Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Azure Active Directory is nu Microsoft Entra ID, waarmee uw organisatie kan worden beveiligd met cloudidentiteit en toegangsbeheer. De oplossing verbindt werknemers, klanten en partners met hun apps, apparaten en gegevens.
Gebruik de richtlijnen van dit artikel om uw plan te bouwen voor het implementeren van Microsoft Entra ID. Meer informatie over de basisprincipes van plannen en gebruik vervolgens de volgende secties voor verificatie-implementatie, apps en apparaten, hybride scenario's, gebruikersidentiteit en meer.
Aanbeveling
Zoekt u architectuurdiagrammen en referentiearchitecturen? Zie voor gedetailleerde architectuurdiagrammen, topologieën voor hybride identiteiten en ontwerprichtlijnen:
- overzicht van Microsoft Entra architectuur — serviceontwerp, schaalbaarheid en beschikbaarheid
- Tolerantie bouwen in uw hybride architectuur : architectuurdiagrammen voor PHS, PTA en Federatie
- De juiste verificatiemethode kiezen : beslissingsstructuur voor verificatie
- Identity- en toegangsbeheerarchitectuur in Azure — referentiearchitecturen, basislijn-implementaties en ontwerprichtlijnen
- Opties voor gegevenslocatie en onafhankelijke cloud : locaties en omgevingsbeperkingen voor gegevensopslag
Belanghebbenden en rollen
Neem bij het starten van uw implementatieplannen uw belangrijkste belanghebbenden op. Identificeer en documenteer belanghebbenden, betrokken rollen en de gebieden van eigendom en verantwoordelijkheden die een effectieve implementatie mogelijk maken. Titels en rollen verschillen van de ene organisatie naar de andere, maar de eigendomsgebieden zijn vergelijkbaar. Zie de volgende tabel voor veelvoorkomende en invloedrijke rollen die van invloed zijn op een implementatieplan.
| Rol | Verantwoordelijkheid |
|---|---|
| Sponsor | Een senior leider van het bedrijf met autoriteit om budget en resources goed te keuren of toe te wijzen. De sponsor is de verbinding tussen managers en het leidinggevend team. |
| Eindgebruikers | De personen voor wie de service wordt geïmplementeerd. Gebruikers kunnen deelnemen aan een pilotprogramma. |
| IT-ondersteuningsmanager | Biedt input over de ondersteuning van voorgestelde wijzigingen |
| Identiteitsarchitect | Definieert hoe de wijziging overeenkomt met de infrastructuur voor identiteitsbeheer |
| Eigenaar van toepassingsbedrijf | Eigenaar is van de betrokken toepassingen, waaronder toegangsbeheer. Biedt input over de gebruikerservaring. |
| Beveiligingseigenaar | Bevestigt dat het wijzigingsplan voldoet aan de beveiligingsvereisten |
| Compliancebeheerder | Zorgt voor naleving van bedrijfs-, branche- of overheidsvereisten |
RACI
Verantwoordelijk, Verantwoordelijk, Geraadpleegd en Geïnformeerd (verantwoordelijk/verantwoordelijk/geraadpleegd/geïnformeerd(RACI)) is een model voor de deelname door verschillende rollen om taken of producten voor een project of bedrijfsproces te voltooien. Gebruik dit model om ervoor te zorgen dat de rollen in uw organisatie inzicht hebben in de implementatieverantwoordelijkheden.
-
Verantwoordelijk : de personen die verantwoordelijk zijn voor de juiste voltooiing van de taak.
- Er is ten minste één verantwoordelijke rol, hoewel u anderen kunt delegeren om het werk te leveren.
- Verantwoordelijk: de verantwoordelijke is uiteindelijk antwoordbaar voor de juistheid en voltooiing van het product of de taak. De Accountable-rol zorgt ervoor dat aan de vereisten voor taken wordt voldaan en delegeert taken aan verantwoordelijke rollen. De verantwoordelijkheidsrol keurt werk goed dat door de Verantwoordelijke wordt geleverd. Wijs één verantwoordelijke toe voor elke taak of op te leveren resultaat.
- Geraadpleegd - De geraadpleegde rol biedt richtlijnen, meestal een vakexpert (SME).
- Geïnformeerd - De mensen worden op de hoogte gehouden van de voortgang, over het algemeen na voltooiing van een taak of oplevering.
Authenticatie-implementatie
Gebruik de volgende lijst om verificatie-implementatie te plannen.
Microsoft Entra meervoudige verificatie (MFA) - Met behulp van door de beheerder goedgekeurde verificatiemethoden helpt meervoudige verificatie de toegang tot uw gegevens en toepassingen te beveiligen terwijl de vraag naar eenvoudige aanmelding wordt bereikt:
Voorwaardelijke toegang : implementeer geautomatiseerde beslissingen voor toegangsbeheer voor gebruikers voor toegang tot cloud-apps, op basis van voorwaarden:
Microsoft Entra selfservice voor wachtwoordherstel (SSPR) - Helpt gebruikers een wachtwoord opnieuw in te stellen zonder tussenkomst van de beheerder:
Zie de verificatiemethode Passkeys (FIDO2) in Microsoft Entra ID
Zie Plan een Microsoft Entra zelfservice wachtwoordreset-implementatie
Wachtwoordloze verificatie - Verificatie zonder wachtwoord implementeren met behulp van de Microsoft Authenticator-app of FIDO2-beveiligingssleutels:
Toepassingen en apparaten
Gebruik de volgende lijst om toepassingen en apparaten te implementeren.
