Grundläggande identiteter för försvarsorganisationer med flera klientorganisationer
Följande guide innehåller grundläggande identiteter utan förtroende för flera klientorganisationer och fokuserar på Microsoft Entra-ID. Noll förtroende är en viktig strategi för att säkerställa integritet och konfidentialitet för känslig information. Identitet är en grundläggande grundpelare för noll förtroende. Microsoft Entra ID är Microsofts molnidentitetstjänst. Microsoft Entra-ID är en kritisk nollförtroendekomponent som alla Microsoft-molnkunder använder.
Arkitekter och beslutsfattare måste förstå kärnfunktionerna i Microsoft Entra-ID:t och dess roll i noll förtroende innan de skapar strategin för skydd av företag. Försvarsorganisationer kan uppfylla många noll förtroendekrav genom att använda Microsoft Entra-ID. Många har redan åtkomst till viktiga Microsoft Entra-funktioner via sina befintliga Microsoft 365-licenser.
Microsoft Entra-klienter
En instans av Microsoft Entra ID kallas för en Microsoft Entra-klientorganisation. En Microsoft Entra-klientorganisation är en identitetsplattform och gräns. Det är identitetsplattformen för din organisation och en säker identitetsgräns för de Microsoft-molntjänster som du använder. Därför är det idealiskt för att skydda känsliga försvarsidentitetsdata.
Konsolidera Microsoft Entra-klienter. Microsoft rekommenderar en klientorganisation per organisation. En enda Microsoft Entra-klientorganisation ger den mest sömlösa identitetshanteringsupplevelsen för användare och administratörer. Det ger de mest omfattande noll förtroendefunktionerna. Organisationer med flera Microsoft Entra-klienter måste hantera olika uppsättningar användare, grupper, program och principer, vilket ökar kostnaderna och ökar den administrativa komplexiteten. En enda klientorganisation minimerar också licenskostnaden.
Du bör försöka ha Microsoft 365,Azure-tjänster, Power Platform, verksamhetsspecifika program (LOB), SaaS-program (software-as-a-service) och andra molntjänstleverantörer (CSP) som använder en enda Microsoft Entra-klientorganisation.
Microsoft Entra-ID jämfört med Active Directory. Microsoft Entra-ID är inte en utveckling av Usluge domena aktivnog direktorijuma (AD DS). Klientkonceptet är som en Active Directory-skog, men den underliggande arkitekturen är annorlunda. Microsoft Entra ID är en hyperskala, modern och molnbaserad identitetstjänst.
Initiala domännamn och klient-ID:t. Varje klientorganisation har ett unikt initialt domännamn och klientorganisations-ID. En organisation med namnet Contoso kan till exempel ha det första domännamnet contoso.onmicrosoft.com för Microsoft Entra-ID och contoso.onmicrosoft.us för Microsoft Entra Government. Klientorganisations-ID är globalt unika identifierare (GUID). Varje klientorganisation har bara en första domän och ett klient-ID. Båda värdena är oföränderliga och kan inte ändras när klientorganisationen har skapats.
Användare loggar in på Microsoft Entra-konton med sitt UPN (User Principal Name). UPN är ett Microsoft Entra-användarattribut och behöver ett dirigerbart suffix. Den första domänen är standarddirigeringsbart suffix (user@contoso.onmicrosoft.com). Du kan lägga till anpassade domäner för att skapa och använda ett mer användarvänligt UPN. Det egna UPN:et matchar vanligtvis användarens e-postadress (user@contoso.com). UPN för Microsoft Entra-ID kan skilja sig från användarnas AD DS userPrincipalName. Att ha ett annat UPN- och AD DS-userPrincipalName är vanligt när AD DS userPrincipalName-värdena inte kan nås eller om de använder ett suffix som inte matchar en verifierad anpassad domän i klientorganisationen.
