
Microsoft Entra kerää kaikki identiteetin- ja pääsynhallinnan työkalut yhden katon alle. Monet suomalaiset yritykset luottavat identiteetin ja pääsynhallinnassa Azure Active Directory (Azure AD) tuotteeseen, mutta eivät välttämättä ole tietoisia mitä kaikkea se tarjoaa tai muista Microsoft Entran tuoteperheen palveluista. Me autamme yrityksiä Microsoft Entran kanssa.
Azure AD (Active Directory)
Azure Active Directory identiteettipalvelu on osa Microsoft Entra tuoteperhettä, joka tarjoaa kertakirjautumisen, kaksivaiheisen tunnistautumisen ja ehdolliset käyttöoikeukset yritysten käyttöön.
Entitlement Management
Entitlement Management on palvelu, joka auttaa organisaatioita hallitsemaan käyttöoikeuksia pilvipalveluihin ja sovelluksiin. Sen avulla voidaan määrittää, hallita ja valvoa käyttöoikeuksia käyttäjille ja ryhmille.
Privileged Identity Management
Privileged Identity Managementin avulla voit hallita korkean tason käyttöoikeuksia omaavia henkilöitä, kuten järjestelmänvalvojia, turvallisella ja tarkoituksen mukaisella tavalla.
Access Reviews
B2B / B2C
Lifecycle Management
Microsoft Identity Managerin elinkaari päättyi tammikuussa 2021. Azure AD Premium -käyttäjät saavat kuitenkin pidennetyn tuen vuoteen 2026 asti. Nyt on hyvä aika tehdä selvitystyö, siitä miten MIM korvataan tulevaisuudessa.
Tarvitseko apua Microsoft Entran kanssa?
Azure Active Directory (azure AD)
Tuomaksen kommentteja
Yleiskuvaus tuotteesta
Toimisiko kolme eri casea? Yrityksen tilanne voi olla seuraava
1. Office 365 -> Kuinka otat Azure AD:n käyttöön
2. Azure AD ilman Office 365 -> Azure AD Premium
3. Microsoft Identity Manager käytössä -> linkki MIM osioon
Azure ilmaiskokeilujakso linkki
Ota yhteyttä ja käy läpi tilanne asiantuntijan kanssa.
Privileged Identity Management
Privileged Identity Management auttaa pienentämään tietoturvariskejä, joita korkean tason käyttöoikeuksilla voi olla, kun niitä käytetään väärin tai jos ne päätyvät vääriin käsiin.
Azure AD privileged identity management -palvelun avulla organisaatiot voivat hallita järjestelmänvalvojien käyttöoikeuksia ja ylläpitää tarkkaa valvontaa heidän toiminnastaan. Palvelu auttaa myös organisaatioita tunnistamaan riskejä, joiden avulla voidaan torjua mahdolliset tietoturvaongelmat.
Azure AD privileged identity management sisältää seuraavat ominaisuudet:
Järjestelmänvalvojien käyttöoikeuksien valvonta: Palvelu mahdollistaa organisaation järjestelmänvalvojien käyttöoikeuksien valvonnan ja varmistaa, että heillä on vain tarpeelliset käyttöoikeudet.
Turvalliset käyttöoikeuksien myöntämiset: Palvelu mahdollistaa turvallisten käyttöoikeuksien myöntämisen järjestelmänvalvojille, esimerkiksi aikarajoituksilla tai monivaiheisilla todennusmenetelmillä.
Riskien tunnistaminen: Palvelu tunnistaa mahdollisia tietoturvariskejä järjestelmänvalvojien käytön yhteydessä ja ilmoittaa niistä organisaatiolle.
Raportointi: Palvelu tarjoaa kattavan raportoinnin järjestelmänvalvojien käytöstä, jotta organisaatiolla on tarkka käsitys järjestelmänvalvojien toiminnasta ja käyttöoikeuksista.
Yhteenvetona Azure AD privileged identity management auttaa organisaatioita hallitsemaan korkean tason käyttöoikeuksia omaavia henkilöitä tehokkaasti ja turvallisesti, vähentäen tietoturvariskejä ja varmistaen, että käyttöoikeudet ovat tarpeelliset ja rajoitetut.
Azure AD Entitlement Management
Entitlement management -palvelu käyttää Azure AD:n ryhmiä, rooleja ja käyttöoikeusmyöntöjä (entitlements) käyttöoikeuksien määrittämiseen. Organisaatiot voivat määrittää käyttöoikeuksia sovelluksiin ja palveluihin, kuten Office 365, Salesforce ja Dropbox. Käyttöoikeuksia voidaan myös määrittää resursseihin, kuten SharePoint-sivustoihin, tiedostoihin ja kansioihin.
