Memo 22-09 sistema di gestione delle identità a livello aziendale
M 22-09 Memorandum for Heads of Executive Departments and Agency richiede alle agenzie di sviluppare un piano di consolidamento per le loro piattaforme di identità. L'obiettivo è avere il minor numero possibile di sistemi di gestione delle identità gestiti dall'agenzia entro 60 giorni dalla data di pubblicazione (28 marzo 2022). Esistono diversi vantaggi per consolidare Identity Platform:
- Centralizzare la gestione del ciclo di vita delle identità, l'applicazione dei criteri e i controlli controllabili
- Funzionalità uniformi e parità di applicazione
- Ridurre la necessità di eseguire il training delle risorse in più sistemi
- Consentire agli utenti di accedere una sola volta e quindi accedere ad applicazioni e servizi nell'ambiente IT
- Integrare con il maggior numero possibile di applicazioni dell'agenzia
- Usare i servizi di autenticazione condivisa e le relazioni di trust per facilitare l'integrazione tra le agenzie
Usare Microsoft Entra ID per implementare le raccomandazioni del memorandum 22-09. Microsoft Entra ID include controlli di identità che supportano le iniziative Zero Trust. Con Microsoft Office 365 o Azure, Microsoft Entra ID è un provider di identità (IdP). Connessione le applicazioni e le risorse a Microsoft Entra ID come sistema di gestione delle identità a livello aziendale.
Il memo richiede l'accesso degli utenti una sola volta e quindi l'accesso alle applicazioni. Con gli utenti dell'accesso Single Sign-On (SSO) Microsoft accedono una sola volta e quindi accedono a servizi e applicazioni cloud. Vedere l'accesso Single Sign-On facile di Microsoft Entra.
Usare Microsoft Entra B2B Collaboration per soddisfare il requisito di facilitare l'integrazione e la collaborazione tra le agenzie. Gli utenti possono risiedere in un tenant Microsoft nello stesso cloud. I tenant possono trovarsi in un altro cloud Microsoft o in un tenant non Azure AD (provider di identità SAML/WS-Fed).
Con le impostazioni di accesso cross-tenant di Microsoft Entra, le agenzie gestiscono come collaborano con altre organizzazioni di Microsoft Entra e altri cloud di Microsoft Azure:
- Limitare l'accesso degli utenti dei tenant Microsoft
- Impostazioni per l'accesso utente esterno, tra cui l'imposizione dell'autenticazione a più fattori e il segnale del dispositivo
Altre informazioni:
- Panoramica della collaborazione B2B
- Microsoft Entra B2B nei cloud pubblici e nazionali
- Federazione con provider di identità SAML/WS-Fed per gli utenti guest
Per consolidare e usare Microsoft Entra ID come sistema di gestione delle identità a livello aziendale, esaminare gli asset inclusi nell'ambito.
Creare un inventario delle applicazioni e dei servizi a cui gli utenti accedono. Un sistema di gestione delle identità protegge ciò che sa.
Classificazione degli asset:
- Riservatezza dei dati
- Leggi e normative per la riservatezza, l'integrità o la disponibilità di dati e/o informazioni nei principali sistemi
- Leggi e normative che si applicano ai requisiti di protezione delle informazioni di sistema
Per l'inventario delle applicazioni, determinare le applicazioni che usano protocolli pronti per il cloud o protocolli di autenticazione legacy:
- Le applicazioni pronte per il cloud supportano protocolli moderni per l'autenticazione:
- SAML
- WS-Federation/Trust
- OpenID Connessione (OIDC)
- OAuth 2.0.
- Le applicazioni di autenticazione legacy si basano su metodi di autenticazione meno recenti o proprietari:
- Kerberos/NTLM (autenticazione di Windows)
- Autenticazione basata su intestazione
- LDAP
- Autenticazione di base
Altre informazioni sulle integrazioni di Microsoft Entra con i protocolli di autenticazione.
Microsoft offre gli strumenti seguenti per supportare l'individuazione di applicazioni e servizi.
