Hopp til hovedinnhold

Microsoft Entra Sikker tilgang for en tilkoblet verden

Logo letter
Evelon AS
Jon-Alfred Smith
Connected world

Verden hadde vært et bedre sted å være om vi kunne hatt tiltro til hver eneste digitale opplevelse og interaksjon. Dette er visjonen Microsoft styrer mot. Selskapets bidrag er Microsoft Entra, en familie av produkter som sørger for å gi tryggere tilgang i vår hypertilkoblede tilværelse. Entra omfatter alle Microsofts muligheter for identitets- og tilgangsstyring. Hensikten er å beskytte tilgangen til enhver app og ressurs for alle brukere. Entra sikrer og verifiserer identiteter på tvers av hybride miljøer med flere skyer og oppdager og styrer tillatelser. Intelligente tilgangsbeslutninger i sanntid gir forbedrede brukeropplevelser. Microsofts mål er å bygge og gjenskape tillit mellom mennesker, mikrotjenester og ting med desentraliserte identiteter og tilgangsprodukter – basert på åpne standarder i samarbeid med partnere, tredjeparter og skyleverandører.

Microsoft Entra i fugleperspektiv

Oversikt over Microsoft entra

Produktfamilien ble annonsert sent på våren 2022 og fikk nye tilskudd på Ignite i høst. Portalen i seg selv bærer preg av ikke å være helt ferdig ennå. Til gjengjeld er funksjonene for Azure AD allerede bedre organisert enn i det gamle admin-sentret. Det er ingen peker til Entra-portalen i Microsoft 365. Du må bruke nettadressen: https://entra.microsoft.com/ (https://entra.microsoft.com/). Entra-familien omfatter:

  • Azure Active Directory beskytter virksomheten med identitets- og tilgangsadministrasjon som kobler personer til enheter, apper og data.
  • Entra tillatelsesstyring eren CIEM-løsning (Cloud Infrastructure Entitlement Management) som oppdager, utbedrer og overvåker tillatelsesrisikoer på tvers av flerskymiljøer.
  • Entra bekreftet ID lar deg opprette, utstede og bekrefte desentralisert identitetslegitimasjon som omhyggelig tar hensyn personvern. Bruk én løsning for identitetsbekreftelse som sikrer alle samhandlinger med hvem eller hva som helst.
  • Entra nyttelastidentiteter behandler og bidrar til å sikre identiteter for digitale nyttelaster, så som apper og tjenester. Kontroller tilgangen deres til skyressurser med risikobaserte retningslinjer og håndheving av minste privilegerte tilgang.
  • Entra identitetsstyring viderefører rettighetsstyring med tilgangsgranskninger i Azure AD. Den forenkler daglige rutiner, møter regulatoriske krav og opererer på tvers av lokale og skybaserte kataloger.

Identitet kombinert med ressurstilgang er hjørnesteinen i moderne cybersikkerhet. Microsoft Entra verifiserer alle typer identiteter og sikrer, forvalter og styrer deres tilganger til enhver app og ressurs. Samtlige identiteter skal beskyttes effektivt – inkludert ansatte, kunder, partnere, apper, enheter og nyttelaster på tvers av alle miljøer. Du kan oppdage og gi riktige tillatelser for alle identiteter, basert på prinsippet om minste privilegium, samt administrere livssykluser. Brukeropplevelsen er styrket med engangspålogging, intelligent sikkerhet og enhetlig administrasjon.

Azure Active Directory (AD)

tekst om sikker tilgang

Azure AD er neste generasjons skybaserte plattform for identitets- og tilgangsstyring – identitet som tjeneste – og leverer omfattende sikkerhetsmekanismer. Den sørger for enkel pålogging og kobler arbeidsstyrken til samtlige apper fra enhver plassering med en hvilken som helst enhet. Hver bruker bør bare ha én enkelt identitet, og alle ressurstilganger må være innlemmet i Azure AD. Tilgang til data og applikasjoner beskyttes av multifaktor-autentisering (MFA). Passordløs godkjenning styrker brukeropplevelsen uten farene forbundet med tradisjonell legitimasjon. Betinget tilgang lar deg sette opp tilgangskontroller for ytterligere å sikre virksomheten.