Entitlement management -palvelu sisältää seuraavat ominaisuudet:
Käyttöoikeuksien määrittäminen: Organisaatiot voivat määrittää käyttöoikeuksia käyttäjille ja ryhmille Azure AD:ssä. Käyttöoikeudet voidaan määrittää sovelluksiin, palveluihin tai resursseihin.
Käyttöoikeuksien hyväksyntä: Käyttäjät voivat pyytää käyttöoikeuksia organisaation määrittämiin sovelluksiin ja palveluihin. Organisaatiot voivat hyväksyä tai hylätä käyttöoikeuspyynnöt.
Käyttöoikeusmyöntöjen valvonta: Organisaatiot voivat seurata käyttöoikeuksien käyttöä ja poistaa käyttöoikeuksia tarpeen mukaan.
Käyttöoikeuksien automaattinen poistaminen: Entitlement management -palvelu voi automaattisesti poistaa käyttöoikeuksia käyttäjiltä, joiden käyttöoikeudet ovat vanhentuneet tai jotka eivät enää tarvitse käyttöoikeuksia tiettyihin sovelluksiin tai palveluihin.
Yleisesti ottaen Azure AD entitlement management auttaa organisaatioita hallitsemaan käyttöoikeuksia pilvipalveluihin ja sovelluksiin tehokkaasti ja turvallisesti.
Microsoft Identity Manager
Tuomaksen visiota ja kommentteja
Listataan eri vaihtoehtoja MIM:in korvaajaksi (Azure AD, muita?)
Sen lisäksi selvästi numeroituna vaiheet mitä yrityksen tulisi tehdä ennen siirtymistä.
Loppuun autamme yritystäsi suunnittelutyössä, ota yhteyttä
Tunnistuspalvelu, eli Identity Provider (IdP) on OpenId Connect (OIDC) ja SAML2 -tunnistuskäytänteitä toteuttava palvelu, joka tunnistaa käyttäjät mahdollistaen heidän pääsynsä järjestelmiin ja sovelluksiin. IdP:n avulla voidaan toteuttaa kertakirjautuminen (Single Sign On – SSO), jonka avulla käyttäjä pääsee yhden tunnistustapahtuman perusteella käyttämään kaikkia tunnistamisen piiriin kuuluvia sovelluksia ilman eri tunnistautumista.
IdP kytkeytyy tunnistusmenetelmiin tarpeen mukaan. WeAre on toteuttanut tunnistamisen välityspalvelumallin, jossa tukeudutaan olemassaoleviin OIDC-tunnistuslähteisiin (esim. Azure AD, Google, Facebook jne). Tunnistusmenetelmien tuottamaa käyttäjätietoa voidaan rikastaa muista lähteistä, kuten organisaation IdM-järjestelmästä.
IdP on toteutettu avoimen lähdekoodin Shibboleth Identity Provider -ohjelmistolla.
Tunnistamisen rikastaminen
Tunnistamisen kulkuun on mahdollista toteuttaa vaiheita, joissa tunnistusmenetelmästä saatavan käyttäjän yksilöintitiedon oheen lisätään käyttäjätietoa ulkoisista lähteistä. Esimerkiksi, jos asiakkaan käyttäjien tunnistus on toteutettu Azure AD -tunnistuspalveluun tukeutuen, mutta käyttäjien roolitieto on tallennettu erilliseen järjestelmään, voidaan varsinaisen tunnistustapahtuman jälkeen hakea roolitieto toisesta järjestelmästä (esim. CRM) ja lisätä se tunnistukseen tukeutuvaan palveluun luovutettaan tunnistusvastaukseen. Ratkaisu käyttäjän pääsystä sovellukseen voidaan tehdä roolitiedon perusteella.
Tunnistustiedon rikastaminen tunnistustapahtuman yhteydessä säästää erillisen synkronoinnin toteuttamisen palveluun, kun käyttäjärooli välitetään tunnistustapahtuman yhteydessä.

Tunnistusadapteri
Asiakkaalla saattaa olla käytössään tunnistusmenetelmänä järjestelmä, joka ei ole yhteensopiva tunnistukseen tukeutuvan palvelun kanssa. Tyypillisesti asiakkaalla on SAML2-tunnistusratkaisu, mutta palveluun on toteutettu vain OIDC-pääsynhallinta. Tai tapaus voi olla päin vastoin.
Tunnistuspalvelu voi toimia adapterina, eli välittäjänä, jossa tunnistusmenetelmä sovitetaan palvelulle siinä muodossa, kuin mihin siinä on valmiit ratkaisut. Myös kovin omintakeisetkin palvelut voidaan monesti suojata tunnistamisella, vaikka niihin ei alun perin olisikaan toteutettu kertakirjautumisen menetelmää tai kytkentää moderneihin tunnistusprotokolliin.
