe sposoby korzystania z usług opartych na usłudze Active Directory na platformie Azure. Ten wybór w rozwiązaniach do obsługi tożsamości zapewnia elastyczność korzystania z najbardziej odpowiedniego katalogu dla potrzeb organizacji. Jeśli na przykład w większości zarządzasz użytkownikami korzystającymi tylko z chmury z urządzeniami przenośnymi, tworzenie i uruchamianie własnego rozwiązania tożsamości usług domena usługi Active Directory Services (AD DS) może nie mieć sensu. Zamiast tego możesz po prostu użyć identyfikatora Microsoft Entra.
Mimo że trzy rozwiązania tożsamości oparte na usłudze Active Directory mają wspólną nazwę i technologię, są one przeznaczone do świadczenia usług spełniających różne wymagania klientów. Na wysokim poziomie te rozwiązania tożsamości i zestawy funkcji to:
- domena usługi Active Directory Services (AD DS) — serwer ldap (Lightweight Directory Access Protocol) gotowy do użycia w przedsiębiorstwie, który udostępnia kluczowe funkcje, takie jak tożsamość i uwierzytelnianie, zarządzanie obiektami komputerów, zasady grupy i relacje zaufania.
- Usługi AD DS to centralny składnik w wielu organizacjach z lokalnym środowiskiem IT i zapewnia podstawowe funkcje uwierzytelniania konta użytkownika i zarządzania komputerami.
- Microsoft Entra ID — oparte na chmurze tożsamości i zarządzania urządzeniami przenośnymi, które udostępniają konta użytkownika i usługi uwierzytelniania dla zasobów, takich jak platforma Microsoft 365, witryna Azure Portal lub aplikacje SaaS.
- Identyfikator Entra firmy Microsoft można zsynchronizować z lokalnym środowiskiem usług AD DS, aby zapewnić jedną tożsamość użytkownikom, którzy działają natywnie w chmurze.
- Microsoft Entra Domain Services (Microsoft Entra Domain Services) — udostępnia zarządzane usługi domenowe z podzbiorem w pełni zgodnych tradycyjnych funkcji usług AD DS, takich jak przyłączanie do domeny, zasady grupy, LDAP i uwierzytelnianie Kerberos / NTLM.
- Usługi Microsoft Entra Domain Services integrują się z identyfikatorem Entra firmy Microsoft, który może być synchronizowany z lokalnym środowiskiem usług AD DS. Ta możliwość rozszerza centralne przypadki użycia tożsamości na tradycyjne aplikacje internetowe działające na platformie Azure w ramach strategii "lift-and-shift".
Aby zapoznać się z bardziej obszerną dyskusją na temat porównywania tych trzech opcji, zobacz Porównanie zarządzanych samodzielnie usług domena usługi Active Directory Services, Microsoft Entra ID i zarządzanych usług Microsoft Entra Domain Services.
Zalecenia dotyczące projektowania krzyżowego
- Użyj scentralizowanych i delegowanych obowiązków na podstawie wymagań dotyczących roli i zabezpieczeń, aby zarządzać zasobami wewnątrz strefy docelowej.
- Następujące typy operacji uprzywilejowanych wymagają specjalnych uprawnień. Zastanów się, którzy użytkownicy będą obsługiwać takie żądania oraz jak odpowiednio zabezpieczyć i monitorować swoje konta.
- Tworzenie obiektów jednostki usługi.
- Rejestrowanie aplikacji w usłudze Microsoft Entra ID.
- Pozyskiwanie i obsługa certyfikatów lub certyfikatów wieloznacznych.
- Aby uzyskać dostęp do aplikacji korzystających z uwierzytelniania lokalnego zdalnie za pośrednictwem identyfikatora Entra firmy Microsoft, użyj serwera proxy aplikacji Microsoft Entra.
- Oceń zgodność obciążeń dla usług Microsoft Entra Domain Services i usług AD DS w systemie Windows Server.
- Pamiętaj, aby zaprojektować sieć, aby zasoby wymagające usług AD DS w systemie Windows Server na potrzeby uwierzytelniania lokalnego i zarządzania mogły uzyskiwać dostęp do kontrolerów domeny. W przypadku usług AD DS w systemie Windows Server należy rozważyć środowiska usług udostępnionych, które oferują lokalne uwierzytelnianie i zarządzanie hostami w większym kontekście sieci w całym przedsiębiorstwie.
