备忘录 22-09 企业范围的标识管理系统
M 22-09《行政部门和机构负责人记要》要求机构为其标识平台制定合并计划。 目标是在发布日期(2022 年 3 月 28 日)后的 60 天内,拥有尽可能少的机构托管标识系统。 合并标识平台有多项优点:
- 集中管理标识生命周期、策略强制实施和可审核控件
- 能够统一且一致地进行强制实施
- 降低跨多个系统训练资源的需求
- 使用户只需登录一次就可以访问 IT 环境中的应用程序和服务
- 与尽可能多的机构应用程序集成
- 使用共享身份验证服务和信任关系简化机构之间的集成
为什么要使用 Microsoft Entra ID?
使用 Microsoft Entra ID 实施备忘录 22-09 中的建议。 Microsoft Entra ID 具有支持零信任计划的标识控件。 对于 Microsoft Office 365 或 Azure,Microsoft Entra ID 是标识提供者 (IdP)。 将应用程序和资源作为企业范围的标识系统连接到 Microsoft Entra ID。
单一登录要求
此记要要求用户登录一次就可以访问应用程序。 使用 Microsoft 单点登录 (SSO),用户只需登录一次即可访问云服务和应用程序。 请参见 Microsoft Entra 无缝单一登录。
跨代理集成
使用 Microsoft Entra B2B 协作来满足促进跨机构集成和协作的要求。 用户可以驻留在同一云中的 Microsoft 租户中。 租户可以位于另一个 Microsoft 云中,也可以位于非 Azure AD 租户(SAML/WS 联合身份验证标识提供者)中。
使用 Microsoft Entra 跨租户访问设置,机构可管理他们与其他 Microsoft Entra 组织和其他 Microsoft Azure 云的协作方式:
- 限制 Microsoft 租户用户可以访问的内容
- 外部用户访问的设置,包括多重身份验证强制实施和设备信号
了解详细信息:
连接应用程序
若要合并 Microsoft Entra ID 并将其用作企业范围的标识系统,请查看范围内的资产。
记录应用程序和服务
创建用户访问的应用程序和服务清单。 标识管理系统保护它知道的内容。
资产分类:
- 其中数据的敏感度
- 有关主要系统中数据和/或信息的机密性、完整性或可用性的法律法规
- 适用于系统信息保护要求的法律法规
对于应用程序清单,确定使用云就绪协议或旧式身份验证协议的应用程序:
- 云就绪应用程序支持使用新式协议进行身份验证:
- SAML
- WS 联合身份验证/信任
- OpenID Connect (OIDC)
- OAuth 2.0。
- 旧式身份验证应用程序依赖于较旧或专有的身份验证方法:
- Kerberos/NTLM(Windows 身份验证)
- 基于标头的身份验证
- LDAP
- 基本身份验证
了解详细信息,Microsoft Entra 与身份验证协议的集成。
应用程序和服务发现工具
Microsoft 提供以下工具来支持应用程序和服务发现。
| 工具 | 使用情况 |
|---|---|
| Active Directory 联合身份验证服务 (AD FS) 的使用情况分析 | 分析联合服务器身份验证流量。 请参阅使用 Microsoft Entra Connect Health 监视 AD FS |
| Microsoft Defender for Cloud Apps | 扫描防火墙日志以检测云应用、基础结构即服务 (IaaS) 服务和平台即服务 (PaaS) 服务。 将 Defender for Cloud Apps 与 Defender for Endpoint 集成,从 Windows 客户端设备分析的数据进行发现。 请参阅 Microsoft Defender for Cloud Apps 概述 |
| 应用程序发现工作表 | 记录应用程序的当前状态。 请参阅应用程序发现工作表 |
你的应用可能位于 Microsoft 以外的系统中,Microsoft 工具可能无法发现这些应用。 请确保进行彻底的清点。 提供程序需要机制来发现使用其服务的应用程序。
确定要连接的应用程序的优先级
发现环境中的应用程序后,请确定其迁移优先次序。 请注意以下几点:
- 业务关键性
- 用户配置文件
- 使用情况
- 有效期
了解详细:将应用程序身份验证迁移到 Microsoft Entra ID。
按优先顺序连接云就绪应用。 确定使用旧式身份验证协议的应用。
对于使用旧式身份验证协议的应用:
- 对于使用了新式身份验证的应用,请将其重新配置为使用 Microsoft Entra ID
- 对于没有使用新式身份验证的应用,你有两个选择:
- 通过集成 Microsoft 身份验证库 (MSAL),更新应用程序代码以使用新式协议
- 使用 Microsoft Entra 应用程序代理或保护混合合作伙伴访问,以实现安全访问
- 取消对不再需要或不支持的应用的访问权限
了解详细信息
连接设备
在集中标识管理系统时,使用户能够登录到物理设备和虚拟设备。 你可以在集中的 Microsoft Entra 系统中连接 Windows 和 Linux 设备,不需要有多个单独的标识系统。
在清点和确定范围过程中,确定要与 Microsoft Entra ID 集成的设备和基础结构。 集成使用条件访问策略和通过 Microsoft Entra ID 强制实施的多重身份验证,集中身份验证和管理。
用于发现设备的工具
可以使用 Azure 自动化帐户,通过连接到 Azure Monitor 的清单收集功能来标识设备。 Microsoft Defender for Endpoint 具有设备清单功能。 发现配置了 Defender for Endpoint 的设备,以及未配置它的设备。 设备清点来自本地系统(例如 System Center Configuration Manager)或负责管理设备和客户端的其他系统。
了解详细信息:
将设备与 Microsoft Entra ID 集成
与 Microsoft Entra ID 集成的设备是混合联接设备或Microsoft Entra 联接设备。 将通过客户端和用户设备加入的设备与作为基础结构运行的物理计算机和虚拟机分开。 有关用户设备的部署策略的详细信息,请参阅以下指南。
- 规划 Microsoft Entra 设备部署
- Microsoft Entra 混合联接设备
- Microsoft Entra 联接设备
- 使用 Microsoft Entra ID(包括无密码)登录到 Azure 中的 Windows 虚拟机
- 使用 Microsoft Entra ID 和 OpenSSH 登录到 Azure 中的 Linux 虚拟机
- Azure 虚拟桌面的 Microsoft Entra 联接
- 设备标识和桌面虚拟化
后续步骤
以下是此文档集中的部分文章: