Microsoft Entra er selskapets skybaserte tjeneste for identitets- og tilgangsstyring som hjelper med å sikre og administrere tilgangen til applikasjoner og ressurser. Entra er en videreføring av Azure AD, som er omdøpt til Entra ID, og omfatter en hel produktfamilie. Den dekker hybride og flerskymiljøer, ulike former for identiteter og et bredt spekter av ressurstilganger. Målet er å sikre tilgang for alle til enhver ressurs fra hvor som helst. Entra blokkerer identitetsangrep, sørger for minste privilegerte tilgang og reduserer kompleksitet med en forbedret brukeropplevelse.
Microsoft Entra-familien
De første fem produktene bygger på funksjoner som tidligere var samlet i Aure AD, men nå er utskilt og videreutviklet. De neste to er et resultat av oppkjøp av firmaer spesialisert på Internett-sikkerhet, mens de to siste er vesentlige komponenter i Microsofts Zero Trust-arkitektur.
- Microsoft Entra ID (tidl. Azure AD) sikrer og administrer identiteter for å koble dem til apper, enheter og data.
- Microsoft Entra ID-beskyttelse (ID Protection) identifiser og adresser identitetsrisikoer i organisasjonen din.
- Microsoft Entra ID-styring (ID Governance) administrerer tilgangsrettigheter, automatiserte tilgangsgjennomganger og arbeidsflyter for håndtering av livssyklus.
- Microsoft Entra Ekstern ID (External ID) tilpasser og bidrar til å sikre tilgang til alle applikasjoner for kunder og partnere.
- Microsoft Entra Bekreftet ID (Verified ID) oppretter, utsteder og verifiserer desentralisert identitetslegitimasjon for trygge interaksjoner.
- Microsoft Entra Tillatelsesstyring (Permissions Management) oppdager, korrigerer og overvåker tillatelsesrisikoer for enhver identitet eller ressurs.
- Microsoft Entra Arbeidsbelastnings-ID (Workload ID) sikrer identiteter for apper og tjenester og deres tilgang til skyressurser.
- Microsoft Entra Internett-tilgang (Internet Access) sørger for sikker tilgang til Internett, programvare som tjeneste og Microsoft 365-apper.
- Microsoft Entra Privattilgang (Private Access) hjelper brukere med å koble til private apper og ressurser på en sikker måte fra hvor som helst.
Valg av navnet Entra
Hvorfor Microsoft valgte navnet Entra, er ikke kjent. Men det hindrer oss ikke i å spekulere. Det har en enkel og lettforståelig klang med global appell, lett å huske og uttale på tvers av forskjellige språk og kulturer. Entra gir assosiasjoner til ord som entrance og enter, som begge antyder tilgang, inngang eller starten på noe. Det reflekterer også tjenestenes hovedformål, som er å gi sikker tilgang til systemer og applikasjoner. Som metafor kan Entra indikere en ny æra eller tilnærming i Microsofts tilgangsstyring og sikkerhetsløsninger. Og faktisk klinger alt dette med jo mer man fordyper seg i Entra.
Microsoft Entra ID
Microsoft Entra ID het tidligere Azure Active Directory (Azure AD), noe som angir identitetstjenestens primære funksjon og egenskaper. I kjernen er Entra ID en katalogtjeneste som inneholder informasjon om objekter i infrastrukturen, som brukere, grupper, datamaskiner og andre ressurser. Katalogen lagrer detaljerte opplysninger om objektene og deres attributter og gjør det mulig for administratorer og brukere å finne og forvalte dem effektivt.
Det aktive refererer til at Entra ID ikke bare er en statisk database, men styrer og beskytter tilgangen til nettverksressurser, automatiserer administrasjon av brukere og grupper, håndterer retningslinjer og tilgangsrettigheter og støtter avanserte funksjoner som enkel integrert pålogging (SSO) og multifaktor-autentisering (MFA). Entra ID er noe redusert i forhold til Azure AD i og med at flere mekanismer er flyttet til egne produktkategorier.
Entra ID har en rekke innebygde sikkerhetsfunksjoner. Selvbetjent tilbakestilling av passord lar brukere selv endre det eller låse opp kontoen. Passordbeskyttelse hindrer brukere i å lage svake eller vanlige passord som er enkle å gjette eller er avslørt i tidligere datainnbrudd. Smart lockout stenger antatte angripere ute og tillater legitime brukere å logge på. Det er innebygde tjenester for å oppdage, hindre og administrere lekket legitimasjon.