Du kan bara verifiera en anpassad domän i en Microsoft Entra-klientorganisation globalt. Anpassade domäner är inte säkerhets- eller förtroendegränser som Usluge domena aktivnog direktorijuma skogar (AD DS). De är ett DNS-namnområde för att identifiera en Microsoft Entra-användares hemklientorganisation.
Microsoft Entra-arkitektur
Microsoft Entra ID har inga domänkontrollanter, organisationsenheter, grupprincipobjekt, domän-/skogsförtroenden eller FSMO-roller (Flexible Single Master Operation). Microsoft Entra ID är en lösning för hantering av identiteter som en tjänst. Du kan komma åt Microsoft Entra-ID via RESTful-API:er. Du använder moderna autentiserings- och auktoriseringsprotokoll för att få åtkomst till resurser som skyddas av Microsoft Entra-ID. Katalogen har en platt struktur och använder resursbaserade behörigheter.
Varje Microsoft Entra-klientorganisation är ett datalager med hög tillgänglighet för identitetshanteringsdata. Den lagrar identitets-, princip- och konfigurationsobjekt och replikerar dem i Azure-regioner. En Microsoft Entra-klientorganisation tillhandahåller dataredundans för kritisk skyddsinformation.
Identitetstyper
Microsoft Entra ID har två typer av identiteter. De två identitetstyperna är användare och tjänstens huvudnamn.
Användare. Användare är identiteter för personer som har åtkomst till Microsoft och federerade molntjänster. Användare kan antingen vara medlemmar eller gäster i en instans av Microsoft Entra-ID. Vanligtvis är medlemmar interna för din organisation och gäster tillhör en extern organisation som en uppdragspartner eller försvarsentreprenör. Mer information om gästanvändare och samarbete mellan organisationer finns i B2B-samarbetsöversikt.
Tjänstens huvudnamn. Tjänstens huvudnamn är icke-personentiteter (NPE) i Microsoft Entra-ID. Tjänstens huvudnamn kan representera program, tjänst-/automationskonton och Azure-resurser. Även icke-Azure-resurser, till exempel lokala servrar, kan ha ett huvudnamn för tjänsten i Microsoft Entra-ID och interagera med andra Azure-resurser. Tjänstens huvudnamn är användbara för att automatisera försvarsarbetsflöden och hantera program som är viktiga för försvarsåtgärder. Mer information finns i Program- och tjänsthuvudnamnsobjekt i Microsoft Entra-ID.
Synkronisera identiteter. Du kan använda Microsoft Entra Connect Sync eller Microsoft Entra Connect Cloud Sync för att synkronisera användar-, grupp- och datorobjekt (enhet) i Usluge domena aktivnog direktorijuma med Microsoft Entra-ID. Den här konfigurationen kallas hybrididentitet.
Behörigheter
Microsoft Entra ID använder en annan metod för behörigheter än traditionella lokalni Active Directory Domain Services (AD DS).
Microsoft Entra-roller. Du tilldelar behörigheter i Microsoft Entra-ID med hjälp av Microsoft Entra-katalogroller. Dessa roller ger åtkomst till specifika API:er och omfång. Global administratör är den högsta privilegierade rollen i Microsoft Entra-ID. Det finns många inbyggda roller för olika begränsade administratörsfunktioner. Du bör delegera detaljerade behörigheter för att minska attackytan.
Viktigt!
Microsoft rekommenderar att du använder roller med minst behörighet. Detta bidrar till att förbättra säkerheten för din organisation. Global administratör är en mycket privilegierad roll som bör begränsas till nödsituationsscenarier när du inte kan använda en befintlig roll.
Utökad behörighetstilldelning. För att förbättra säkerheten och minska onödiga privilegier tillhandahåller Microsoft Entra-ID två principer för behörighetstilldelning:
Just-in-Time (JIT): Microsoft Entra ID stöder just-in-time-åtkomst. Med JIT-funktionen kan du tilldela behörigheter tillfälligt när det behövs. JIT-åtkomst minimerar exponeringen av onödiga privilegier och minskar attackytan.
