Что такое Microsoft Entra?

Microsoft Entra — это семейство продуктов для идентификации и доступа к сети. Он позволяет организациям реализовать стратегию безопасности нулевого доверия и создать структуру доверия, которая проверяет удостоверения, проверяет условия доступа, проверяет разрешения, шифрует каналы подключения и отслеживает компромисс.

Семейство продуктов Microsoft Entra

Семейство продуктов Microsoft Entra охватывает четыре этапа зрелости безопасного сквозного доступа для любого надежного удостоверения. Эти этапы включают создание элементов управления доступом "Нулевое доверие" и обеспечение безопасности доступа для сотрудников, клиентов, партнеров и любой облачной среды.

Схема продуктов Microsoft Entra на четырех этапах зрелости.

Установка элементов управления доступом "Нулевое доверие"

Microsoft Entra ID

Идентификатор Microsoft Entra является основным продуктом Microsoft Entra. Он предоставляет необходимые удостоверения, проверку подлинности, политику и защиту для защиты сотрудников, устройств и корпоративных приложений и ресурсов.

Доменные службы Microsoft Entra

Доменные службы Microsoft Entra предоставляют управляемые доменные службы, такие как групповая политика, упрощенный протокол доступа к каталогам (LDAP) и проверка подлинности Kerberos/NTLM. Он позволяет организациям запускать устаревшие приложения в облаке, которые не могут использовать современные методы проверки подлинности.

Например, организации со службами, которым требуется доступ к проверке подлинности Kerberos, могут создать управляемый домен, в котором основные компоненты службы развертываются и поддерживаются корпорацией Майкрософт в качестве управляемого домена.

Безопасный доступ для сотрудников

Частный доступ Microsoft Entra

Частный доступ Microsoft Entra обеспечивает безопасный доступ ко всем частным приложениям и ресурсам, включая корпоративные сети и многооблачные среды. Это позволяет удаленным пользователям подключаться к внутренним ресурсам из любого устройства и сети без виртуальной частной сети (VPN).

Например, сотрудник может безопасно получить доступ к корпоративному сетевому принтеру во время работы из дома или даже кафе.

Интернет-доступ Microsoft Entra

Интернет-доступ Microsoft Entra обеспечивает доступ ко всем интернет-ресурсам, включая приложения SaaS, а также приложения и ресурсы Microsoft 365. Он позволяет организациям постоянно отслеживать и настраивать доступ пользователей в режиме реального времени, если изменяются разрешения или уровни риска.

Например, организации могут включить фильтрацию веб-контента для регулирования доступа к веб-сайтам на основе категорий контента и доменных имен.

Управление идентификацией Microsoft Entra

Управление идентификацией Microsoft Entra упрощает управление удостоверениями и разрешениями путем автоматизации запросов доступа, назначений и проверок. Кроме того, он помогает защитить критически важные ресурсы с помощью управления жизненным циклом удостоверений.

Например, администраторы могут автоматически назначать учетные записи пользователей и лицензии Microsoft 365 новым сотрудникам и удалять эти назначения от сотрудников, которые больше не входят в компанию.

Защита идентификации Microsoft Entra

Защита идентификации Microsoft Entra обнаруживает и сообщает о рисках на основе удостоверений. Это позволяет администраторам исследовать и автоматически устранять риски с помощью таких средств, как условный доступ.

Например, организации могут создавать политики условного доступа на основе рисков, требующие многофакторной проверки подлинности, когда уровень риска входа сообщается как средний или высокий.

Проверенные учетные данные Microsoft Entra

Помимо удостоверений, используемых для проверки подлинности, существуют децентрализованные удостоверения (DID), используемые для проверки информации.

Проверенные учетные данные Microsoft Entra — это служба проверки учетных данных на основе открытых стандартов DID. Это позволяет организациям выдавать проверяемые учетные данные (цифровая подпись, которая подтверждает допустимость информации) пользователю, который хранит учетные данные на своем личном устройстве. После получения проверяемых учетных данных пользователь может представить его компании или организации, которая хочет проверить что-то о своем удостоверении.

