Noll förtroendekonfiguration för försvarsorganisationer med flera klientorganisationer
Den här artikeln visar organisationer med flera klientorganisationer hur du tillämpar konfigurationer i Microsoft Entra-ID och uppfyller vanliga krav på skydd utan förtroende. Följ dessa rekommendationer för att upprätta rätt identitetsarkitektur för flera klientorganisationer och implementera noll förtroende för din miljö.
Bild 1: Exempel på multitenant försvarsarkitektur med noll förtroendekonfigurationer.
Fastställa identitetsarkitektur
Microsoft Entra-klienter är grunden för din identitetsarkitektur. En klientorganisation är en identitetsgräns i Microsoft Entra-ID. En organisation med en Microsoft Entra-klientorganisation har en enda klientarkitektur. Organisationer som använder mer än en Microsoft Entra-klientorganisation har en arkitektur med flera klienter.
Fördelar med en enskild klientorganisation. En enda klientorganisation är enklare att hantera och sänka kostnaderna genom driftseffektivitet. Det gör att du enklare kan konfigurera en nollförtroendemiljö. En enda klientorganisation undviker att fragmentera användarupplevelsen med flera inloggningsuppgifter. Det hjälper också till att förhindra siloade lösningar som du behöver integrera senare. Du bör sträva efter att ha dina data, Microsoft 365- och Azure-molntjänster i en enda klientorganisation. Om du redan har flera Microsoft Entra-klienter bör du överväga att konsolidera din miljö för att använda en enda klientorganisation. Du kan konsolidera klientorganisationer genom att överföra Azure-prenumerationer från dina sekundära klienter till den primära klientorganisationen. Mer information finns i överföra en Azure-prenumeration till en annan Microsoft Entra-katalog.
Användningsfall för flera klientorganisationer. Det finns skäl för en försvarsorganisation att använda en arkitektur med flera klientorganisationer. Stora och komplexa försvarsorganisationer kan behöva flera Microsoft Entra-klienter för säkerhet, efterlevnad och samarbete (se tabell 1).
Tabell 1. Anledningar till att ha eller skapa flera klienter.
| Anledning | Exempel |
|---|---|
| Sekretess eller säkerhet kräver en djupare uppdelning av data | En generalinspektörsorganisation måste vara oberoende. |
| Delegering och segmentering av administration | En organisation har inte möjlighet att hantera en annan organisation. |
| Datasuveränitet och/eller ägarskap | En organisation har inte behörighet att hantera data i en annan organisation. |
| Nätverk och IT-organisation | Det är inte möjligt eller fördelaktigt att komprimera flera it-arkitekturer för stora företag i en enda företagsarkitektur. |
| SOC-övervakning och incidenthantering | SOC behöver en separat klient för att hantera sina roller och ansvarsområden. |
Om du behöver flera Microsoft Entra-klienter bör du använda Microsoft Entra External ID (B2B) och Azure Lighthouse. De här funktionerna hjälper dig att stödja miljöer med flera klientskydd. Mer information finns i Innehavarmodeller för en lösning med flera klientorganisationer.
Identifiera klienttyper
Organisationer för skydd mot flera klientorganisationer kan kategorisera Microsoft Entra-instanser som de använder som antingen primära eller sekundära. Varje organisation bör identifiera och utse en klientorganisation som primär klientorganisation. Alla andra klienter är sekundära. Bild 1 visar en försvarsorganisation med en primär klientorganisation och n sekundära klienter (två sekundära klienter visas).
Identifiera den primära klientorganisationen. De flesta försvarsorganisationer skapar den primära klientorganisationen när de registrerar sig för Microsoft 365. Den primära klientorganisationen innehåller (1) alla användaridentiteter och Microsoft 365-licenser, (2) enheter och (3) program (se bild 1). Försvarsorganisationer använder ofta Microsoft Entra Connect för att synkronisera identiteterna från Active Directory lokalt till den primära Microsoft Entra-klientorganisationen.
Vissa försvarsorganisationer använder Microsoft 365 i en delad klientorganisation som ägs och drivs av en extern byrå. Den här byrån fungerar som en delad tjänstleverantör för Microsoft 365. Din organisation kanske inte hanterar eller kontrollerar den delade klientorganisationen, men den innehåller de licensierade Microsoft Entra-identiteter som användarna troligen använder för Office 365 och andra program. I det här scenariot är klientorganisationen för den delade tjänstleverantören din primära klientorganisation.