- Eenmalige aanmelding (SSO) - Gebruikerstoegang tot apps en resources met één aanmelding inschakelen zonder referenties opnieuw in te voeren:
- Mijn apps portal - Toepassingen detecteren en openen. Gebruikersproductiviteit met selfservice inschakelen, bijvoorbeeld toegang tot groepen aanvragen of de toegang tot resources namens anderen beheren.
- Devices - Evalueer apparaatintegratiemethoden met Microsoft Entra ID, kies het implementatieplan en meer.
Hybride scenario's
Zie Build resilience in uw hybride architectuur voor architectuurdiagrammen en tolerantiepatronen voor hybride identiteitsimplementaties. Zie Integrate on-premises Active Directory with Microsoft Entra ID voor volledige referentiearchitecturen met downloadbare Visio-diagrammen.
In de volgende lijst worden functies en services in hybride scenario's beschreven.
- Active Directory Federation Services (AD FS) - Gebruikersverificatie migreren van federatie naar cloud met passthrough-verificatie of wachtwoord-hashsynchronisatie:
- Microsoft Entra toepassingsproxy : hiermee kunnen werknemers productief zijn vanaf een apparaat. Meer informatie over SaaS-apps (Software as a Service) in de cloud en zakelijke apps on-premises. Microsoft Entra toepassingsproxy maakt toegang mogelijk zonder VPN's (virtuele particuliere netwerken) of gedemilitariseerde zones (DMZ's):
- Naadloze eenmalige aanmelding (naadloze eenmalige aanmelding): gebruik naadloze eenmalige aanmelding voor gebruikersaanmelding op bedrijfsapparaten die zijn verbonden met een bedrijfsnetwerk. Gebruikers hebben geen wachtwoorden nodig om zich aan te melden bij Microsoft Entra ID en hoeven meestal geen gebruikersnamen in te voeren. Geautoriseerde gebruikers hebben toegang tot cloud-apps zonder extra on-premises onderdelen:
Gebruikers
- Gebruikersidentiteiten : meer informatie over automatisering voor het maken, onderhouden en verwijderen van gebruikersidentiteiten in cloud-apps, zoals Dropbox, Salesforce, ServiceNow en meer.
- Microsoft Entra Id-governance - Identiteitsbeheer maken en bedrijfsprocessen verbeteren die afhankelijk zijn van identiteitsgegevens. Met HR-producten, zoals Workday of Successfactors, beheert u de identiteitslevenscyclus van werknemers en afhankelijk personeel met regels. Deze regels koppelen Joiner-Mover-Leaver-processen (JLM), zoals Nieuw Aannemen, Beëindigen, Overplaatsen, aan IT-acties zoals Maken, Inschakelen, Uitschakelen. Zie de volgende sectie voor meer informatie.
-
Microsoft Entra B2B-samenwerking - Samenwerking van externe gebruikers verbeteren met beveiligde toegang tot toepassingen:
- Zie het overzicht van B2B-samenwerking
- Zie Plan een Microsoft Entra B2B-samenwerkingsimplementatie
Identiteitsbeheer en rapportage
Microsoft Entra Id-governance stelt organisaties in staat om de productiviteit te verbeteren, de beveiliging te versterken en gemakkelijker te voldoen aan nalevings- en regelgevingsvereisten. Gebruik Microsoft Entra Id-governance om ervoor te zorgen dat de juiste personen de juiste toegang hebben tot de juiste resources. Verbeter de automatisering van identiteits- en toegangsprocess, delegering aan bedrijfsgroepen en verbeterde zichtbaarheid. Gebruik de volgende lijst voor meer informatie over identiteitsbeheer en rapportage.
Meer informatie:
Veilige toegang voor een verbonden wereld—meet Microsoft Entra
Privileged Identity Management (PIM) - Beheer bevoorrechte beheerdersrollen voor Microsoft Entra ID, Azure resources en andere Microsoft onlineservices. Gebruik deze functie voor Just-In-Time-toegang (JIT), werkstromen voor het goedkeuren van aanvragen en geïntegreerde toegangsbeoordelingen om schadelijke activiteiten te helpen voorkomen.
Rapporten en bewaking : het ontwerp van de Microsoft Entra rapportage- en bewakingsoplossing heeft afhankelijkheden en beperkingen: juridische, beveiliging, bewerkingen, omgeving en processen.
Toegangsbeoordelingen - Inzicht krijgen in en beheren van toegang tot bronnen:
Aanbevolen procedures voor een testfase
Voordat u een wijziging aanbrengt voor grotere groepen of iedereen, gebruikt u piloten om te testen met een kleine groep. Zorg ervoor dat elke use case in uw organisatie is getest.
Pilot: Fase 1
In uw eerste fase richt u zich op IT, bruikbaarheid en andere gebruikers die feedback kunnen testen en geven. Gebruik deze feedback om inzicht te krijgen in mogelijke problemen voor ondersteuningsmedewerkers en om communicatie en instructies te ontwikkelen die u naar alle gebruikers verzendt.
Pilot: Fase 2
Verbreed de pilot naar grotere groepen gebruikers met behulp van dynamisch lidmaatschap of door gebruikers handmatig toe te voegen aan de doelgroepen.
Meer informatie: Dynamic-lidmaatschapsregels voor groepen in Microsoft Entra ID