Just-Enough-Admin (JEA): Microsoft Entra ID följer principen just-enough-admin. Med inbyggda roller kan du delegera administratörsuppgifter utan att bevilja orimliga behörigheter. Administrativa enheter kan ytterligare begränsa behörighetsomfånget för Microsoft Entra-roller.
Autentisering
Till skillnad från Active Directory är användare i Microsoft Entra-ID inte begränsade till lösenords- eller smartkortautentisering. Microsoft Entra-användare kan använda lösenord och många andra autentiserings- och verifieringsmetoder. Microsoft Entra ID använder moderna autentiseringsprotokoll, skyddar mot tokenbaserade attacker och identifierar misstänkt inloggningsbeteende.
Autentiseringsmetoder Microsoft Entra-autentiseringsmetoder innehåller inbyggt stöd för smartkortscertifikat och härledda autentiseringsuppgifter, Lösenordslös Microsoft Authenticator, FIDO2-säkerhetsnycklar (maskinvarunyckel) och enhetsautentiseringsuppgifter som Windows Hello za posao. Microsoft Entra ID erbjuder lösenordslösa, nätfiskeresistenta metoder till stöd för funktionerna i Memorandum 22-09 och DODCIO Nulta pouzdanost Strategy.
Autentiseringsprotokoll. Microsoft Entra-ID använder inte Kerberos, NTLM eller LDAP. Den använder moderna öppna protokoll som är avsedda att användas via Internet, till exempel OpenID Connect, OAuth 2.0, SAML 2.0 och SCIM. Även om Entra inte använder Kerberos för sin egen autentisering kan den utfärda Kerberos-biljetter för hybrididentiteter för att stödja Azure Files och aktivera lösenordslös inloggning till lokala resurser. Med Entra-programproxy kan du konfigurera enkel inloggning med Entra för lokala program som endast stöder äldre protokoll som Kerberos och rubrikbaserad autentisering.
Skydd mot tokenattacker. Traditionell AD DS är mottaglig för Kerberos-baserade attacker. AD DS använder säkerhetsgrupper med välkända säkerhetsidentifierare (SID), till exempel S-1-5-domain-512 för domänadministratörer. När en domänadministratör utför en lokal inloggning eller nätverksinloggning utfärdar domänkontrollanten en Kerberos-biljett som innehåller domänadministratörernas SID och lagrar den i en cache för autentiseringsuppgifter. Hotaktörer utnyttjar ofta den här mekanismen med hjälp av metoder för lateral förflyttning och behörighetseskalering , till exempel pass-the-hash och pass-the-ticket.
Microsoft Entra-ID är dock inte känsligt för Kerberos-attacker. Molnekvivalenten är aiTM-tekniker (adversary-in-the-middle), till exempel sessionskapning och sessionsuppspelning, för att stjäla sessionstoken (inloggningstoken). Klientprogram, Web Account Manager (WAM) eller användarens webbläsare (sessionscookies) lagrar dessa sessionstoken. För att skydda mot tokenstöldsattacker använder Microsoft Entra ID-posttoken för att förhindra återspelning och kan kräva att token är kryptografiskt bundna till användarens enhet.
Mer information om tokenstöld finns i spelboken tokenstöld.
Identifiera misstänkt inloggningsbeteende. Microsoft Entra ID Protection använder en kombination av realtidsidentifieringar och offlineidentifieringar för att identifiera riskfyllda användare och inloggningshändelser. Du kan använda riskvillkor i Villkorsstyrd åtkomst i Entra för att dynamiskt styra eller blockera åtkomst till dina program. Med kontinuerlig åtkomstutvärdering (CAE) kan klientappar identifiera ändringar i en användares session för att framtvinga åtkomstprinciper nästan i realtid.