- Podczas wdrażania usług Microsoft Entra Domain Services lub integrowania środowisk lokalnych z platformą Azure użyj lokalizacji z Strefy dostępności w celu zwiększenia dostępności.
- Wdróż usługi Microsoft Entra Domain Services w regionie podstawowym, ponieważ można projektować tę usługę tylko w jednej subskrypcji. Usługi Microsoft Entra Domain Services można rozwinąć do kolejnych regionów za pomocą zestawów replik.
- Na potrzeby uwierzytelniania w usługach platformy Azure użyj tożsamości zarządzanych zamiast jednostek usługi. Takie podejście zmniejsza ryzyko kradzieży poświadczeń.
Tożsamość hybrydowa platformy Azure i lokalna — zalecenia dotyczące projektowania
W przypadku rozwiązań do obsługi tożsamości hybrydowych infrastruktury jako usługi (IaaS) należy ocenić następujące zalecenia:
- W przypadku aplikacji hostowanych częściowo lokalnie i częściowo na platformie Azure sprawdź, która integracja ma sens w zależności od scenariusza. Aby uzyskać więcej informacji, zobacz Wdrażanie usług AD DS w sieci wirtualnej platformy Azure.
- Jeśli masz usługi AD FS, przejdź do chmury, aby scentralizować tożsamość i zmniejszyć nakład pracy operacyjnej. Jeśli usługi AD FS są nadal częścią rozwiązania tożsamości, zainstaluj i użyj usługi Microsoft Entra Połączenie.
Tożsamość dla zasobów platformy Azure — zalecenia dotyczące projektowania
Scentralizowana tożsamość korzysta z jednej lokalizacji w chmurze i integracji usługi Active Directory, kontroli dostępu, uwierzytelniania i aplikacji. Takie podejście zapewnia lepsze zarządzanie zespołem IT. W przypadku scentralizowanych usług katalogowych najlepszym rozwiązaniem jest posiadanie tylko jednej dzierżawy firmy Microsoft Entra.
W przypadku udzielania dostępu do zasobów użyj grup tylko firmy Microsoft dla zasobów płaszczyzny sterowania platformy Azure i usługi Microsoft Entra Privileged Identity Management. Dodaj grupy lokalne do grupy tylko firmy Microsoft, jeśli system zarządzania grupami jest już w miejscu. Należy pamiętać, że tylko firma Microsoft Entra jest znana jako tylko chmura.
Za pomocą grup tylko firmy Microsoft można dodawać użytkowników i grupy synchronizowane ze środowiska lokalnego przy użyciu usługi Microsoft Entra Połączenie. Możesz również dodać użytkowników i grupy tylko firmy Microsoft do pojedynczej grupy tylko firmy Microsoft, w tym użytkowników-gości.
Grupy synchronizowane ze środowiska lokalnego mogą być zarządzane i aktualizowane tylko ze źródła tożsamości prawdy, czyli lokalna usługa Active Directory. Te grupy mogą zawierać tylko członków z tego samego źródła tożsamości, co nie zapewnia elastyczności w taki sposób, w jaki działają grupy tylko firmy Microsoft.
Integrowanie dzienników firmy Microsoft Entra z centralnym obszarem roboczym usługi Log Analytics. Takie podejście umożliwia uzyskanie pojedynczego źródła prawdy wokół dzienników i monitorowania danych na platformie Azure. To źródło zapewnia organizacjom opcje natywne dla chmury, aby spełnić wymagania dotyczące zbierania i przechowywania dzienników.
Niestandardowe zasady użytkownika mogą wymuszać wszelkie wymagania dotyczące niezależności danych dla organizacji.
Jeśli ochrona tożsamości jest używana jako część rozwiązania do obsługi tożsamości, upewnij się, że wykluczysz konto administratora rozwiązania break-glass.