Identifiera alla sekundära klienter (om det finns flera klienter). Alla andra klienter som organisationen hanterar är sekundära klienter. Du kan ha sekundära klienter om du migrerade program till molnet innan du ställde upp en Azure-landningszon i företagsskala. Du använder vanligtvis sekundära klienter för att hantera (4) Azure-arbetsbelastningar med externa användare (B2B-gäster) eller (5) endast molnkonton (se bild 1).
Använd beslutsträdet. Det enklaste sättet att hitta din primära klient är att överväga de identitetslicenser som du har i Microsoft Entra-ID.
Klientorganisationen med dina Microsoft 365-licenser är din primära klientorganisation (se bild 2). Den primära klientorganisationen kanske inte är den första klientorganisationen som skapats av din organisation, men den bör vara huvudklientorganisationen med alla dina användare och Microsoft 365-licenser.
Om din organisation inte använder Microsoft 365 är alla Licenser för Microsoft Entra med Enterprise Mobility and Security (EMS) din primära klientorganisation. I den här klientorganisationen har du lagt till och verifierat organisationens domännamn. Klientorganisationen använder ofta hybrididentitet eller integreras med ett personalsystem (HR) (se bild 2).
Figur 2. Ett beslutsträd för att fastställa microsoft Entras primära klientorganisation och sekundära klientorganisation.
För att upprätta Microsoft Entra-ID som en nollförtroendeplattform behöver du en klientorganisation som är fylld med dina användaridentiteter och licensierad för användar- och enhetsbaserade åtkomstprinciper. Microsoft 365-licensiering paketerar dessa noll förtroendefunktioner med Office 365. Om du inte använder Microsoft 365 kan du överväga Enterprise Mobility + Security E5 för att upprätta en molnbaserad identitetsprovider för noll förtroende. Mer information finns i Välja din identitetsutfärdare.
Konfigurera noll förtroende
När du hanterar identiteter i Microsoft Entra-ID bör du överväga följande rekommendationer för varje klienttyp. Det finns allmänna rekommendationer för alla klienttyper som du bör anta först. När du har implementerat dessa allmänna rekommendationer hittar du rekommendationerna för din specifika klienttyp (primär eller sekundär) och tillämpar sedan dessa rekommendationer.
Mer information om hur du skyddar Microsoft Entra-klienter utan förtroende finns i Nulta pouzdanost snabb moderniseringsplan och snabb moderniseringsplan för säkerhet.
Alla klienter
Du bör implementera följande rekommendationer i alla Microsoft Entra-klienter.
Upprätta konton och procedurer för nödåtkomst. Skapa två eller flera konton för nödåtkomst för att undvika att bli utelåst från din Microsoft Entra-klientorganisation. Du måste tilldela rollen Global administratör till dessa konton. Kontona ska vara molnbaserade konton. Endast molnkonton använder domänen *.onmicrosoft.com . Mer information finns i Hantera administratörskonton för nödåtkomst.
Viktigt!
Microsoft rekommenderar att du använder roller med minst behörighet. Detta bidrar till att förbättra säkerheten för din organisation. Global administratör är en mycket privilegierad roll som bör begränsas till nödsituationsscenarier när du inte kan använda en befintlig roll.
Skydda Microsoft Entra-ID från lokala attacker. Följ metodtipsen som beskrivs i Skydda privilegierad åtkomst. Tilldela endast Microsoft Entra-behörigheter till endast molnbaserade användarkonton med nätfiskeresistenta autentiseringsuppgifter som maskinvarunyckel eller certifikatbaserad autentisering. Använd inte federerade identiteter för administrativa ändamål. Mer information finns i Skydda Microsoft 365 från lokala attacker.
Använd Privileged Identity Management. Använd Microsoft Entra Privileged Identity Management (PIM) för att hantera rolltilldelningar för Microsoft Entra-ID och Azure-roller. Du bör också använda PIM för att hantera berättigat gruppmedlemskap för privilegierade säkerhetsgrupper. Upprätta regelbundna åtkomstgranskningar för berättigade administratörer och externa användare (B2B-gäster).
Aktivera molnbaserad autentisering för alla användare. Molnbaserade autentiseringsmetoder är säkrare än federerad autentisering. De erbjuder en bättre enkel inloggningsupplevelse när de kombineras med Microsoft Entra-anslutna enheter. Federerad autentisering exponerar Microsoft Entra-ID för lokalni Active Directory kompromisser.
