Czym jest Azure Active Directory

Integracja zarządzania tożsamością

Wydajna i bezpieczna praca zdalna

Potrzeba zapewnienia warunków do wydajnej i bezpiecznej pracy zdalnej dla współpracowników oraz uzyskania łatwej komunikacji w zespołach projektowych staje się jednym z głównych powodów poszukiwania i sięgania po nowe rozwiązania chmurowe przez działy IT w organizacjach.

Dostęp do narzędzi i zasobów, których potrzebują pracownicy w firmie musi być bezproblemowy niezależnie od miejsca przebywania użytkownika lub urządzenia wykorzystywanego w danej chwili do pracy. W związku z takimi uwarunkowaniami środowiska pracy, należy zwrócić szczególną uwagę na bezpieczeństwo i ochronę danych wykorzystywanych przez różne aplikacje.

Nowe podejście do IAM

Nowoczesne podejście do zarządzania tożsamością i dostępem w IT (IAM, identity and access management) pozwala na stworzenie właściwych warunków dla środowiska pracy zdalnej.

Sednem w takim podejściu jest uzyskanie jednej, zunifikowanej tożsamości dla organizacji w celu zapewnienia centralizacji autoryzacji dla wielu aplikacji i usług wykorzystywanych w firmie.

Wdrożenie Azure Active Directory pozwala na zwiększenie bezpieczeństwa i zgodności w organizacji, jednocześnie umożliwiając użytkownikom uzyskiwanie wysokich parametrów efektywności w pracy, również zespołowej. Azure AD integruje zadania związane z zarządzaniem tożsamościami dla działu IT, wprowadzając liczne ułatwienia oraz efektywne mechanizmy bezpieczeństwa.

Co to jest Azure AD?

Usługa katalogowa w chmurze Microsoft

Azure AD to, najkrócej mówiąc, chmurowa usługa katalogowa Microsoft służąca do zarządzania tożsamościami oraz relacjami między użytkownikami a danymi, sieciami i urządzeniami.

Azure AD zawiera główne funkcjonalności usługi katalogowej oraz zaawansowaną ochronę tożsamości wraz z możliwością zarządzania dostępem do aplikacji. Jedną z ważnych korzyści związanych z Azure AD jest SSO (single sign-on), czyli dostęp za pomocą jednego zestawu poświadczeń do aplikacji hostowanych w infrastrukturze lokalnej (on-premise), jak również w chmurze. Co ważne, bezpieczne metody autoryzacji dostępne w chmurze Microsoft można integrować z różnymi usługami i aplikacjami.

Pełne spektrum możliwości IAM

Rozwiązanie Azure AD zapewnia duże spektrum możliwości IAM, między innymi: dostęp warunkowy (Conditional Access) z autoryzacją wieloskładnikową (MFA, multi factor authentication) oraz logowaniem bez używania hasła (passwordless login), single sign-on, SSPR (self service password reset), kontrolę dostępu opartą na funkcji użytkownika (role-based access control), zaawansowane monitorowanie oraz alarmowanie w zakresie bezpieczeństwa.

Azure AD jest idealną usługą do połączenia kont użytkowników w ramach jednej, spójnej i wysoce zabezpieczonej tożsamości. Dzięki chmurze Microsoft, Azure AD jest rozwiązaniem charakteryzującym się dostępnością oraz pełną skalowalnością.

Autoryzacja użytkowników aplikacji

Azure AD wykorzystuje technologię znaną i stosowaną w lokalnej infrastrukturze serwerowej przez działy IT w firmach na całym świecie – rozwiązanie Active Directory. Jedną z istotnych zalet Azure AD jest bezproblemowa synchronizacja z serwerami tożsamości w infrastrukturze lokalnej.

Chmurowe rozwiązanie Microsoft pozwala na wykorzystanie spójnej, ujednoliconej tożsamości organizacji do autoryzacji użytkowników aplikacji mobilnych, webowych, onpremisowych oraz SaaS (software-as-a-service). Proces monitoringu oraz kontroli dostępu do aplikacji jest ułatwiony właśnie dzięki przeprowadzaniu autoryzacji przez jeden system.

