Válassza ki a megfelelő hitelesítési módszert a Microsoft Entra hibrid identitáskezelési megoldásához
A megfelelő hitelesítési módszer kiválasztása az első szempont azoknak a szervezeteknek, amelyek az alkalmazásaikat a felhőbe szeretnék áthelyezni. A következő okokból ne hozzon könnyedén ezt a döntést:
Ez az első döntés egy olyan szervezet számára, amely a felhőbe szeretne költözni.
A hitelesítési módszer a szervezet felhőbeli jelenlétének kritikus összetevője. Ez szabályozza az összes felhőbeli adathoz és erőforráshoz való hozzáférést.
Ez a Microsoft Entra ID összes többi fejlett biztonsági és felhasználói felületi funkciójának alapja.
Az identitás az informatikai biztonság új vezérlősíkja, így a hitelesítés a szervezet hozzáférés-védelmi szolgáltatása az új felhővilághoz. A szervezeteknek olyan identitásvezérlő síkra van szükségük, amely erősíti a biztonságot, és biztonságban tartja a felhőalkalmazásokat a behatolóktól.
Feljegyzés
A hitelesítési módszer módosításához tervezésre, tesztelésre és potenciálisan állásidőre van szükség. A szakaszos bevezetés nagyszerű módszer a felhasználók összevonásról felhőhitelesítésre való migrálásának tesztelésére.
Hatókörön kívüli
A cikk nem azokat a szervezeteket helyezi fókuszba, amelyek nem rendelkeznek meglévő helyszíni címtár-lábnyomtal. Ezek a vállalatok általában csak a felhőben hoznak létre identitásokat, ami nem igényel hibrid identitásmegoldást. A csak felhőalapú identitások kizárólag a felhőben léteznek, és nincsenek társítva a megfelelő helyszíni identitásokkal.
Hitelesítési módszerek
Amikor a Microsoft Entra hibrid identitásmegoldás az új vezérlősík, a hitelesítés a felhőbeli hozzáférés alapja. A megfelelő hitelesítési módszer kiválasztása kulcsfontosságú első lépés a Microsoft Entra hibrid identitáskezelési megoldásának beállításában. A választott hitelesítési módszer a Microsoft Entra Connect használatával van konfigurálva, amely a felhőben lévő felhasználókat is kiépít.
A hitelesítési módszer kiválasztásához figyelembe kell vennie a választott megoldás megvalósításának idejét, meglévő infrastruktúráját, összetettségét és költségét. Ezek a tényezők minden szervezetnél eltérőek, és idővel változhatnak.
A Microsoft Entra ID a következő hitelesítési módszereket támogatja a hibrid identitáskezelési megoldásokhoz.
Felhőbeli hitelesítés
Ha ezt a hitelesítési módszert választja, a Microsoft Entra ID kezeli a felhasználók bejelentkezési folyamatát. Az egyszeri bejelentkezéssel (SSO) együtt a felhasználók anélkül jelentkezhetnek be a felhőalkalmazásokba, hogy újra meg kellene adniuk a hitelesítő adataikat. A felhőalapú hitelesítéssel két lehetőség közül választhat:
Microsoft Entra jelszókivonat-szinkronizálás. A legegyszerűbb módszer a helyszíni címtárobjektumok hitelesítésének engedélyezésére a Microsoft Entra ID-ban. A felhasználók ugyanazt a felhasználónevet és jelszót használhatják, amelyet a helyszínen használnak anélkül, hogy más infrastruktúrát kellene üzembe helyezniük. A Microsoft Entra ID egyes prémium funkciói, például a Microsoft Entra ID-védelem és a Microsoft Entra Domain Services jelszókivonat-szinkronizálást igényelnek, függetlenül attól, hogy melyik hitelesítési módszert választja.
Megjegyzés
A jelszavakat a rendszer soha nem tárolja tiszta szövegben, vagy a Microsoft Entra ID-ban reverzibilis algoritmussal titkosítja. További információ a jelszókivonat-szinkronizálás tényleges folyamatáról: Jelszókivonat-szinkronizálás implementálása a Microsoft Entra Connect Synctel.