Med den innebygde identitetsbeskyttelsen automatiser du oppdagelse og utbedring av risikoer knyttet til brukeridentiteter og sesjoner, noe som muliggjør adaptive dynamiske tilgangspolicyer. Identitetsstyring bidrar til å beskytte, overvåke og revidere adgangen til kritiske ressurser. Privilegert identitetsbehandling gir behovsbaserte og tidsbegrensede administrative rettigheter, akkurat-nok og akkurat-i-tide. Tilgangssertifiseringer og -gjennomganger lar deg rydde opp i gruppetilhørigheter, rollemedlemskap og rettigheter i applikasjoner. Du kan dele ressurser og apper med brukere utenfor organisasjonen på en sikker måte.

Rettighetsadministrasjon lar deg ta i bruk automatiserte funksjoner for å forvalte identiteter og livssyklusen for tilganger via arbeidsflyter som håndterer forespørsler om tilgang, tildeler tillatelser, foretar tilgangsgranskninger og tidsbegrenser dem. Integrert VPN-godkjenning gjør autentiseringen sikrere, men gir fortsatt for bred nettverkstilgang. Lokale applikasjoner bør i stedet publiseres til Internett med Azure AD Application Proxy. Azure AD har omfattende funksjoner for logging og overvåking. Denne identitetsdrevne sikkerheten sentrert rundt ressurstilganger bringes flere hakk videre med de andre produktene i Microsoft Entra-familien.

Microsoft Entra tillatelsesstyring

Tekst om innsyn

Entra tillatelsesstyring er en løsning for å administrere identiteter og rettigheter i skymiljøer (CIEM). Hensikten er å forstå hvilke tilgangsrettigheter som finnes i skybaserte infrastrukturer på tvers av leverandører, for så å identifisere og redusere angrepsflaten og tilgangsrisikoer knyttet til overdrevne tillatelser. For øyeblikket støttes Azure AD, Amazon Web Services (AWS) og Google Cloud Platform (GCP). Tillatelsesstyring gir også detaljert innsyn i og kontroll over katalogtjenester hos forskjellige identitetsleverandører, inkludert Azure AD, Ping Identity og Okta.

Utfordringen består i at stadig flere organisasjoner velger en flersky-strategi for så å slite med mangel på synlighet og økt kompleksitet i forvaltningen av tillatelser. Virtuelle maskiner sprer seg som ild i tørt gress, sammen med en like rask tilvekst av identiteter og skytjenester som ikke er overvåket. Det skaper sikkerhetshull som utnyttes av angripere. Administrasjonsmodellen hos ulike skyleverandører er inkonsistent og gjør det vanskeligere å håndheve rettigheter og retningslinjer for minst privilegert tilgang over hele infrastrukturen. Identiteter begrenser seg ikke bare til brukere, men strekker seg til nyttelastidentiteter – maskiner, containere, tilgangsnøkler og skript.

Entra tillatelsesstyring bruker data-innsamlere som gjennomsøker de forskjellige tillatelsene som er tildelt, samt aktivitetslogger og ressursmetadata for å avdekke enhver handling som er utført av en identitet i ressursen. Du får hjelp til å takle disse utfordringene:

  • Oppdag alle skytillatelser. Få omfattende innsyn i handlinger som utføres av en hvilken som helst identitet på en hvilken som helst ressurs på tvers av skyinfrastrukturene deres.
  • Vurder risikoene knyttet til tillatelser. Se på gapet mellom innvilgede og brukte tillatelser.
  • Styr tillatelser og tilgang. Tilpass omfanget av tillatelsene, gi dem ved behov, og automatiser tidsbegrenset tilgang.
  • Overvåk tillatelsene kontinuerlig. Oppdag uregelmessige aktiviteter med varsler drevet av maskinlæring, og generer detaljerte forensiske rapporter.