Appar
Microsoft Entra-ID är inte bara för Microsoft-program och -tjänster. Microsoft Entra-ID kan vara identitetsprovider för alla program, molntjänstleverantörer, SaaS-provider eller identitetssystem som använder samma protokoll. Det stöder enkelt samverkan med allierade försvarsstyrkor och entreprenörer.
Policy Enforcement Point (PEP) och Policy Decision Point (PDP). Microsoft Entra ID är en gemensam principtillämpningspunkt (PEP) och principbeslutspunkt (PDP) i noll förtroendearkitekturer. Den tillämpar säkerhetsprinciper och åtkomstkontroller för program.
Styrning av Microsoft Entra-ID. Microsoft Entra ID Governance är en Microsoft Entra-funktion. Det hjälper dig att hantera användaråtkomst och automatisera åtkomstlivscykeln. Det säkerställer att användarna har lämplig och snabb åtkomst till program och resurser.
Villkorlig åtkomst. Med villkorlig åtkomst kan du använda attribut för detaljerad auktorisering för program. Du kan definiera åtkomstprinciper baserat på olika faktorer. Dessa faktorer omfattar användarattribut, autentiseringsstyrka, programattribut, användar- och inloggningsrisk, enhetens hälsa och plats. Mer information finns i noll förtroendesäkerhet.
Enheter
Microsoft Entra ID ger säker och sömlös åtkomst till Microsoft usluge via enhetshantering. Du kan hantera och ansluta Windows-enheter till Microsoft Entra på samma sätt som med Usluge domena aktivnog direktorijuma.
Registrerade enheter. Enheter registreras med din Entra-klient när användare loggar in på program med sitt Entra-konto. Entra-enhetsregistrering är inte samma sak som enhetsregistrering eller Entra-anslutning. Användare loggar in på registrerade enheter med ett lokalt konto eller Ett Microsoft-konto. Registrerade enheter inkluderar ofta BYOD (Bring Your Own Devices) som en användares hemdator eller personliga telefon.
Microsoft Entra-anslutna enheter. När användare loggar in på en Microsoft Entra-ansluten enhet låss en enhetsbunden nyckel upp med hjälp av en PIN-kod eller gest. Efter valideringen utfärdar Microsoft Entra-ID en primär uppdateringstoken (PRT) till enheten. Denna PRT underlättar enkel inloggning till Microsoft Entra ID-skyddade tjänster som Microsoft Teams.
Microsoft Entra-anslutna enheter som registrerats i Microsoft Endpoint Manager (Intune) kan använda enhetsefterlevnad som beviljandekontroll inom villkorlig åtkomst.
Microsoft Entra Hybrid-anslutna enheter. Med Microsoft Entra-hybridanslutning kan Windows-enheter anslutas samtidigt till både Usluge domena aktivnog direktorijuma och Microsoft Entra-ID. Dessa enheter autentiserar först användare mot Active Directory och hämtar sedan en primär uppdateringstoken från Microsoft Entra-ID.
Intune-hanterade enheter och program. Microsoft Intune underlättar registrering och registrering av enheter för hantering. Med Intune kan du definiera kompatibla och säkra tillstånd för användarenheter, skydda enheter med Microsoft Defender za krajnju tačku och kräva att användarna använder en kompatibel enhet för att få åtkomst till företagsresurser.
Microsoft 365 och Azure
Microsoft Entra ID är Microsofts identitetsplattform. Tjänsten hanterar både Microsoft 365- och Azure-tjänster. Microsoft 365-prenumerationer skapar och använder en Microsoft Entra-klientorganisation. Azure-tjänster förlitar sig också på en Microsoft Entra-klientorganisation.
Microsoft 365-identitet. Microsoft Entra-ID är en integrerad del av alla identitetsåtgärder i Microsoft 365. Den hanterar tilldelning av användarinloggning, samarbete, delning och behörigheter. Den stöder identitetshantering för Office 365-, Intune- och Microsoft Defender XDR-tjänster. Användarna använder Microsoft Entra varje gång de loggar in på en aplikacija Office tilldelning som Word eller Outlook, delar ett dokument med OneDrive, bjuder in en extern användare till en SharePoint-webbplats eller skapar ett nytt team i Microsoft Teams.
