Under den årliga Microsoft-konferensen Ignite så brukar Microsoft tillkännage nya initiativ och produkter. Så även under 2022 års upplaga. En av de mest spännande produktfamiljerna från Microsoft Ignite det här året är Microsoft Entra. Microsoft Entra är ett initiativ som grupperar identites- och behörighetshantering samt åtkomst och översikt för att höja säkerheten.
Under Ignite 2022 så var ett av ledorden ”do more with less” eftersom det för många organisationer är vad som krävs för att hålla jämna steg med utvecklingstaken. I fallet för säkerhet och identitet så tog do more with less-uttrycket en offensiv form. Microsoft förklarar att säkerhet inte bara ska vara en skydds- och försvarsfaktor, utan även en anfallsstrategi – ett aktivt och proaktivt sätt att hitta säkerhetshål. Microsoft Entra kan alltså nyttjas för att göra anfallsliknande kontroller av den egna it-miljön, för att på så sätt kunna göra mer med mindre.
I Microsoft Entra ingår 5 produkter: Azure Active Directory, Microsoft Entra Permissions Management, Microsoft Entra Verified ID, Microsoft Entra Workload Identities, samt Microsoft Entra Identity Governance.
Azure Active Directory
Många är nog bekanta med Azure AD sedan tidigare. Och sedan Ignite 2022 så grupperas alltså Azure Active Directory som en underkategori i Microsoft Entra. Inte nog med det, några högt efterfrågade behörighets- och åtkomstfunktioner finns nu i Azure AD.
Bland annat finns behörighetsgranskningar (Access Reviews) för att lättare se vilka behörigheter som användare har. Även nyheten livscykelhantering (Lifecycle Management) finns nu, som gör behörigheter lättare att automatisera för nytillkomna användare eller personer som inte längre berörs av särskilda behörigheter. Dessutom är certifikatsbaserad autentisering (Certificate-based Authentication) tillgängligt, vilket öppnar för möjligheten att kunna autentisera användare med fysiska passerkort till Azure AD.
Se den nya produktlandningssidan för Azure Active Directory.
Access Reviews
För generöst tilldelade behörigheter är en stor risk som syns alldeles för ofta. Det kan vara att personer tilldelas globala administratörsrättigheter eller att enstaka och tillfälliga behörigheter blir bestående. Men med återkommande kontroller som ser över behörigheter och åtkomsträttigheter minskar risken markant eftersom granskarna då kan ta bort vissa åtkomsträttigheter för användare som inte längre behöver nyttja den resursen, vilket är var Access Reviews kommer in.
Behörighetsgranskningar i Azure AD kan till stor del automatiseras. Bland annat genom automatiska åtgärdsrekommendationer, återkommande påminnelser och tidsbegränsningar av tilldelade rättigheter. Dessutom kan utvalda användare utses som granskare – exempelvis att en gruppägare blir den som granskar behörigheterna för användarna inom gruppen.
För att komma igång med behörighetsgranskningar i Azure AD så krävs oftast en Azure AD Premium P2-licenser per användare som ska genomföra en granskning. Beroende på vilka behörigheter som ska granskas så skapas granskningarna på olika ställen. Se dem i tabellen nedan, eller läs mer på Microsofts sida om Access Reviews, där informationen från tabellen hämtats.
Access rights of users | Reviewers can be | Review created in | Reviewer experience |
Security group members Office group members |
Specified reviewers Group owners Self-review |
Azure AD access reviews Azure AD groups |
Access panel |
Assigned to a connected app | Specified reviewers Self-review |
Azure AD access reviews Azure AD enterprise apps (in preview) |
Access panel |
Azure AD role | Specified reviewers Self-review |
Azure AD PIM | Azure portal |
Azure resource role | Specified reviewers Self-review |
Azure AD PIM | Azure portal |
Access package assignments | Specified reviewers Group members Self-review |
Azure AD entitlement management | Access panel |
Identity Lifecycle Management
I Azure AD så kan en användares hela livscykel automatiseras. Kommer en nyanställd till organisationen så kan det skapas flöden som automatiserar uppsättningen av identiteten och behörigheter, aviserar för ansvariga och personer i samma team, och så vidare. Eliminera glappet mellan att en nyanställd börjar och att den kan komma åt resurserna de behöver.
Även vid offboarding kan processen automatiseras. Användarens behörigheter begränsas eller tas bort, personuppgifter rensas. Det tar alltså bort risken att före detta anställda smyger sig in med sina gamla uppgifter för att göra ändringar eller se konfidentiell information.
Om en person byter roll inom företaget så kan även den processen förenklas. Behörigheterna som kopplas till den gamla rollen tas enkelt bort, samtidigt som de nya åtkomstbehoven ges till användaren. Det gör organisationen tryggare eftersom för höga behörighetsnivåer är lättare att upptäcka. Läs mer genom att gå in på Microsofts sida om Identity Lifecycles.
Certificate-based Authentication
En ny funktion i Azure Active Directory är det som kallas Certificate-based Authentication (CBA). Det är av hög relevans bland annat för organisationer som använder Active Directory Federation Service (AD FS) med fysiska inloggnings- och verifieringssystem, så som passerkort eller nyckelbrickor.