Microsoft Entra átmenő hitelesítés. Egyszerű jelszó-ellenőrzést biztosít a Microsoft Entra hitelesítési szolgáltatásokhoz egy olyan szoftverügynök használatával, amely egy vagy több helyszíni kiszolgálón fut. A kiszolgálók közvetlenül a helyi Active Directory ellenőrzik a felhasználókat, ami biztosítja, hogy a jelszó érvényesítése ne történjen meg a felhőben.
Ezt a hitelesítési módszert használhatják azok a vállalatok, amelyek biztonsági követelményekkel rendelkeznek a helyszíni felhasználói fiókok állapotának, jelszóházirendjeinek és bejelentkezési óráinak azonnali kikényszerítésére. A tényleges átmenő hitelesítési folyamatról további információt a Microsoft Entra átmenő hitelesítéssel való felhasználói bejelentkezés című témakörben talál.
Összevont hitelesítés
Ha ezt a hitelesítési módszert választja, a Microsoft Entra ID átadja a hitelesítési folyamatot egy külön megbízható hitelesítési rendszernek, például helyi Active Directory összevonási szolgáltatásoknak (AD FS) a felhasználó jelszavának ellenőrzéséhez.
A hitelesítési rendszer más speciális hitelesítési követelményeket is képes biztosítani, például külső többtényezős hitelesítést.
Az alábbi szakasz egy döntési fa használatával segít eldönteni, hogy melyik hitelesítési módszer a megfelelő. Segít eldönteni, hogy a Microsoft Entra hibrid identitáskezelési megoldásához felhőbeli vagy összevont hitelesítést helyez-e üzembe.
Döntési fa
Döntési kérdések részletei:
- A Microsoft Entra ID anélkül tudja kezelni a felhasználók bejelentkezését, hogy helyszíni összetevőkre támaszkodik a jelszavak ellenőrzéséhez.
- A Microsoft Entra ID átadhatja a felhasználói bejelentkezést egy megbízható hitelesítésszolgáltatónak, például a Microsoft AD FS-ének.
- Ha a felhasználói szintű Active Directory biztonsági szabályzatokat, mint például a lejárt fiókot, a letiltott fiókot, a lejárt jelszót, a zárolt fiókot és a bejelentkezési órákat szeretné alkalmazni minden egyes felhasználói bejelentkezésnél, a Microsoft Entra ID néhány helyszíni összetevőt igényel.
- A Microsoft Entra ID által natív módon nem támogatott bejelentkezési funkciók:
- Bejelentkezés külső hitelesítési megoldással.
- Többhelyes helyszíni hitelesítési megoldás.
- Microsoft Entra ID-védelem jelszókivonat-szinkronizálást igényel, függetlenül attól, hogy melyik bejelentkezési módszert választja, hogy biztosítsa a kiszivárgott hitelesítő adatokkal rendelkező felhasználók jelentést. A szervezetek átállhatnak a Jelszókivonat szinkronizálása szolgáltatásra, ha az elsődleges bejelentkezési módszerük meghiúsul, és már a hibaesemény előtt konfigurálva volt.
Megjegyzés
Microsoft Entra ID-védelem szükséges Microsoft Entra ID P2-licencek.
Részletes szempontok
Felhőalapú hitelesítés: Jelszókivonat-szinkronizálás
Erőfeszítés. A jelszókivonat-szinkronizálás a legkisebb erőfeszítést igényli az üzembe helyezés, a karbantartás és az infrastruktúra tekintetében. Ez az erőfeszítés általában azokra a szervezetekre vonatkozik, amelyeknek csak a felhasználóiknak kell bejelentkezniük a Microsoft 365-be, az SaaS-alkalmazásokba és más Microsoft Entra ID-alapú erőforrásokba. Ha be van kapcsolva, a jelszókivonat-szinkronizálás a Microsoft Entra Connect Szinkronizálási folyamat része, és két percenként fut.