Wdrożenie SSO

Oszczędność czasu i zwiększenie produktywności

Użytkownicy w firmie korzystają z wielu różnych aplikacji w ciągu dnia. Zapamiętywanie haseł oraz powtarzanie czynności logowania się wiele razy w krótkim czasie spowalnia pracę i powoduje zmniejszenie komfortu.

Funkcjonalność SSO (single sign-on) dostępna w Azure AD pozwala na korzystanie z poświadczeń użytkowników zdefiniowanych w lokalnym Active Directory (on-premises AD) w trakcie korzystania z chmury. Użytkownik może więc korzystać z jednego loginu i hasła w trakcie korzystania z usług, zasobów, aplikacji webowych lub SaaS, które są obsługiwane przez domenę.

Dzięki temu, użytkownicy w firmie nie muszą być obciążani koniecznością zapamiętywania i zarządzania różnymi zestawami loginów i haseł. Przy tym, organizacja może skutecznie wdrożyć dostęp definiowany rolą użytkownika w firmie.

Dostęp do zasobów warunkowany rolą użytkownika

Azure AD pozwala na dynamiczne zarządzanie użytkownikami, pozwalając na udostępnianie pracownikom zasobów i aplikacji, które definiowane są przez pozycję w strukturze oraz roli. Zdefiniowane polityki pozwalają na oszczędność czasu w sytuacji, gdy pracownicy dołączają do organizacji, przenoszą się między działami lub opuszczają firmę.

Wbudowane mechanizmy monitoringu aktywności użytkowników oraz raportowania pozwalają identyfikować oraz minimalizować nieautoryzowany dostęp do zasobów. Azure AD posiada wbudowaną integrację z większością aplikacji SaaS, co znacznie ułatwia udostępnianie kolejnych aplikacji dla użytkowników w ramach SSO.

Komfort dla użytkowników

Passwordless login dla bezpieczeństwa i wygody

Zapisywanie i pilnowanie haseł jest nie lada utrapieniem dla większości użytkowników, którzy dla ułatwienia potrafią zapisywać loginy i hasła na karteczkach, w notatniku lub przy wykorzystaniu innych form notowania, które nie są zaszyfrowane. Niestety takie postępowanie generuje potencjalne problemy w zakresie bezpieczeństwa IT.

Azure AD zapewnia możliwości logowania dla użytkowników bez użycia hasła w celu zwiększenia komfortu autoryzacji, a jednocześnie podniesienia bezpieczeństwa dla organizacji. Korzystanie z apki Microsoft Authenticator pozwala na potwierdzenie logowania za pomocą akceptacji powiadomienia push na urządzeniu mobilnym użytkownika w firmie.

Na włączonych do domeny firmowej urządzeniach posiadających system operacyjny Windows 10 (dodanych jako zaufane urządzenia do Azure AD przez administratora IT), Windows Hello może odblokować zarówno urządzenie, jak i aplikacje po rozpoznaniu kodu PIN, użyciu smart card, albo przekazaniu danych biometrycznych (odcisk palca lub widok twarzy). Jeśli użytkownik nie jest w stanie uzyskać dostępu do stacji roboczej lub służbowego urządzenia typu smartfon, wówczas można użyć klucza bezpieczeństwa FIDO2 w celu zalogowania się na konto Azure AD.

Dodanie oznaczeń firmowych

Na stronie logowania do Azure AD można umieścić logotyp lub inne znaki firmowe, które będą widoczne dla pracowników podczas logowania się do aplikacji wykorzystujących Azure AD jako usługę weryfikującą tożsamości użytkowników. Dodawanie firmowych oznaczeń można skonfigurować w Azure AD admin center.