Microsoft Entra bekreftet ID

Tekst om tilganger

Entra bekreftet ID bidrar til å skape et desentralisert identitetssystem for individer og organisasjoner, basert på åpne standarder og blokkjede-teknologi, en distribuert regnskapsbok som kan lagre transaksjoner mellom to eller flere parter på en verifiserbar måte. Hensikten er at hver person skal ha rett til sin egen digitale identitet som de eier og kontrollerer. Desentralisert identitet sørger for bedre sikkerhet og personvern og gjør det enklere å dele data med tillitsvekkende aktører.

Utredelse

Bekreftet ID legger til rette for beskyttede interaksjoner mellom brukere og virksomheter. Løsningen automatiserer verifiseringen av legitimasjon og krav. Det fungerer sånn:

  • Utsteder. En utsteder attesterer krav og gir en digitalt signert legitimasjon til brukeren. En utsteder kan være et offentlig organ, en tidligere arbeidsgiver, et universitet eller en annen organisasjon som kan bevise brukers legitimasjon.
  • Individ. Mottar og godkjenner legitimasjonsforespørsel fra utsteder, lagrer og administrerer legitimasjonen i lommeboken (verifiserbart dataregister), presenterer den til verifikatoren.
  • Verifikator. Ber om bevis og ved mottak bekrefter at kravene i legitimasjon tilfredsstiller vilkårene. En verifikator kan være en potensiell arbeidsgiver, et flyselskap, et boliglånsselskap eller en hvilken som helst organisasjon som ber om bevis på brukers legitimasjon.

Fremtidens digitale identitet er desentralisert. Vi ønsker selv å bestemme hvilke opplysninger vi deler med andre. Denne form for identiteter er mer enn et interessant konsept. Flere foretak, institusjoner og myndigheter har begynt å forske på det, lage pilotprosjekter eller implementere det. Innen EU står dette som en sentral utfordring. W3C og Decentralised Identity Foundation (DIF) har jobbet med å skape standarder. Microsoft, IBM, Fujitsu og flere andre store selskaper har skapt egne plattformer. Mange start-ups arbeider direkte eller indirekte med å tilby desentralisert identitet. Nå kan du selv ta det i bruk.

Microsoft Entra nyttelastidentiteter

Nyttelastidentiteter

Menneskelige identiteter inkluderer ansatte, partnere og kunder, ikke-menneskelige er identiteter for enheter, apper og tjenester, i bransjen omtalt som nyttelastidentitet. Entra nyttelastidentiteter er utformet for å administrere identiteter og tilgang for nyttelaster og sertifikatbasert autentisering. Produktet tilbyr sikkerhetskontroller for applikasjoner og tjenester og bidrar til å forvalte livssyklusen deres. Nøkkelfunksjonene omfatter betinget tilgang, identitetsbeskyttelse og tilgangsgjennomganger.

Denne form for identiteter benyttes av applikasjoner og tjenester for å autentisere og få tilgang til andre tjenester, ressurser eller et annet system. Med det er utfordrende å sikre nyttelastidentiteter. De kan ikke utføre multifaktor-autentisering (MFA). Virksomheter har ingen formell måte å forvalte deres tilgang til ressurser på. Sammenliknet med brukeridentiteter er det et høyere potensial for lekket legitimasjon. Nyttelastidentiteter står overfor et økende antall cyberangrep.

Med Entra nyttelastidentiteter kan du forbedre sikkerheten ved å implementere betinget tilgang basert på plassering (lokasjon) og proaktivt gardere deg mot trusler. Identitetsbeskyttelsen bidrar til å spore kompromittert legitimasjon, mistenkelige påloggingsforsøk og endringer i kontoer. I tillegg har Microsoft planer om å lansere en ny funksjon for anbefalt applikasjonshelse. Den vil gi deg innsikt i legitimasjon som er i ferd med å utløpe, samt ubrukte apper og tjenestekontoer.