Felhasználói élmény. A felhasználók bejelentkezési élményének javítása érdekében használja a Microsoft Entra-hoz csatlakoztatott eszközöket vagy a Microsoft Entra hibrid csatlakoztatott eszközöket. Ha nem tudja csatlakoztatni Windows-eszközeit a Microsoft Entra-azonosítóhoz, javasoljuk, hogy helyezzen üzembe közvetlen egyszeri bejelentkezést jelszókivonat-szinkronizálással. A közvetlen egyszeri bejelentkezés kiküszöböli a szükségtelen kéréseket, amikor a felhasználók bejelentkeznek.
Speciális forgatókönyvek. Ha a szervezetek ezt választják, lehetőségük van arra, hogy az identitások adataiból származó megállapításokat a Microsoft Entra ID Protection jelentéseivel használják együtt a Microsoft Entra ID P2-ben. Ilyen például a kiszivárgott hitelesítő adatok jelentése. Vállalati Windows Hello a jelszókivonat-szinkronizálás használatakor meghatározott követelményekkel rendelkezik. A Microsoft Entra Domain Services jelszókivonat-szinkronizálást igényel a felhasználók vállalati hitelesítő adatainak a felügyelt tartományban való kiépítéséhez.
A jelszókivonat-szinkronizálással többtényezős hitelesítést igénylő szervezeteknek a Microsoft Entra többtényezős hitelesítést vagy a feltételes hozzáférés egyéni vezérlőit kell használniuk. Ezek a szervezetek nem használhatnak olyan külső vagy helyszíni többtényezős hitelesítési módszereket, amelyek összevonásra támaszkodnak.
Feljegyzés
A Microsoft Entra feltételes hozzáféréshez Microsoft Entra ID P1-licencek szükségesek.
Üzletmenet-folytonosság. A jelszókivonat-szinkronizálás felhőhitelesítéssel történő használata magas rendelkezésre állású felhőszolgáltatásként, amely az összes Microsoft-adatközpontra skálázható. Ha meg szeretné győződni arról, hogy a jelszókivonat-szinkronizálás hosszabb ideig nem áll le, helyezzen üzembe egy második Microsoft Entra Connect-kiszolgálót átmeneti módban készenléti konfigurációban.
Megfontolandó szempontok. A jelszókivonat-szinkronizálás jelenleg nem kényszeríti ki azonnal a helyszíni fiókállapotok módosításait. Ebben az esetben a felhasználónak hozzáférése van a felhőalkalmazásokhoz, amíg a felhasználói fiók állapota nem szinkronizálódik a Microsoft Entra-azonosítóval. Előfordulhat, hogy a szervezetek egy új szinkronizálási ciklus futtatásával szeretnék leküzdeni ezt a korlátozást, miután a rendszergazdák tömegesen frissítik a helyszíni felhasználói fiókok állapotát. Ilyen például a fiókok letiltása.
Feljegyzés
A jelszó lejárt, és a fiók zárolt állapota jelenleg nincs szinkronizálva a Microsoft Entra-azonosítóval a Microsoft Entra Connecttel. Amikor módosítja egy felhasználó jelszavát, és a következő bejelentkezési jelölőnél a felhasználónak módosítania kell a jelszót, a jelszókivonat nem lesz szinkronizálva a Microsoft Entra-azonosítóval a Microsoft Entra Connecttel, amíg a felhasználó nem módosítja a jelszavát.
Az üzembe helyezési lépésekhez tekintse meg a jelszókivonat-szinkronizálás implementálását.
Felhőalapú hitelesítés: Átmenő hitelesítés
Erőfeszítés. Az átmenő hitelesítéshez legalább egy (három) egyszerűsített ügynökre van szükség a meglévő kiszolgálókon. Ezeknek az ügynököknek hozzáféréssel kell rendelkezniük a helyi Active Directory Domain Serviceshez, beleértve a helyszíni AD-tartományvezérlőket is. Kimenő internet-hozzáférésre és a tartományvezérlőkhöz való hozzáférésre van szükségük. Ezért nem támogatott az ügynökök peremhálózaton való üzembe helyezése.