En av de mest sentrale funksjonene er Betinget tilgang, en policymotor som fungerer som beslutnings- og håndhevelsespunkt for om en bruker skal få adgang til en applikasjon eller ressurs. Betingelser kan være statiske, som bruker og gruppemedlemskap, enheter og sted. De kan være dynamiske, basert på faresignaler som evalueres i sanntid. Betinget tilgang er helt avgjørende i Microsofts sikkerhetsmodell, som dekker identiteter og enheter, data og applikasjoner, infrastruktur og nettverk.
Microsoft Entra ID-beskyttelse
Microsoft Entra ID Protection tilbyr en avansert sikkerhetsløsning for å beskytte brukere. Den benytter maskinlæring og heuristikk (sannsynligheter) for å oppdage og reagere på potensielle identitetsrisikoer i organisasjonens nettverk. Beskyttelsen analyserer påloggingsforsøk og brukeradferd for å identifisere mulige risikoer som kan tyde på en kompromittert identitet. Den gjenkjenner mistenkelige aktiviteter som pålogging fra ukjente steder, bruk av usikre passord og forsøk på å få tak i sensitiv informasjon.
Basert på risikovurderingen kan virksomheter ved hjelp av betinget tilgang sette opp automatiserte svar eller policyer. Hvis for eksempel en brukerkonto ser ut til å representere en høy risiko, kan bruker bli bedt om å endre passordet og foreta en fornyet autentisering med MFA. Ved å analysere bruker- og enhetsaktiviteter (UEBA) hjelper identitetsbeskyttelsen med å bygge en profil over normal brukeradferd og oppdage avvik som kan tyde på at bruker ikke er den hun utgir seg for.
Microsoft Entra ID-styring
Microsoft Entra Identity Governance håndterer livssyklusen for en identitet, fra oppretting av en bruker (joiner), gjennom ulike rollendringer (mover) til deaktivering når vedkommende slutter i jobben (leaver). Ved hjelp av tilgangspakker definerer du grupper av ressurser og tilgangsrettigheter som kan tildeles til brukere. Pakkene kan rulles ut automatisert eller legges ut på en selvbetjeningsportal. Forespørsler blir så godkjent eller avvist av personer eller programmatisk.
Tilgangspakker kan være tidsstyrte. Når ansatte skifter avdeling eller rolle, vil gamle tilgangspakker trekkes tilbake og erstattes med nye. Det sikrer at brukere har alle nødvendige rettigheter til å utføre sine arbeidsoppgaver og ikke mer. Mekanismen kan også benyttes for eksterne brukere, som partnere og kunder. Overvåking og rapportering lar administratorer monitorere hvem som har tilgang til hvilke ressurser, og få detaljerte rapporter om tilgangsbruken.
Til prinsippet om minste privilegerte tilgang hører en rigorøs kontroll med administrative roller. Det er oppgaven til Privileged Identity Management (PIM), et verktøy for å administrere, kontrollere og overvåke brukere med administrative roller, så som global administrator eller ressurseiere i Azure. Man registrerer brukere i PIM og tildeler dem roller. Disse kan være permanente, tidsbegrensede eller valgbare. Det vanligste er at rollen ikke er fast tildelt og velges når den trengs.
Microsoft Entra Ekstern ID
Microsoft Entra External Identities gir deg muligheten til å samarbeide med eksterne brukere utenfor organisasjonen. Det omfatter både forretning-til-forretning (B2B) og forretning-til-konsument (B2C). Med B2B kan du invitere brukere utenfra til å logge på i din Entra-organisasjon som gjestebrukere der de benytter sin egen legitimasjon. Dette gir dem tilgang til apper og ressurser du ønsker å dele med dem, som Microsoft 365- og SaaS-apper og bedriftsapplikasjoner.
Med B2B-direktekobling etableres det et toveis tillitsforhold med en annen Entra-organisasjon for sømløst samarbeid. For øyeblikket støttes bare delte Teams-kanaler, sånn at eksterne brukere kan få tilgang til ressursene dine fra sine egne Teams-instanser. B2C lar deg publisere egenutviklede og SaaS-apper til forbrukere og kunder, sammen med Entra Ekstern ID for identitets- og tilgangsstyring. Med Entra flertenant-organisasjon kan du samarbeide på tvers av leietakere.