Microsoft Entra-certifikatbaserad autentisering (CBA) gör det onödigt att federera Microsoft Entra-domäner. Microsoft Entra-autentisering stöder följande lösenordslösa autentiseringsmetoder:
- Nycklar (FIDO2-säkerhetsnycklar)
- Certifikatbaserad autentisering
- Microsoft-autentisering
- Windows Hello för företag
Upprätta principer för villkorsstyrd åtkomst för baslinje. Baslinjen för villkorsstyrd åtkomst varierar beroende på organisation och krav. Upprätta en grundläggande uppsättning principer för villkorlig åtkomst för alla Microsoft Entra-klienter. Använd identitets-, enhets-, program- och riskvillkor i din principuppsättning. Undanta konton för nödåtkomst från dina principer för villkorsstyrd åtkomst.
Microsoft Entra ID Protection hjälper organisationer att identifiera, undersöka och åtgärda identitetsbaserade risker. För att skydda riskfyllda inloggningar och användare skapar du principer för villkorlig åtkomst med riskvillkor. Använd separata principer för riskfyllda användare och riskfyllda inloggningar. Öka tillämpade kontroller med risknivå för varje risktyp. Undvik att använda blockkontrollen i riskbaserade principer för att balansera användarproduktiviteten med säkerhet.
Kommentar
Användare kan självreparera inloggningsrisker med MFA. Om du vill tillåta användare att självreparera inloggningsrisken konfigurerar du beviljandekontroll för MFA eller autentiseringsstyrka i en riskbaserad princip för inloggning med villkorsstyrd åtkomst.
Användare kan självreparera användarrisker genom att ändra sina lösenord. Om du vill tillåta användare att självreparera användarrisker konfigurerar du en användarriskbaserad princip för villkorsstyrd åtkomst med Kräv behörighet för lösenordsändring .
Varning
Lösenordslösa användare som bara loggar in med lösenordslösa metoder som Entra-certifikatbaserad autentisering, nyckel eller Windows Hello za posao kan blockeras av behörighetskontrollen Kräv lösenordsändring om de inte kan återställa sitt lösenord i Microsoft Entra-ID.
Utforma principer för villkorsstyrd åtkomst för din organisation med hjälp av checklistan Exempel på principer för villkorsstyrd åtkomst (se tabell 2). Använd rapportläge för att testa principer för villkorsstyrd åtkomst innan du distribuerar till produktion.
Tabell 2: Exempel på checklista för principer för villkorsstyrd åtkomst.
| Principnamn | Användare | Appar | Villkor | Bevilja kontroll |
|---|---|---|---|---|
| MFA för alla användare | Alla användare | Alla appar | Ingen | - Nätfiskeresistent MFA |
| Kräv hanterad enhet | Alla användare | Alla appar | Ingen | - Kräv microsoft entra-hybridanslutning eller kompatibel enhet |
| Skydda inloggningar med medelhög risk | Alla användare | Alla appar | Medelstor inloggningsrisk | - Nätfiskeresistent MFA - Kräv kompatibel enhet - Inloggningsfrekvens: 1 timme (justeras enligt organisationens risktolerans) |
| Skydda inloggningar med hög risk | Alla användare | Alla appar | Hög inloggningsrisk | - Nätfiskeresistent MFA - Kräv kompatibel enhet - Inloggningsfrekvens: Varje gång |
| Skydda högriskanvändare | Alla användare | Alla appar | Hög användarrisk | - Nätfiskeresistent MFA - Kräv kompatibel enhet - Inloggningsfrekvens: Varje gång |
| Säker Microsoft Entra-administration | Microsoft Entra-roller | Alla appar | Ingen | - Nätfiskeresistent MFA – Kräv kompatibel paw-arbetsstation (Privileged Access Workstation) med enhetsfilter |
| Säker molnhantering | Alla användare | Azure-hantering Google Cloud Platform Amazon Web Services |
Ingen | - Nätfiskeresistent MFA – Kräv kompatibel paw-arbetsstation (Privileged Access Workstation) med enhetsfilter |
Exempelprincipen som anges i tabell 2 är för lösenordslösa organisationer där alla användare endast använder nätfiskeresistent MFA från hanterade enheter. Privilegierade användare använder Intune-hanterade privilegierade åtkomstarbetsstationer (PAW). I stället för att kräva en lösenordsändring för högriskanvändare tillämpar den riskfyllda användarprincipen kontroller för autentiseringsstyrka och inloggningsfrekvens. Dessa kontroller erbjuder vissa skydd men åtgärdar inte användarens risknivå i Microsoft Entra ID Protection. Ditt säkerhetsteam bör undersöka och åtgärda högriskanvändare.
Mer information om distribution av villkorsstyrd åtkomst finns i Planera en distribution av villkorsstyrd åtkomst.