Az átmenő hitelesítéshez nem korlátozott hálózati hozzáférés szükséges a tartományvezérlőkhöz. Minden hálózati forgalom titkosítva van, és a hitelesítési kérelmekre korlátozódik. Erről a folyamatról további információt az átmenő hitelesítés biztonsági mélyreható elemzésében talál.
Felhasználói élmény. A felhasználók bejelentkezési élményének javítása érdekében használja a Microsoft Entra-hoz csatlakoztatott eszközöket vagy a Microsoft Entra hibrid csatlakoztatott eszközöket. Ha nem tudja csatlakoztatni Windows-eszközeit a Microsoft Entra-azonosítóhoz, javasoljuk, hogy helyezzen üzembe közvetlen egyszeri bejelentkezést jelszókivonat-szinkronizálással. A közvetlen egyszeri bejelentkezés kiküszöböli a szükségtelen kéréseket, amikor a felhasználók bejelentkeznek.
Speciális forgatókönyvek. Az átmenő hitelesítés a bejelentkezéskor érvényesíti a helyszíni fiókházirendet. Például a hozzáférés megtagadva, ha egy helyszíni felhasználó fiókállapota le van tiltva, zárolva van, vagy a jelszó lejár , vagy a bejelentkezési kísérlet túllépi azokat az órákat, amikor a felhasználó bejelentkezhet.
Az átmenő hitelesítéssel többtényezős hitelesítést igénylő szervezeteknek a Microsoft Entra többtényezős hitelesítést vagy a feltételes hozzáférés egyéni vezérlőit kell használniuk. Ezek a szervezetek nem használhatnak olyan külső vagy helyszíni többtényezős hitelesítési módszert, amely összevonásra épül. A speciális funkciók megkövetelik a jelszókivonat-szinkronizálás üzembe helyezését, függetlenül attól, hogy az átmenő hitelesítést választja-e. Ilyen például a Microsoft Entra ID-védelem kiszivárgott hitelesítő adatainak észlelése.
Üzletmenet-folytonosság. Javasoljuk, hogy két további átmenő hitelesítési ügynököt telepítsen. Ezek a további elemek a Microsoft Entra Connect-kiszolgáló első ügynökéhez adódnak hozzá. Ez a másik üzembe helyezés biztosítja a hitelesítési kérések magas rendelkezésre állását. Ha három ügynök van üzembe helyezve, az egyik ügynök még mindig meghibásodhat, amikor egy másik ügynök karbantartás miatt leáll.
Az átmenő hitelesítés mellett a jelszókivonat-szinkronizálást is üzembe helyezheti. Biztonsági mentési hitelesítési módszerként működik, ha az elsődleges hitelesítési módszer már nem érhető el.
Megfontolandó szempontok. A jelszókivonat-szinkronizálás biztonsági mentési hitelesítési módszerként használható az átmenő hitelesítéshez, ha az ügynökök jelentős helyszíni hiba miatt nem tudják ellenőrizni a felhasználó hitelesítő adatait. A jelszókivonat-szinkronizálás nem történik meg automatikusan, és a Microsoft Entra Connect használatával manuálisan kell váltania a bejelentkezési módszerre.
Az átmenő hitelesítéssel kapcsolatos egyéb szempontokat, beleértve az alternatív azonosítók támogatását, tekintse meg a gyakori kérdéseket.
Az üzembe helyezési lépésekhez tekintse meg az átmenő hitelesítés implementálását.
Összevont hitelesítés
Erőfeszítés. Az összevont hitelesítési rendszer egy külső megbízható rendszerre támaszkodik a felhasználók hitelesítéséhez. Néhány vállalat szeretné újra felhasználni meglévő összevont rendszerberuházását a Microsoft Entra hibrid identitáskezelési megoldásával. Az összevont rendszer karbantartása és felügyelete kívül esik a Microsoft Entra ID-n. Az összevont rendszer használatával a szervezetnek kell gondoskodnia arról, hogy biztonságosan legyen üzembe helyezve, és képes legyen kezelni a hitelesítési terhelést.