Zalecenia dotyczące projektowania — tożsamość i dostęp platformy Azure dla stref docelowych
Wdróż zasady dostępu warunkowego firmy Microsoft dla użytkowników z uprawnieniami do środowisk platformy Azure. Dostęp warunkowy zapewnia inny mechanizm, który pomaga chronić kontrolowane środowisko platformy Azure przed nieautoryzowanym dostępem.
Wymuszanie uwierzytelniania wieloskładnikowego (MFA) dla użytkowników z uprawnieniami do środowisk platformy Azure. Wiele struktur zgodności wymaga wymuszania uwierzytelniania wieloskładnikowego. Uwierzytelnianie wieloskładnikowe znacznie zmniejsza ryzyko kradzieży poświadczeń i nieautoryzowanego dostępu.
Rozważ użycie jednostek usługi w przypadku logowania nieinterakcyjnego zasobu, więc uwierzytelnianie wieloskładnikowe i odświeżanie tokenów nie wpłynie na operacje.
Użyj tożsamości zarządzanych firmy Microsoft Entra dla zasobów platformy Azure, aby uniknąć uwierzytelniania opartego na poświadczeniach. Wiele naruszeń zabezpieczeń zasobów chmury publicznej pochodzi z kradzieży poświadczeń osadzonych w kodzie lub innym tekście. Wymuszanie tożsamości zarządzanych na potrzeby dostępu programowego znacznie zmniejsza ryzyko kradzieży poświadczeń.
Użyj Microsoft Defender dla Chmury, aby uzyskać dostęp just in time do wszystkich zasobów infrastruktury jako usługi (IaaS). Defender dla Chmury umożliwia włączenie ochrony na poziomie sieci dla efemerycznego dostępu użytkowników do maszyn wirtualnych IaaS.
Privileged Identity Management (PIM)
Użyj usługi Microsoft Entra Privileged Identity Management (PIM), aby ustanowić dostęp zerowy i najniższy dostęp uprzywilejowany. Zamapuj role organizacji na wymagane minimalne poziomy dostępu. Usługa Microsoft Entra PIM może używać natywnych narzędzi platformy Azure, rozszerzać bieżące narzędzia i procesy lub używać zarówno bieżących, jak i natywnych narzędzi zgodnie z potrzebami.
Użyj przeglądów dostępu usługi Microsoft Entra PIM, aby okresowo weryfikować uprawnienia zasobów. Przeglądy dostępu są częścią wielu struktur zgodności, dlatego wiele organizacji ma już proces przeglądu dostępu.
Użyj tożsamości uprzywilejowanych na potrzeby elementów runbook automatyzacji, które wymagają podniesionych uprawnień dostępu. Użyj tych samych narzędzi i zasad, aby zarządzać zautomatyzowanymi przepływami pracy, które uzyskują dostęp do krytycznych granic zabezpieczeń, które są używane do zarządzania użytkownikami równoważnych uprawnień.
Zalecenia dotyczące kontroli dostępu opartej na rolach
Użyj kontroli dostępu opartej na rolach platformy Azure, aby zarządzać dostępem płaszczyzny danych do zasobów, jeśli to możliwe. Przykładami punktów końcowych płaszczyzny danych są usługa Azure Key Vault, konto magazynu lub usługa SQL Database.
Nie dodawaj użytkowników bezpośrednio do zakresów zasobów platformy Azure. Bezpośrednie przypisania użytkowników omijają scentralizowane zarządzanie, co utrudnia zapobieganie nieautoryzowanemu dostępowi do ograniczonych danych. Zamiast tego dodaj użytkowników do zdefiniowanych ról i przypisz role do zakresów zasobów.
Użyj wbudowanych ról firmy Microsoft Entra, aby zarządzać następującymi ustawieniami tożsamości:
| Role | Sposób użycia | Uwaga |
|---|---|---|
| Administrator globalny | Do tej roli nie należy przypisywać więcej niż pięciu osób. | |
| Środowisko hybrydowe | Administracja istrator tożsamości hybrydowej | |
| Uwierzytelnianie | Administrator zabezpieczeń | |
| Aplikacja dla przedsiębiorstw lub serwer proxy aplikacji | Administrator aplikacji | Brak zgody administratora globalnego. |
Jeśli wbudowane role platformy Azure nie spełniają konkretnych potrzeb organizacji, możesz utworzyć własne role niestandardowe.