CBA gör att inloggningar med passerkort kan kopplas till Azure AD, och användas som verifikations- och inloggningsalternativ i Microsoft och Azure. Eftersom identiteten som finns kopplad till kortet i sin tur är kopplad till behörigheterna för användaren så blir CBA ett säkert sätt att logga in i de relevanta applikationerna. Exempelvis Outlook, SharePoint, Microsoft Teams, men även externa plattformar så som SalesForce, kan alltså kopplas till AD FS-identiteter.
CBA gör också att steget från on-premises till molnet är kortare. I Azure AD så går det att slå på verifiering via passerkort som en autentiseringsmetod bland andra. Därför blir det enklare att stegvis fasa ut kort, och i stället implementera digitala identiteter med multifaktorautentisering. Här finns mer information om CBA från Microsoft.
Microsoft Entra Permissions Management
Microsoft Entra Permissions Management är Microsofts svar på de säkerhetsrisker som följer från decentraliserad behörighetshantering. Entra Permissions Management är en så kallad CIEM-produkt (Cloud Infrastructure Entitlement Management) som samlar rättigheter och behörigheter på ett ställe för att minska riskerna från skenande åtkomster och avsaknad av översikt.
I Microsoft Entra Permissions Management så kan alla identiteter i Microsoft Azure, i Amazon Web Services (AWS) och Google Cloud Platform (GCP) hanteras, på samma ställe. Permissions Management utvärderar risker med för hög behörighetsnivå jämfört med vad användaren nyttjar. Om en användare behöver tillgång till något de normalt inte behöver så kan de tilldelas tidsbegränsad åtkomst – en process som även kan automatiseras. Att automatisera behörighetsprovisioneringen öppnar
I bakgrunden så analyserar Permissions Management all användning och flaggar misstänkt eller riskfylld aktivitet, vilken sammanställs i detaljerade rapporter. Läs mer om produkten och prissättningen på Microsofts sida för Microsoft Entra Permissions Management.
Microsoft Entra Verified ID
Microsoft Entra Verified ID är en produkt som möjliggör bättre säkerhetsstandard för certifieringar och att samla olika identitetskonton på ett och samma ställe. Med Verified ID så kan uppgifter, certifieringar och legitimationer på ett säkert digitalt sätt tilldelas och verifieras.
Microsoft Entra Verified ID är också en säker plattform som kan skapa nya certifieringar och pålitliga uppgifter. Oavsett om det handlar om diplomeringar, arbetsgivarintyg, eller leverantörsuppgifter eller andra typer av certifikat så är Verified ID produkten som knyter samman identitet med uppgifter, där stöd finns för flera plattformar och utgivare. En enda identitet som kan hanteras på ett ställe – trots närvaro på flera plattformar. Se även Microsofts sida för Microsoft Entra Verified ID.
Microsoft Entra Workload Identities
För alla som arbetar med användarhantering på ett eller annat sätt så är Microsoft Entra Workload Identities ett välbehövligt tillskott. Mer information om Microsoft Entra Workload Identities finns här.
Behörigheter för digitala användare och robotar
Workload Identities möjliggör behörighetshantering för digitala användare och robotar. Ett lyckat intrång på en digital användares konto kan därför begränsas, för att organisationens data ska bli säkrare.
I Workload Identities finns möjlighet att etablera anpassade åtkomståtgärder (conditional access policies) för robotar. Då går det att kräva extra steg för verifieringen, exempelvis att inloggningen sker från specifika geografiska områden eller från vissa plattformar.
Workload-robotar har nu även ett eget Identity Protection-menyval i Microsoft Entras administratörsvy. Där loggas alla robotar som riskerar att utsättas, eller redan har utsatts, för intrång. I loggen kan varje robot undersökas närmare, och åtgärder kan tas direkt i vyn.
Planerad lansering för Workload Identities är November 2022.
Säkerhetsåtgärder i Azure Active Directory
En ny funktion som förenklar inventering och översikt av behörigheter är att se vilka åtgärder som Microsoft rekommenderar. I Azure AD så finns nu en kolumn som listar säkerhetsrisker. Användare, applikationer och mer syns när det finns rekommenderade åtgärder, tillsammans med en prioritetsklassning. Bland annat så rekommenderas det att uppdatera inloggningsinformation innan den blir ogiltig.
Microsoft Entra Identity Governance
Microsoft Entra Identity Governance förenklar storskalig hantering av identiteter och behörigheter. Identity Governance ingår i licensen Azure Active Directory Premium P2. Identity Governance riktas främst mot enterprise-bolag och storföretag som behöver AI- och maskininlärningsverktyg för att effektivt kunna hantera stora mängder information.
Med Microsoft Entra Identity Governance så går det automatisera många av processerna som rör identiteter, åtkomst och behörigheter. Automatiseringar kan bland annat implementeras i flöden för åtkomstförfrågningar och -tilldelningar, i analyser och även för att skapa åtgärdsflöden när tidsbegränsade behörigheter tar slut.
Identity Governance inkluderar även avancerad maskininlärning som kan avisera när och vilka användare som bör få eller inte ha vissa behörigheter. Antingen kan den högst ansvariga för identiteter göra genomgången, men för att spara tid så finns andra alternativ. Exempelvis så kan vissa användare själva se över sina behörigheter och föreslå ändringar, eller så kan utvalda personer delegeras möjlighet att tillåta eller neka åtkomstförfrågningar. Se också Microsofts sida för Entra Identity Governance.