Felhasználói élmény. Az összevont hitelesítés felhasználói élménye az összevonási farm funkcióinak, topológiájának és konfigurációjának megvalósításától függ. Egyes szervezeteknek erre a rugalmasságra van szükségük ahhoz, hogy az összevonási farmhoz való hozzáférést a biztonsági követelményeknek megfelelően alakítsák át és konfigurálják. Például beállíthatja, hogy a belső hálózatra csatlakoztatott felhasználók és eszközök automatikusan jelentkezzenek be, anélkül hogy hitelesítő adatokat kérnének tőlük. Ez a konfiguráció azért működik, mert már bejelentkeztek az eszközeikre. Szükség esetén néhány speciális biztonsági funkció megnehezíti a felhasználók bejelentkezési folyamatát.
Speciális forgatókönyvek. Összevont hitelesítési megoldásra van szükség, ha az ügyfeleknek olyan hitelesítési követelményük van, hogy a Microsoft Entra ID natív módon nem támogatott. A megfelelő bejelentkezési lehetőség kiválasztásához tekintse meg a részletes információkat. Vegye figyelembe a következő gyakori követelményeket:
- Összevont identitásszolgáltatót igénylő, harmadik féltől származó többtényezős szolgáltatók.
- Hitelesítés külső hitelesítési megoldásokkal. Tekintse meg a Microsoft Entra összevonási kompatibilitási listáját.
- A bejelentkezéshez sAMAccountName (például TARTOMÁNY\felhasználónév) szükséges az UPN helyett, például user@domain.com.
Üzletmenet-folytonosság. Az összevont rendszerek általában a kiszolgálók terheléselosztásos tömbjének, más néven farmnak a használatát igénylik. Ez a farm egy belső hálózati és szegélyhálózati topológiában van konfigurálva, hogy biztosítsa a hitelesítési kérelmek magas rendelkezésre állását.
A jelszókivonat-szinkronizálás és az összevont hitelesítés központi telepítése biztonsági mentési hitelesítési módszerként, ha az elsődleges hitelesítési módszer már nem érhető el. Ilyen például, ha a helyszíni kiszolgálók nem érhetők el. Egyes nagyvállalati szervezetek összevonási megoldást igényelnek a geo-DNS-sel konfigurált több internetes bejövő pont támogatásához az alacsony késésű hitelesítési kérelmekhez.
Megfontolandó szempontok. Az összevont rendszerek általában nagyobb befektetést igényelnek a helyszíni infrastruktúrába. A legtöbb szervezet akkor választja ezt a lehetőséget, ha már rendelkezik helyszíni összevonási befektetéssel. Ha pedig az az üzleti követelmény, hogy egyetlen identitásszolgáltatót használjanak. Az összevonás a felhőhitelesítési megoldásokhoz képest összetettebb működést és hibaelhárítást jelent.
A Microsoft Entra-azonosítóban nem ellenőrizhető nem irányítható tartomány esetén további konfigurációra van szükség a felhasználói azonosító bejelentkezésének implementálásához. Ezt a követelményt alternatív bejelentkezési azonosító-támogatásnak nevezzük. További információt az alternatív bejelentkezési azonosító konfigurálásával kapcsolatos korlátozásokról és követelményekről talál. Ha egy harmadik féltől származó többtényezős hitelesítésszolgáltatót használ összevonással, győződjön meg arról, hogy a szolgáltató támogatja a WS-Trust szolgáltatást, hogy az eszközök csatlakozhassanak a Microsoft Entra-azonosítóhoz.
Tekintse meg az összevonási kiszolgálók üzembe helyezésének lépéseit.
Feljegyzés
A Microsoft Entra hibrid identitáskezelési megoldás üzembe helyezésekor implementálnia kell a Microsoft Entra Connect egyik támogatott topológiáját. További információ a Microsoft Entra Connect topológiáiban támogatott és nem támogatott konfigurációkról.
