備忘錄 22-09 全企業身分識別管理系統
M 22-09 聯邦機構備忘錄構 (英文) 要求機構為其身分識別平台制定新設合併計劃。 目標是在發佈日期 (2022 年 3 月 28 日) 的 60 天內盡可能少機關受控識別系統的使用。 整合身分識別平台具有多項優勢:
- 集中管理身分識別生命週期、原則強制執行,以及可稽核的控制項
- 統一強制執行的功能與同位檢查
- 減少在多個系統中訓練資源的需求
- 可讓使用者只要登入一次,即可存取 IT 環境中的應用程式和服務
- 盡可能與多個機構應用程式進行整合
- 使用共用驗證服務與信任關係,以加速機構之間的整合
為什麼選擇 Microsoft Entra ID?
使用 Microsoft Entra ID 實作備忘錄 22-09 的建議。 Microsoft Entra ID 具有支援零信任計劃的身分識別控制項。 對於 Microsoft Office 365 或 Azure,Microsoft Entra ID 為識別提供者 (IdP)。 將應用程式和資源連線到 Microsoft Entra ID 作為整個企業的身分識別系統。
單一登入需求
備忘錄要求使用者登入一次,即可存取應用程式。 透過 Microsoft 單一登入 (SSO),使用者只需登入一次,即可存取雲端服務和應用程式。 請參閱 Microsoft Entra 無縫單一登入。
機構中的整合
使用 Microsoft Entra B2B 共同作業來滿足跨機構促進整合和共同作業的需求。 使用者可以位於相同雲端中的 Microsoft 租用戶內。 租用戶可以位於另一個 Microsoft 雲端,或位於非 Azure AD 租用戶中(SAML/WS-同盟識別提供者)。
透過 Microsoft Entra 跨租用戶存取設定,機構會管理他們與其他Microsoft Entra 組織和其他 Microsoft Azure 雲端共同作業的方式:
- 限制 Microsoft 租用戶使用者能夠存取的內容
- 外部使用者存取的設定,包括多重要素驗證強制和裝置訊號
深入了解:
連接應用程式
若要合併並使用 Microsoft Entra ID 作為整個企業的身分識別系統,請檢閱範圍中的資產。
文件應用程式和服務
建立應用程式和服務使用者存取權的詳細目錄。 身分識別管理系統可保護其所知道的一切。
資產分類:
- 其中資料的敏感度
- 主要系統中資料及/或資訊之機密性、完整性或可用性的法令規定
- 載明適用於系統資訊保護要求的法令規定
針對您的應用程式詳細目錄,判斷使用雲端就緒通訊協定或舊版驗證通訊協定的應用程式:
- 雲端就緒應用程式支援新式驗證通訊協定:
- SAML
- Web 服務同盟/信任
- OpenID Connect (OIDC)
- OAuth 2.0。
- 舊版驗證應用程式依賴舊版或專屬的驗證方法:
- Kerberos/NTLM (Windows 驗證)
- 標頭型驗證
- LDAP
- 基本驗證
深入了解 Microsoft Entra 與驗證通訊協定整合。
應用程式和服務探索工具
Microsoft 提供下列工具來支援應用程式和服務探索。
| 工具 | 使用方式 |
|---|---|
| Active Directory 同盟服務 (AD FS) 的使用情況分析 | 分析同盟伺服器驗證流量。 請參閱使用 Microsoft Entra Connect 監視 AD FS |
| Microsoft Defender for Cloud Apps | 掃描防火牆記錄檔,以偵雲端應用程式、基礎結構即服務 (IaaS) 服務,以及平台即服務 (PaaS) 服務。 將適用於雲端應用程式的 Defender 與適用於端點的 Defender 進行整合,以探索從 Windows 用戶端裝置分析的資料。 請參閱 Microsoft Defender for Cloud Apps 概觀 (部分機器翻譯) |