Microsoft Entra identitetsstyring

Tekst om identitetsstyring

Entra identitetsstyring lar deg kontrollere identiteter og tilganger i en balanse mellom produktivitet og sikkerhet. Opprett brukeridentiteter og roller automatisk i de appene brukerne må ha tilgang til. Vedlikehold og fjern dem etter hvert som det oppstår endringer i status eller roller. Sørg for at du overholder regler, standarder og reguleringer. Identitetsstyring er fortsatt i en forhåndsversjon og er en videreføring av rettighetsadministrasjon i Azure AD Premium P2. Med identitetsstyring kan du:

  • Forvalte livssyklusen for tilganger til identiteter og ressurser i stor skala.
  • Automatisere arbeidsflyter for tilgangsforespørsler, tilgangstildelinger, gjennomganger og utløp.
  • Lage arbeidsflyter som sørger for at nyansatte og folk med endrede roller blir produktive umiddelbart, og at tilgang fjernes når ansatte slutter eller flyttes til andre avdelinger.
  • Sette opp tilgangsgjennomganger som sørger for at brukere og gjester har hensiktsmessig tilgang, og at de fortsatt trenger den, basert på automatisert innsikt. Aktiver selvvurdering eller tilordne kontrollører.
  • Foreta tilgangsgranskninger av administrative roller. Denne funksjonen er del av privilegert identitetsbehandling, som bruker tids- og godkjenningsbasert rolleaktivering for automatisk å begrense overdreven, unødig eller misbrukt tilgang til viktige ressurser for organisasjonen.

Blant de nye funksjonen som du ikke finner i Azure AD Premium P2, er tilpassede arbeidsflyter for å automatisere repeterende oppgaver, som ved introduksjonen av nye ansatte. Du kan sette opp kontroller for å separere oppgaver, så identiteter ikke får for mye tilgang, som å kreve at mer enn én person er involvert i en transaksjon for å redusere svindelrisiko (prinsippet om fire øyne). Du kan koble deg tilbake til lokal infrastruktur for å klargjøre applikasjoner der.

Det alt dette munner ut i, er at du med Entra identitetsstyring kan onboarde og offboarde brukere med alle applikasjoner og nødvendige ressurstilganger på en automatisert måte. Dine ansatte får akkurat de privilegier de trenger, verken mer eller mindre. Automatikk er mindre feilbeheftet enn manuelle rutiner. Du får løst et velkjent problem som rammer mange virksomheter: Jo lenger en ansatt har jobbet der, desto mer rettigheter har hun.

Lisensiering av Microsoft Entra

De fleste funksjoner i Azure AD som er nevnt her, krever Premium P1 eller P2. Du må ha P2 for identitetsbeskyttelse, privilegert identitetsbehandling, rettighetsstyring og tilgangsgranskninger. Entra tillatelsesstyring koster kr 91,90 per ressurs per måned (uten mva.). Det finnes en gratis prøveversjon som er gyldig i 90 dager. Entra bekreftet ID følger med i alle Azure Active Directory-abonnementer. Entra nyttelastidentiteter er tilgjengelig som frittstående løsning og er for tiden priset til USD 3 per nyttelastidentitet per måned (norsk pris ukjent). Microsoft tilbyr også her en 90-dagers prøveversjon av tjenesten. Entra identitetsstyring inngår i Azure AD Premium P2.

Avsluttende ord

Azure AD har stått sin prøve i over et tiår, med stadig nye og forbedrede funksjoner som bygger opp under sikkerhets arkitekturen Zero Tust. Azure AD er fortsatt den viktigste identitetstjenesten. Med Entra har plattformen fått flere bein å stå på. Entra tillatelsesstyring er en CIEM-løsning for å forvalte identiteter og rettigheter i skymiljøer, basert på Microsofts oppkjøp av CloudKnox (nomen est omen). Entra bekreftet ID er et desentraliserte identitetssystem, tidligere Azure AD verifiserbar legitimasjon. Entra nyttelastidentiteter leverer identitetsbeskyttelse, betinget tilgang og tilgangsgjennomganger for ikke-menneskelige identiteter. Entra identitetsstyring viderefører rettighetsadministrasjonen i Azure AD. Alt dette dreier seg i mindre grad om å stenge folk ute enn om å innlemme dem på en betryggende måte. Entra på spansk betyr å gå inn.

Skjermbildet er fra egen tenant, grafikken fra Microsofts norske hjemmesider.

Publisert: . Oppdatert: .

Vi hjelper gjerne til med å finne den beste løsningen for din bedrift

Ta kontakt med oss for en uforpliktende prat!