Építészeti diagramok
Az alábbi ábrák a Microsoft Entra hibrid identitáskezelési megoldással használható hitelesítési módszerekhez szükséges magas szintű architektúra-összetevőket ismertetik. Áttekintést nyújtanak a megoldások közötti különbségek összehasonlításához.
A jelszókivonat-szinkronizálási megoldás egyszerűsége:
Az átmenő hitelesítési ügynök követelményei, két ügynök használata a redundancia érdekében.
A szervezet peremhálózatában és belső hálózatában az összevonáshoz szükséges összetevők:
Módszerek összehasonlítása
| Megfontolás | Jelszókivonat szinkronizálása | Átmenő hitelesítés | Összevonás az AD FS rendszerrel |
|---|---|---|---|
| Hol történik a hitelesítés? | A felhőben | A felhőben a helyszíni hitelesítési ügynökkel folytatott biztonságos jelszó-ellenőrzési csere után | Helyszíni telepítés |
| Milyen követelmények vonatkoznak a helyszíni kiszolgálóra a kiépítési rendszeren túl: Microsoft Entra Connect? | Egyik sem | Minden további hitelesítési ügynökhöz egy kiszolgáló | Két vagy több AD FS-kiszolgáló Két vagy több WAP-kiszolgáló a szegélyhálózaton/DMZ-hálózaton |
| Milyen követelmények vonatkoznak a helyszíni internetre és a hálózatkezelésre a kiépítési rendszeren túl? | Egyik sem | Kimenő internet-hozzáférés a hitelesítési ügynököket futtató kiszolgálókról |
Bejövő internet-hozzáférés a peremhálózaton lévő WAP-kiszolgálókhoz Bejövő hálózati hozzáférés az AD FS-kiszolgálókhoz a peremhálózati WAP-kiszolgálókról Hálózati terheléselosztás |
| Van TLS-/SSL-tanúsítványkövetelmény? | Nem | Nem | Igen |
| Létezik állapotmonitorozási megoldás? | Nem kötelező | A Microsoft Entra felügyeleti központ által biztosított ügynökállapot | Microsoft Entra Connect Health |
| A felhasználók egyszeri bejelentkezést kapnak a felhőbeli erőforrásokra a vállalati hálózaton belüli tartományhoz csatlakoztatott eszközökről? | Igen, a Microsoft Entra által csatlakoztatott eszközökkel, a Microsoft Entra hibrid módon csatlakoztatott eszközökkel, az Apple-eszközökhöz készült Microsoft Enterprise SSO beépülő modullal, vagy a zökkenőmentes SSO-val | Igen, a Microsoft Entra-hoz csatlakozott eszközökkel, Microsoft Entra hibrid csatlakozott eszközökkel, a Microsoft Enterprise SSO beépülő modullal Apple-eszközökhöz, vagy a zökkenőmentes SSO-val | Igen |
| Milyen bejelentkezési típusok támogatottak? | UserPrincipalName + jelszó Windows-integrált hitelesítés közvetlen egyszeri bejelentkezéssel Másodlagos bejelentkezési azonosító Microsoft Entra csatlakozott eszközök Microsoft Entra hibrid csatlakoztatott eszközök Tanúsítvány- és intelligenskártya-hitelesítés |
UserPrincipalName + jelszó Windows-integrált hitelesítés közvetlen egyszeri bejelentkezéssel Másodlagos bejelentkezési azonosító Microsoft Entra-hoz csatlakozott eszközök Microsoft Entra hibrid csatlakoztatott eszközök Tanúsítvány- és intelligenskártya-hitelesítés |
UserPrincipalName + jelszó sAMAccountName + jelszó Windows-integrált hitelesítés Tanúsítvány- és intelligenskártya-hitelesítés Másodlagos bejelentkezési azonosító |
| Támogatja a Windows Hello for Business szolgáltatást? |