| 應用程式探索工作表 | 記錄您應用程式的目前狀態。 請參閱應用程式探索工作表 (部分機器翻譯) |
您的應用程式可能位於 Microsoft 以外的系統中,且 Microsoft 工具可能無法探索這些應用程式。 確認有完整的詳細目錄。 提供者需要機制來探索使用其服務的應用程式。
排定應用程式的連線優先順序
在探索環境中的應用程式後,請為其排列移轉優先順序。 考量:
- 業務關鍵性
- 使用者設定檔
- 使用方式
- 存留期
深入了解:將應用程式驗證移轉至 Microsoft Entra ID。
請依照優先順序連接您的雲端就緒應用程式。 判斷使用舊版驗證通訊協議的應用程式。
針對使用舊版驗證通訊協定的應用程式:
- 針對具有新式驗證的應用程式,請重新加以設定以使用 Microsoft Entra ID
- 如果應用程式沒有新式驗證,您有以下兩個選擇:
- 藉由整合 Microsoft 驗證程式庫 (MSAL) 將應用程式程式碼更新,進而使用新式通訊協定
- 使用 Microsoft Entra 應用程式 Proxy 或安全的混合式合作夥伴存取,以提供安全的存取
- 針對不需再要具備存取權或已不支援的的應用程式解除委任
深入了解
- Microsoft Entra 與驗證通訊協定整合
- 什麼是 Microsoft 身分識別平台? (部分機器翻譯)
- 保護混合式存取,使用 Microsoft Entra ID 保護舊版應用程式 (部分機器翻譯)
連接裝置
集中管理身分識別管理系統包含可讓使用者登入實體和虛擬裝置。 您可以在集中式 Microsoft Entra 系統中連線 Windows 和 Linux 裝置,從而消除多個獨立的身分識別系統。
在詳細目錄和範圍期間,識別要與 Microsoft Entra ID 整合的裝置和基礎結構。 整合透過使用條件式存取原則以及透過 Microsoft Entra ID 執行的多重要素驗證集中您的驗證和管理。
探索裝置的工具
您可以使用 Azure 自動化帳戶,透過連接至 Azure 監視器的詳細目錄集合來識別裝置。 適用於端點的 Defender Microsoft 具有裝置詳細目錄查功能。 探索已設定或未設定適用於端點的 Defender 的裝置。 裝置詳細目錄來自內部部署系統,例如 System Center Configuration Manager 或其他管理裝置和用戶端的系統。
深入了解:
- 從虛擬機器管理詳細目錄集合 (部分機器翻譯)
- 適用於端點的 Microsoft Defender 概觀 (部分機器翻譯)
- 硬體詳細目錄簡介
將裝置與 Microsoft Entra ID 進行整合。
與 Microsoft Entra ID 整合的裝置是混合式聯結裝置或已使用 Microsoft Entra 而聯結的裝置。 依用戶端和使用者裝置,以及作為基礎結構的實體和虛擬機器來分隔裝置上線。 如需使用者裝置部署策略的詳細資訊,請參閱下列指引。
- 規劃您的 Microsoft Entra 裝置部署
- 已加入混合式 Microsoft Entra 的裝置
- 已加入 Microsoft Entra 的裝置
- 使用 Microsoft Entra ID 登入 Azure 中的 Windows 虛擬機器,包括無密碼
- 使用 Microsoft Entra ID 和 OpenSSH 登入 Azure 中的 Linux 虛擬機器
- 適用於 Azure 虛擬桌面的 Microsoft Entra 聯結 (部分機器翻譯)
- 裝置身分識別與桌面虛擬化
下一步
下列文章屬於本文件集合:
- 使用 Microsoft Entra ID 符合備忘錄 22-09 的身分識別需求 (部分機器翻譯)
- 符合 22-09 的多重要素驗證需求
- 符合備忘錄 22-09 的授權需求
- 備忘錄 22-09 中所述的其他零信任領域
- 使用零信任保護身分識別