Använd primära klientidentiteter för åtkomst till alla program. Användare bör kunna komma åt program med hjälp av sin identitet i den primära klientorganisationen. Du måste registrera program i den primära klientorganisationen. Upprätta en princip för att registrera program med den primära klientorganisationen, oavsett programinfrastrukturens värdplats.
För äldre program som inte stöder moderna autentiseringsprotokoll använder du Microsoft Entra-programproxytjänsten i den primära klientorganisationen. Microsoft Entra-programproxy ger Microsoft Entra noll förtroendefunktioner till befintliga äldre program utan kodändringar.
När en delad tjänstleverantör eller en extern agentur styr din primära klientorganisation bör de delegera behörigheter för programregistrering. Om tjänstleverantören inte erbjuder den här delegeringen måste du registrera program med den sekundära klientorganisationen som din organisation styr i stället. Användarna bör dock fortfarande komma åt dessa program utan att skapa en ny identitet i den sekundära klientorganisationen. För den här konfigurationen tilldelar du användaråtkomst med hjälp av externa identiteter (B2B-gäster) för dina användare i den primära klientorganisationen. Mer information finns i Skydda program utan förtroende.
Använd Microsoft Entra-ID för att hantera andra molnmiljöer. Microsoft Entra-ID är inte bara en identitetsplattform för Azure och Microsoft 365. Använd Microsoft Entra-ID för att få åtkomst till andra molnmiljöer. Dessa miljöer omfattar populära SaaS-produkter (software-as-a-service) och molnplattformar som Amazon Web Services (AWS) och Google Cloud Platform (GCP). Mer information finns i Microsoft Entra-programgalleriet.
Använd en säker molnbaserad databehandlingsarkitektur (SCCA). Varje försvarsorganisation bör distribuera en SCCA-kompatibel landningszonarkitektur. Landningszonen ska finnas i Azure-prenumerationer som är kopplade till den primära klientorganisationen.
Segmentera Azure-resurshantering i en enda klientorganisation. Du bör använda Azure-roller för resurs- och hanteringsisolering för prenumerationer i en Azure-landningszon i företagsskala. Överväg att överföra prenumerationer från sekundära klienter till den primära klientorganisationen.
Använd Upravljanje dozvolama za Microsoft Entra. Upravljanje dozvolama za Microsoft Entra är Microsofts CIEM-lösning (Cloud Infrastructure Entitlement Management). Du bör använda Upravljanje dozvolama za Microsoft Entra för att få insyn i behörigheter som tilldelats till alla identiteter. Du bör också använda den för att spåra behörigheter som kryper över organisationens multimolnmiljö.
Använd Microsoft Entra ID-styrning. Använd Microsoft Entra ID Governance för att automatisera livscykeln för åtkomsttilldelning för användare och gäster. Utför åtkomstgranskningar för att ta bort åtkomsten till din molnmiljö för användare som inte längre behöver den.
Skydda arbetsbelastningsidentiteter. Använd Microsoft Entra-arbetsbelastnings-ID-funktioner för att hantera och tillämpa anpassningsbara nollförtroendeprinciper för programidentiteter (tjänstens huvudnamn) i Microsoft Entra-ID.
Aktivera Defender för molnet för ditt företag. Använd Defender för molnet för din miljö med flera moln. Kontrollera att du aktiverar de förbättrade säkerhetsfunktionerna för att övervaka Azure-resurser och åtgärda konfigurationsrisker. Defender for Cloud Protection sträcker sig utanför Azure för att hjälpa dig att skydda hybridmiljöer och miljöer med flera moln.
Distribuera Sentinel och anslut alla tillgängliga datakällor. Aggregera säkerhetssignaler i ett SIEM som Microsoft Sentinel. Distribuera Sentinel och anslut alla säkerhetssignaldatakällor genom att konfigurera dataanslutningar.
Primära klienter
Du bör implementera följande rekommendationer endast i den primära klientorganisationen.
Slutanvändarna har bara en identitet i Entra-ID. Synkronisera lokalni Active Directory Domain Services med den primära Microsoft Entra-klientorganisationen. Synkroniseringen fyller i Microsoft Entra-ID med användare, grupper och enheter för organisationen. Externa B2B-gäster kan finnas i sekundära klienter, men användarna behöver bara komma ihåg ett användarnamn för alla program och tjänster. Användarupplevelsen och noll förtroenderesultat är bäst när du använder identiteterna i den primära klientorganisationen för Windows-inloggning och programåtkomst.