Kulcsmegbízhatósági modell Hibrid felhőmegbízhatóság |
Kulcsmegbízhatósági modell Hibrid felhőmegbízhatóság Mindkettőhöz Windows Server 2016 domain működési szint szükséges |
Kulcsmegbízhatósági modell Hibrid felhőmegbízhatóság Tanúsítványmegbízhatósági modell |
| Mik a többtényezős hitelesítési lehetőségek? |
Microsoft Entra többtényezős hitelesítés Egyéni vezérlők feltételes hozzáféréssel* |
Microsoft Entra többtényezős hitelesítés Egyéni vezérlők feltételes hozzáféréssel* |
Microsoft Entra többtényezős hitelesítés Harmadik fél általi MFA Egyéni vezérlők feltételes hozzáféréssel* |
| Milyen felhasználói fiókállapotok támogatottak? | Letiltott fiókok (legfeljebb 30 perces késés) |
Letiltott fiókok Fiók zárolva A fiók lejárt Jelszó lejárt Bejelentkezési órák |
Letiltott fiókok Fiók zárolva A fiók lejárt Jelszó lejárt Bejelentkezési órák |
| Mik a feltételes hozzáférési lehetőségek? | Microsoft Entra feltételes hozzáférés, Microsoft Entra ID P1 vagy P2 | Microsoft Entra Feltételes hozzáférés, Microsoft Entra ID P1 vagy P2 azonosítóval | Microsoft Entra feltételes hozzáférés, Microsoft Entra ID P1 vagy P2 szolgáltatás |
| Támogatott az örökölt protokollok blokkolása? | Igen | Igen | Igen |
| Testre szabhatja az emblémát, a képet és a leírást a bejelentkezési oldalakon? | Igen, P1 vagy P2 Microsoft Entra-azonosítóval | Igen, P1 vagy P2 Microsoft Entra-azonosítóval | Igen |
| Milyen speciális forgatókönyvek támogatottak? |
Intelligens jelszózárolás Microsoft Entra ID P2-vel készült kiszivárgott hitelesítő adatok jelentései |
Intelligens jelszózárolás | Többhelyes kis késésű hitelesítési rendszer AD FS extranetes zárolás Integráció külső identitásrendszerekkel |
Feljegyzés
A Microsoft Entra Feltételes hozzáférés egyéni vezérlői jelenleg nem támogatják az eszközregisztrációt.
Ajánlások
Az identitásrendszer biztosítja a felhasználók számára a migrálandó és a felhőben elérhetővé tenni kívánt alkalmazásokhoz való hozzáférést. Használja vagy engedélyezze a jelszókivonat-szinkronizálást bármelyik választott hitelesítési módszerrel, az alábbi okokból:
Magas rendelkezésre állás és vészhelyreállítás. Az átmenő hitelesítés és az összevonás a helyszíni infrastruktúrára támaszkodik. Az átmenő hitelesítéshez a helyszíni lábnyom magában foglalja a kiszolgáló hardverét és az átmenő hitelesítési ügynökök által igényelt hálózatkezelést. A federáció esetén a telephelyi jelenlét még nagyobb. A peremhálózat kiszolgálóinak proxyként kezelniük kell a hitelesítési kéréseket és a belső összevonási kiszolgálókhoz történő hozzáférést.
Az egyes meghibásodási pontok elkerülése érdekében telepítsen redundáns kiszolgálókat. Ezután a hitelesítési kérések mindig kiszolgálva lesznek, ha valamelyik összetevő meghibásodik. Az átmenő hitelesítés és az összevonás egyaránt a tartományvezérlőkre támaszkodik a hitelesítési kérelmek megválaszolásához, ami szintén sikertelen lehet. Ezen összetevők közül soknak karbantartásra van szüksége az egészség megőrzéséhez. A kimaradások nagyobb valószínűséggel jelennek meg, ha a karbantartást nem tervezik és nem megfelelően implementálják.