Strumento | Utilizzo |
---|---|
Analisi di utilizzo per Active Directory Federation Services (AD FS) | Analizza il traffico di autenticazione del server federato. Vedere Monitorare AD FS con Microsoft Entra Connessione Health |
Microsoft Defender for Cloud Apps | Analizza i log del firewall per rilevare le app cloud, i servizi IaaS (Infrastructure as a Service) e i servizi PaaS (Platform as a Service). Integrare Defender per il cloud Apps con Defender per endpoint ai dati di individuazione analizzati dai dispositivi client Windows. Vedere Panoramica delle app Microsoft Defender per il cloud |
Foglio di lavoro individuazione applicazioni | Documentare gli stati correnti delle applicazioni. Vedere il foglio di lavoro Individuazione applicazioni |
Le app potrebbero trovarsi in sistemi diversi da Microsoft e gli strumenti Microsoft potrebbero non individuare tali app. Verificare un inventario completo. I provider necessitano di meccanismi per individuare le applicazioni che usano i propri servizi.
Dopo aver scoperto le applicazioni nell'ambiente in uso, assegnarle le priorità per la migrazione. Tenere in considerazione:
- Criticità aziendale
- Profili utente
- Utilizzo
- Durata
Altre informazioni: Eseguire la migrazione dell'autenticazione dell'applicazione all'ID Microsoft Entra.
Connessione le app pronte per il cloud in ordine di priorità. Determinare le app che usano protocolli di autenticazione legacy.
Per le app che usano protocolli di autenticazione legacy:
- Per le app con autenticazione moderna, riconfigurarle per l'uso di Microsoft Entra ID
- Per le app senza autenticazione moderna, sono disponibili due opzioni:
- Aggiornare il codice dell'applicazione per usare i protocolli moderni integrando Microsoft Authentication Library (MSAL)
- Usare il proxy dell'applicazione Microsoft Entra o l'accesso sicuro ai partner ibridi per l'accesso sicuro
- Rimuovere le autorizzazioni di accesso alle app non più necessarie o non supportate
Altre informazioni
- Integrazioni di Microsoft Entra con protocolli di autenticazione
- Che cos'è Microsoft Identity Platform?
- Proteggere l'accesso ibrido: proteggere le app legacy con Microsoft Entra ID
Parte della centralizzazione di un sistema di gestione delle identità consente agli utenti di accedere a dispositivi fisici e virtuali. È possibile connettere i dispositivi Windows e Linux nel sistema Microsoft Entra centralizzato, eliminando così più sistemi di identità separati.
Durante l'inventario e la definizione dell'ambito, identificare i dispositivi e l'infrastruttura da integrare con Microsoft Entra ID. L'integrazione centralizza l'autenticazione e la gestione usando i criteri di accesso condizionale con l'autenticazione a più fattori applicata tramite Microsoft Entra ID.
È possibile usare gli account Automazione di Azure per identificare i dispositivi tramite la raccolta di inventario connessa a Monitoraggio di Azure. Microsoft Defender per endpoint dispone di funzionalità di inventario dei dispositivi. Individuare i dispositivi con Defender per endpoint configurati e quelli che non lo fanno. L'inventario dei dispositivi proviene da sistemi locali come System Center Configuration Manager o altri sistemi che gestiscono dispositivi e client.
Altre informazioni:
- Gestire la raccolta di inventario dalle macchine virtuali
- Panoramica di Microsoft Defender per endpoint
- Introduzione all'inventario hardware
I dispositivi integrati con Microsoft Entra ID sono dispositivi aggiunti all'ambiente ibrido o dispositivi aggiunti a Microsoft Entra. Separare l'onboarding dei dispositivi in base ai dispositivi client e utente e alle macchine virtuali fisiche e virtuali che operano come infrastruttura. Per altre informazioni sulla strategia di distribuzione per i dispositivi utente, vedere le indicazioni seguenti.
- Pianificare la distribuzione del dispositivo Microsoft Entra
- Dispositivi ibridi aggiunti a Microsoft Entra
- Dispositivi aggiunti a Microsoft Entra
- Accedere a una macchina virtuale Windows in Azure usando l'ID Microsoft Entra, inclusa la passwordless
- Accedere a una macchina virtuale Linux in Azure usando Microsoft Entra ID e OpenSSH
- Aggiunta a Microsoft Entra per Desktop virtuale Azure
- Identità del dispositivo e virtualizzazione desktop
Gli articoli seguenti fanno parte di questo set di documentazione:
- Soddisfare i requisiti di identità del memorandum 22-09 con Microsoft Entra ID
- Soddisfare i requisiti di autenticazione a più fattori del memorandum 22-09
- Soddisfare i requisiti di autorizzazione del memorandum 22-09
- Altri settori di Zero Trust affrontati nel memorandum 22-09
- Protezione dell'identità con Zero Trust