Microsoft Entra Bekreftet ID
Microsoft Entra Verified ID er en tjeneste som gjør det mulig for individer og organisasjoner å eie og kontrollere deres digitale identiteter uten å være avhengig av en sentralisert identitetstjeneste. Den bygger på åpne standarder og blokkjede-teknologi, en distribuert regnskapsbok som kan lagre transaksjoner mellom to eller flere parter på en verifiserbar måte. Løsningen for desentraliserte identiteter automatiserer verifiseringen av krav og legitimasjon:
- Utsteder. En utsteder attesterer krav og gir en digitalt signert legitimasjon til bruker. En utsteder kan være et offentlig organ, en tidligere arbeidsgiver, et universitet eller en annen organisasjon som kan bevise brukers legitimasjon.
- Individ. Mottar og godkjenner en legitimasjonsforespørsel fra utsteder, lagrer og administrerer legitimasjonen i lommeboken (verifiserbart dataregister), presenterer den til verifikatoren.
- Verifikator. Ber om bevis og ved mottak bekrefter at kravene i legitimasjon tilfredsstiller vilkårene. En verifikator kan være en potensiell arbeidsgiver, et flyselskap, et boliglånsselskap eller en hvilken som helst organisasjon som ber om bevis på brukers legitimasjon.
Microsoft Entra Tillatelsesstyring
Microsoft Entra Permissions Management – tidligere kjent som CloudKnox – fokuserer på å sikre og administrere tilgang til skyressurser. Den hjelper organisasjoner med å identifisere og redusere risiko ved å tilby detaljert innsikt i hvem som har adgang til hva, og hvilke handlinger de kan utføre med denne tilgangen. For øyeblikket støttes Microsoft Entra, Amazon Web Services (AWS) og Google Cloud Platform (GCP).
Entra Tillatelsesstyring er en CIEM-løsning, som står for Cloud Infrastructure Entitlement Management eller Forvaltning av tilgangsrettigheter i skyinfrastruktur. Det er et verktøy for å administrere og sikre brukertilganger og rettigheter i skybaserte miljøer. Kjernefunksjonene er identitets- og tilgangsstyring, minimering av privilegier, overvåkning og revisjon, samt samsvar og sikkerhetspolicyer. Hensikten er å identifisere og redusere angrepsflaten og tilgangsrisikoer knyttet til overdrevne tillatelser.
Microsoft Entra Arbeidsbelastnings-ID
Microsoft Entra Workload ID sikrer identiteter for apper og tjenester og deres tilgang til skyressurser. Produktet tilbyr sikkerhetskontroller for applikasjoner og tjenester og bidrar til å forvalte livssyklusen deres. Nøkkelfunksjonene omfatter betinget tilgang, identitetsbeskyttelse og tilgangsgjennomganger. Det er utfordrende å sikre denne type identiteter siden de ikke kan bruke MFA. Det er et relativt høyt potensial for lekket legitimasjon, og de står overfor et økende antall cyberangrep.
Med Entra Arbeidsbelastnings-ID kan du forbedre sikkerheten ved å implementere betinget tilgang basert på plassering (lokasjon) og proaktivt gardere deg mot trusler. Identitetsbeskyttelsen bidrar til å spore kompromittert legitimasjon, mistenkelige påloggingsforsøk og endringer i kontoer. I tillegg har Microsoft planer om å lansere en ny funksjon for anbefalt applikasjonshelse. Den vil gi deg innsikt i legitimasjon som er i ferd med å utløpe, samt ubrukte apper og tjenestekontoer.
Microsoft Entra Internett-tilgang
Microsoft Entra Internet Access er en identitetssentrert Secure Web Gateway som beskytter tilgang til Internett, programvare som tjeneste (SaaS) og Microsoft 365-apper og -ressurser. Den utvider policyer for betinget tilgang med nettverksbetingelser for å beskytte mot trusler fra Internett. For Microsoft 365-miljøer gir den markedets beste sikkerhet og synlighet, sammen med raskere og mer sømløs tilgang til Microsoft 365-applikasjoner.
Microsoft Entra Privattilgang
Microsoft Entra Private Access er en løsning for identitetssentrisk Zero Trust Network Access (ZTNA) som sikrer tilgang til private apper og ressurser. Nå kan enhver bruker, uansett hvor de er, raskt og enkelt koble til private apper – på tvers av hybrid- og flerskymiljøer, private nettverk og datasentre – fra alle enheter og nettverk. Den reduserer driftsmessig kompleksitet og kostnader ved å erstatte VPN og tilbyr bedre sikkerhet. Du kan bruke betinget tilgang og kreve MFA for eldre lokale applikasjoner.
Koblinger
Mer informasjon om global sikker tilgang med Zero Trust finner du her:
https://www.evelon.no/artikler/global-sikker-tilgang-med-zero-trust