AD self-service password reset

Resetowanie haseł dla użytkowników potrafi zabrać sporo czasu z ograniczonych zasobów działu IT. Dzięki funkcjonalności SSPR (self-service password reset) specjaliści IT w firmie mogą skupić się na priorytetach oraz krytycznych zadaniach dla bezpieczeństwa informatycznego w firmie.

SSPR nadaje użytkownikom możliwość zmiany hasła lub odblokowania konta bez korzystania z pomocy pracowników help desk IT. Kiedy użytkownik tworzy lub zarządza metodami autoryzacji (np. apka mobilna, e-mail lub pytania bezpieczeństwa) możliwe jest udostępnienie SSPR, co powoduje, że analogiczne informacje bezpieczeństwa będą musiały być wprowadzone dla MFA.

Chmura oraz aplikacje w lokalnej infrastrukturze

Integracja usług lokalnych z chmurowymi

Jeśli firma korzysta z Active Directory w lokalnej infrastrukturze serwerowej, jest możliwość by korzystać z Azure AD za pomocą synchronizacji dzięki Azure AD Connect.

Zapewniając pojedynczą, wspólną tożsamość w zakresie korzystania z chmury oraz zasobów lokalnych, uzyskujemy poprawę w zakresie doświadczeń użytkownika, wzrost wydajności oraz dostęp do innych, zaawansowanych mechanizmów bezpieczeństwa.

Złożone scenariusze wdrożeń

Scenariusze uwzględniające wiele lokalnych domen Active Directory są możliwe, w zakresie pojedynczych lasów AD lub wielu odizolowanych lasów AD utworzonych ze względu na złożoną strukturę organizacyjną przedsiębiorstwa lub połączenia i przejęcia spółek. Azure AD może pracować z AD FS (Active Directory Federation Services) w celu umożliwienia realizacji złożonych scenariuszy wdrożeń (np. domain-joined SSO).

Azure AD Connect Health

Azure AD Connect zawiera również Azure AD Connect Health, co pozwala na monitorowanie oraz uzyskiwanie raportów dotyczących stanu środowiska hybrydowego. Wszystko to w celu zwiększenia pewności, że użytkownicy mogą w każdej chwili uzyskać dostęp do potrzebnych zasobów.

Bezpieczny dostęp do usług on-premise

W niektórych organizacjach, w celu zwiększenia produktywności, w trakcie pracy zdalnej dopuszczone jest wykorzystywanie przez pracowników własnych urządzeń do łączenia się z zasobami i usługami lokalnymi. Niektóre ze znanych metod zdalnego dostępu (np. VPN lub strefy DMZ) mogą wymagać więcej atencji w zakresie zabezpieczenia i utrzymania.

W przypadku Azure AD Application Proxy wymagana jest jedynie instalacja lekkiego agenta w celu udostępnienia SSO oraz bezpiecznego dostępu zdalnego dla on-premisowych aplikacji webowych (SharePoint, OWA on Exchange Server i inne). Warto też zwrócić uwagę na możliwość łączenia skalowalności i bezpieczeństwa Azure AD z platformami już istniejącymi w infrastrukturze organizacji, takimi jak: F5, Oracle, SAP, Zscaler.

Efektywna współpraca b2b

Współpracownicy w firmie to nie jedyni użytkownicy, którzy potrzebują bezpiecznego dostępu do aplikacji. Często organizacje potrzebują udostępnić zasoby dla partnerów biznesowych, kontrahentów, filii lub innych zewnętrznych podmiotów.

Korzystając z Azure AD B2B Collaboration jest możliwe przyznawanie dostępu gościa do wybranych aplikacji, zabezpieczonego politykami autoryzacji zarządzanymi w Azure AD. Użytkownicy z zewnątrz mogą korzystać z własnych mechanizmów zapewnienia tożsamości do autoryzacji i mieć dostęp do wybranych aplikacji i zasobów w sieci firmy.