Azure-identitet. I Azure är varje resurs associerad med en Azure-prenumeration och prenumerationer länkas till en enda Microsoft Entra-klientorganisation. Du delegerar behörigheter för att hantera Azure-resurser genom att tilldela Azure-roller till användare, säkerhetsgrupper eller tjänstens huvudnamn.
Hanterade identiteter spelar en viktig roll när det gäller att göra det möjligt för Azure-resurser att interagera säkert med andra resurser. Dessa hanterade identiteter är säkerhetsobjekt i Microsoft Entra-klientorganisationen. Du beviljar behörigheter till dem med minsta möjliga behörighet. Du kan auktorisera en hanterad identitet för åtkomst till API:er som skyddas av Microsoft Entra-ID, till exempel Microsoft Graph. När en Azure-resurs använder en hanterad identitet är den hanterade identiteten ett objekt för tjänstens huvudnamn. Tjänstprincipobjektet finns i samma Microsoft Entra-klientorganisation som den prenumeration som är associerad med resursen.
Microsoft Graph
Microsofts webbportaler för Microsoft Entra, Azure och Microsoft 365 tillhandahåller ett grafiskt gränssnitt för Microsoft Entra-ID. Du kan automatisera programmatisk åtkomst för att läsa och uppdatera Microsoft Entra-objekt och konfigurationsprinciper med hjälp av RESTful-API:er som kallas Microsoft Graph. Microsoft Graph stöder klienter på olika språk. Språk som stöds är PowerShell, Go, Python, Java, .NET, Ruby med mera. Utforska Microsoft Graph-lagringsplatserna på GitHub.
Azure Government-moln
Det finns två separata versioner av Microsoft Entra-tjänstens försvarsorganisationer som kan använda på offentliga (internetanslutna) nätverk: Microsoft Entra Global och Microsoft Entra Government.
Microsoft Entra Global. Microsoft Entra Global är för kommersiella Microsoft 365 och Azure, Microsoft 365 GCC Moderate. Inloggningstjänsten för Microsoft Entra Global är login.microsoftonline.com.
Microsoft Entra Government. Microsoft Entra Government är Azure Government (IL4), DoD (IL5), Microsoft 365 GCC High, Microsoft 365 DoD (IL5). Inloggningstjänsten för Microsoft Entra Government är login.microsoftonline.us.
Tjänst-URL:er. Olika Microsoft Entra-tjänster använder olika inloggnings-URL:er. Därför måste du använda separata webbportaler. Du måste också ange miljöväxlar för att ansluta till Microsoft Graph-klienter och PowerShell-moduler för hantering av Azure och Microsoft 365 (se tabell 1).
Tabell 1. Azure Government-slutpunkter.
| Slutpunkt | Global | GCC – hög | DoD Impact Level 5 (IL5) |
|---|---|---|---|
| Microsoft Entra administrationscenter | entra.microsoft.com | entra.microsoft.us | entra.microsoft.us |
| Azure Portal | portal.azure.com | portal.azure.us | portal.azure.us |
| Administrationscenter för Defender | security.microsoft.com | security.microsoft.us | security.apps.mil |
| MS Graph PowerShell | Connect-MgGraph<br>-Environment Global |
Connect-MgGraph<br>-Environment USGov |
Connect-MgGraph<br>-Environment USGovDoD |
| Az PowerShell-modul | Connect-AzAccount<br>-Environment AzureCloud |
Connect-AzAccount<br>-Environment AzureUSGovernment |
Connect-AzAccount<br>-Environment AzureUSGovernment |
| Azure CLI | az cloud set --name AzureCloud |
az cloud set --name AzureUSGovernment |
az cloud set --name AzureUSGovernment |