Anslut och hantera enheter med den primära klientorganisationen. Den primära Microsoft Entra-klientorganisationen innehåller alla användare och enheter i organisationen. Microsoft Entra ansluter (eller Microsoft Entra-hybridanslutning) Windows-enheter till den primära klientorganisationen och hanterar med Microsoft Intune. Använd Intune-principen för att distribuera Microsoft Defender za krajnju tačku aktivera XDR-funktioner (extended detection and response).
Delegera behörigheter för programregistrering. Enterprise Apps, inklusive programkod som körs i en Azure-prenumeration, använder den primära Microsoft Entra ID-klientorganisationen för användaridentitet. Gör utvecklare berättigade till Microsoft Entra-rollen programutvecklare eller en anpassad appregistreringsroll med privileged Identity Management. Med den här konfigurationen kan utvecklare skapa program i sekundära klientorganisationer för att registrera dem med den primära klientorganisationen för identitet.
Bifoga PaaS-tjänster (platform-as-a-service) som behöver slutanvändaridentitet. Vissa PaaS-tjänster, till exempel Azure Files och Azure Virtual Desktop, är beroende av hybrididentitetskonfiguration eller licensrättigheter. Du måste distribuera dessa tjänster till Azure-prenumerationer i den primära klientorganisationen.
Sekundära klienter
Du bör implementera följande rekommendationer i den sekundära klientorganisationen.
Skaffa licenser som krävs för Microsoft Entra-hantering. Du behöver licenser för att aktivera avancerade säkerhetsfunktioner i sekundära klienter. Överväg de licenser du behöver för användare, arbetsbelastningar och enheter.
Användaridentiteter. Du måste ha Microsoft Entra ID Premium P2-licenser för klientadministratörer och konton för nödåtkomst. Om du använder en hanteringsmodell för extern identitet (B2B-gäst) måste du tilldela minst en Microsoft Entra ID Premium P2-licens till en lokal användare i klientorganisationen. Med den här konfigurationen kan du aktivera premiumfunktioner som villkorsstyrd åtkomst och identitetsskydd. Mer information finns i Vanliga överväganden för hantering av flera klienter.
Arbetsbelastningsidentiteter. Du bör använda arbetsbelastningsidentiteter premium för att skydda arbetsbelastningsidentiteter med åtkomst till resurser i den primära klientorganisationen, till exempel MS Graph API.
Enhetshantering. Du kan behöva hantera enheter med Microsoft Intune i den sekundära klientorganisationen. I så fall måste du skaffa EMS-licenser (Enterprise Mobility and Security).
Konfigurera åtkomstprinciper för flera klientorganisationer (XTAP). Med microsoft entra externt ID (Microsoft Entra B2B-samarbete) mellan klientorganisationer kan en sekundär klientorganisation lita på vissa anspråk från den primära hemklientorganisationen. Lägg till den primära Microsoft Entra-klientorganisationen som en organisation och uppdatera inställningarna för inkommande förtroende så att följande ingår:
- Lita på multifaktorautentisering (MFA) från Microsoft Entra-klienter
- Betrodda enheter
- Lita på Microsoft Entra Hybrid-anslutna enheter
- Valfritt: Lös in inbjudningar automatiskt med klientorganisationen
Hantera den sekundära klientorganisationen med identiteter från den primära klientorganisationen. Minska administrativa kostnader och kostnader genom att använda externa användare (B2B-gäster) från den primära klientorganisationen för att hantera den sekundära klientorganisationen och Azure-resurser. Tilldela Microsoft Entra-roller efter Microsoft Entra-rollen med minst behörighet efter uppgift med hjälp av Microsoft Entra Privileged Identity Management. Använd slutanvändarinitierad åtkomst eller synkronisering mellan klientorganisationer för att minska hanteringskostnaderna för registrering av externa identiteter i den sekundära klientorganisationen.
Använd Azure Lighthouse för att underlätta Sentinel-åtkomst från den primära klientorganisationen. Azure Lighthouse ger dig ett annat sätt att hantera Azure mellan klienter. Azure Lighthouse använder ARM-mallar (Azure Resource Manager) för att tilldela Azure-roller till identiteter i en extern klientorganisation. Den här metoden använder inte B2B-gästanvändarobjekt. När en administratör loggar in på portalen för att hantera Azure ser de alla resurser i alla klienter. Den här konsoliderade vyn innehåller prenumerationer med behörigheter som tilldelats av Azure Lighthouse. Eftersom det inte finns något B2B-gästobjekt behöver administratören inte byta katalog. Använd Azure Lighthouse för att underlätta hanteringen av Microsoft Sentinel mellan klienter.