Zapewniając pojedynczą i wspólną tożsamość dla użytkowników zewnętrznych w zakresie dostępu do zasobów w chmurze oraz w lokalnej infrastrukturze, uzyskujemy poprawę wydajności i wzrost komfortu pracy użytkownika, a jednocześnie zachowujemy bezpieczeństwo tożsamości.

Efektywne zarządzanie tożsamościami

Dostęp warunkowy dla zwiększenia bezpieczeństwa

Ze względu na liczne zagrożenia obecne w sieci, hasła nie są wystarczającym zabezpieczeniem dla wrażliwych informacji. Jednocześnie trzeba też mieć na uwadze stosowanie takich rozwiązań, które nie będą negatywnie wpływały na produktywność pracy użytkowników.

Azure AD Conditional Access upraszcza autoryzację wieloskładnikową w taki sposób, że jest wymagana, gdy pojawiają się warunki podwyższonego ryzyka. Dostęp warunkowy zapewnia analizę ryzyka uwzględniającą kryteria dotyczące użytkownika, urządzenia oraz lokalizacji w celu określenia, czy w danym przypadku zostanie użyty mechanizm MFA, reset hasła lub ograniczenie dostępnych funkcjonalności aplikacji.

Microsoft Authenticator

Azure MFA pozwala dodać kryteria bezpieczeństwa związane z urządzeniem lub parametrami biometrycznymi użytkownika w celu zapewnienia szybkiego i gładkiego procesu logowania. Funkcjonalność MFA z wykorzystaniem apki Microsoft Authenticator jest dostępna bez dodatkowych opłat.

Azure AD Identity Protection

W przypadku ataku polegającego na kradzieży tożsamości jednego z użytkowników, dochodzi do narażenia organizacji na potencjalne duże niebezpieczeństwo. Zdarza się, że nawet użytkownicy posiadający ograniczone uprawnienia mają dostęp do wybranych istotnych dla firmy danych lub systemów.

Azure AD Identity Protection pozwala wykrywać podatności w zakresie tożsamości użytkowników, analizować oraz ograniczać podejrzany dostęp, konfigurować automatyczne odpowiedzi na potencjalne naruszenia w zakresie bezpieczeństwa tożsamości.

Dzięki Azure AD Identity Protection możliwa jest ochrona wszystkich tożsamości niezależnie od poziomu przyznanych uprawnień oraz proaktywne zapobieganie wykorzystywania zaatakowanych tożsamości.

Rozwiązanie korzysta z adaptacyjnych algorytmów uczenia maszynowego oraz metod heurystycznych do wykrywania anomalii oraz podejrzanych zachowań, które mogą wskazywać na naruszenie bezpieczeństwa tożsamości. Korzystając z tak generowanych informacji, Azure AD Identity Protection zapewnia raporty oraz alerty, które umożliwiają ocenę wykrytych przypadków oraz podjęcie odpowiednich kroków zaradczych.

Można również skonfigurować automatyczną odpowiedź na potencjalne naruszenie bezpieczeństwa tożsamości, włączając blokowanie dostępu, reset hasła lub wymuszenie użycia MFA.

Azure AD Identity Governance

Azure AD Identity Governance zarządza tożsamościami oraz cyklem życia dostępów w celu zapewnienia dostępu tylko właściwym użytkownikom do właściwych zasobów. Funkcjonalność pozwala szybko tworzyć konta dla nowych pracowników oraz aktualizować poziom dostępu w zależności od zmiany roli w organizacji.

Administrator może wybrać użytkowników organizacji oraz zewnętrznych, którzy mogą wnioskować o dostęp do zasobów, jak również łączyć określone dostępy w pakiety dla usprawnienia zarządzania.

Azure AD pozwala na regularny przegląd i ocenę statusu dostępów oraz dynamiczną automatyzację dostępu i przynależności do grupy w oparciu o atrybuty tożsamości. Azure AD Privileged Identity Management pomaga zmniejszać ryzyko nadmiernego lub niepotrzebnego zwiększania uprawnień dostępu.