A helyszíni kimaradás túlélése. A helyszíni kibertámadás vagy katasztrófa miatti kimaradás következményei jelentősek lehetnek, a hírnévbeli márka sérülésétől kezdve a bénult szervezetig, amely nem képes kezelni a támadást. A közelmúltban számos szervezet áldozata volt a kártevő támadásoknak, köztük a célzott zsarolóprogramoknak, amelyek miatt a helyszíni kiszolgálók leálltak. Amikor a Microsoft segít az ügyfeleknek az ilyen típusú támadások kezelésében, két szervezetkategóriát lát:
Azok a szervezetek, amelyek korábban az összevont vagy az átmenő hitelesítés mellett a jelszókivonat-szinkronizálást is bekapcsolták, megváltoztatták az elsődleges hitelesítési módszerüket a jelszókivonat-szinkronizálás használatára. Órákon belül újra online állapotban voltak. A Microsoft 365-en keresztüli e-mail-hozzáféréssel a problémák megoldásán és más felhőalapú számítási feladatok elérésén dolgoztak.
Azoknak a szervezeteknek, amelyek korábban nem engedélyezték a jelszókivonat-szinkronizálást, nem megbízható külső fogyasztói levelezőrendszereket kellett igénybevenni a problémák megoldásához. Ezekben az esetekben hetekbe telt, mire a felhasználók újra bejelentkezhettek a felhőalapú alkalmazásokba, hetekbe telt a helyszíni identitásinfrastruktúra visszaállítása.
Azonosítók védelme. A felhőbeli felhasználók védelmének egyik legjobb módja a Microsoft Entra ID Protection a Microsoft Entra ID P2-vel. A Microsoft folyamatosan ellenőrzi az interneten azokat a felhasználói és jelszólistákat, amelyeket a rossz szereplők adnak el és tesznek elérhetővé a sötét weben. A Microsoft Entra-azonosító ezen információk segítségével ellenőrizheti, hogy a szervezetében lévő felhasználónevek és jelszavak sérültek-e. Ezért kritikus fontosságú a jelszókivonat-szinkronizálás engedélyezése, függetlenül attól, hogy melyik hitelesítési módszert használja, függetlenül attól, hogy összevont vagy átmenő hitelesítésről van-e szó. A kiszivárgott hitelesítő adatok jelentésként jelennek meg. Ezekkel az információkkal letilthatja vagy kényszerítheti a felhasználókat a jelszó módosítására, amikor kiszivárgott jelszóval próbálnak bejelentkezni.
Összegzés
Ez a cikk a szervezetek által a felhőalkalmazásokhoz való hozzáférés támogatásához konfigurálható és üzembe helyezhető különböző hitelesítési lehetőségeket ismerteti. A különböző üzleti, biztonsági és műszaki követelmények teljesítése érdekében a szervezetek választhatnak a jelszókivonat-szinkronizálás, az átmenő hitelesítés és az összevonás között.
Fontolja meg az egyes hitelesítési módszereket. A megoldás üzembe helyezése és a bejelentkezési folyamat felhasználói élménye megfelel az üzleti követelményeknek? Annak kiértékelése, hogy a szervezetnek szüksége van-e az egyes hitelesítési módszerek speciális forgatókönyveire és üzletmenet-folytonossági funkcióira. Végül értékelje ki az egyes hitelesítési módszerek szempontjait. Ezek közül bármelyik megakadályozza, hogy megvalósítsa a választását?
Következő lépések
A mai világban a fenyegetések a nap 24 órájában jelen vannak, és mindenhonnan érkeznek. Implementálja a megfelelő hitelesítési módszert, amely csökkenti a biztonsági kockázatokat, és védi az identitásokat.
Ismerkedjen meg a Microsoft Entra-azonosítóval, és helyezze üzembe a szervezetének megfelelő hitelesítési megoldást.
Ha az összevontról a felhőhitelesítésre való migráláson gondolkodik, tudjon meg többet a bejelentkezési módszer módosításáról. A migrálás megtervezéséhez és implementálásához használja ezeket a projekttelepítési terveket, vagy fontolja meg az új szakaszos bevezetési funkció használatát összevont felhasználók migrálásához felhőalapú hitelesítésre szakaszos megközelítésben.