Например, недавний выпускник колледжа может попросить университет выпустить цифровую копию своего диплома в их DID. Затем они могут выбрать представить диплом потенциальному работодателю, который может независимо проверить издателя диплома, время выдачи и его статус.

Безопасный доступ для клиентов и партнеров

Внешний идентификатор Microsoft Entra

Внешняя идентификация Microsoft Entra позволяет внешним удостоверениям безопасно получать доступ к бизнес-ресурсам и потребительским приложениям. Он предлагает безопасные методы для совместной работы с бизнес-партнерами и гостями на внутренних приложениях и ресурсах, а также управления удостоверениями клиентов и доступом (CIAM) для приложений, стоящих перед потребителем.

Например, организации могут настроить самостоятельную регистрацию для пользователей для входа в веб-приложение с помощью таких методов, как одноразовые секретные коды или учетные записи социальных сетей из Google или Facebook.

Безопасный доступ в любом облаке

Управление разрешениями Microsoft Entra

Управление разрешениями Microsoft Entra обеспечивает исчерпывающую видимость разрешений, назначенных всем удостоверениям, управляемым идентификатором Microsoft Entra и другими поставщиками удостоверений. Она позволяет организациям обнаруживать автоматически правильный размер и постоянно отслеживать неиспользуемые и чрезмерные разрешения в Microsoft Azure, Amazon Web Services (AWS) и Google Cloud Platform (GCP).

Например, администраторы могут видеть пользователей, имеющих разрешения с высоким риском, но не использующие их, и автоматически удалять эти неиспользуемые разрешения в системах авторизации.

Идентификация рабочей нагрузки Microsoft Entra

Помимо удостоверений человека и устройств, удостоверений рабочей нагрузки, таких как приложения, службы и контейнеры, требуются политики проверки подлинности и авторизации.

Идентификация рабочей нагрузки Microsoft Entra — это решение управления удостоверениями и доступом для удостоверений рабочей нагрузки. Она позволяет организациям защитить доступ к ресурсам с помощью адаптивных политик и настраиваемых атрибутов безопасности для приложений.

Например, GitHub Actions требуется удостоверение рабочей нагрузки для доступа к подпискам Azure для автоматизации, настройки и выполнения рабочих процессов разработки программного обеспечения.

Подготовка к работе с Microsoft Entra

Перед развертыванием Microsoft Entra организации должны настроить свою инфраструктуру и процессы в соответствии с рекомендациями и стандартами безопасности. В следующих статьях приведены рекомендации по архитектуре, развертыванию и эксплуатации для успешной интеграции Microsoft Entra.

Работа с Microsoft Entra

После развертывания Microsoft Entra администраторы могут использовать центр администрирования Microsoft Entra и API Microsoft Graph для управления ресурсами доступа к удостоверениям и сети, а разработчики могут использовать платформа удостоверений Майкрософт для создания приложений идентификации и доступа.

Центр администрирования Microsoft Entra

Центр администрирования Microsoft Entra — это веб-портал для администраторов для настройки продуктов Microsoft Entra и управления ими с помощью единого пользовательского интерфейса.

Дополнительные сведения см. в разделе "Обзор Центра администрирования Microsoft Entra".

API Microsoft Graph

Помимо Центра администрирования Microsoft Entra API Microsoft Graph можно использовать для автоматизации административных задач, включая развертывания лицензий и управление жизненным циклом пользователей.

Дополнительные сведения см. в статье "Управление записью Майкрософт" с помощью Microsoft Graph.

Платформа удостоверений Майкрософт

Платформа удостоверений Майкрософт позволяет разработчикам создавать возможности проверки подлинности для веб-, настольных и мобильных приложений с помощью библиотек с открытым кодом и стандартных служб проверки подлинности.

Чтобы начать разработку, см. статью "Начало работы".

Следующие шаги