Pilvihakemisto pitää käyttäjistäsi parhaiten huolta – laita Entra ID (ent. Azure AD) identiteetinhallinnan keskiöön

Tietoturva

Avainsanat:

Onko paikallisen AD-käyttäjähakemiston aika ohi? Onko erilliselle identiteetinhallinnan järjestelmälle enää tarvetta? Näitä kysymyksiä mietitään monessa organisaatiossa. Entra ID (entinen Azure AD, Azure Active Directory) tarjoaa monet identiteetinhallinnan perustoiminnot sisäänrakennettuna, ilman erillistä kustannusta ja jatkuvasti kehittyvinä moderneina versioina.

Tämä blogi on päivitetty vuonna 2024.

Identiteetinhallinnan lyhyt historia


Perinteinen organisaatio-IT:n käyttäjätunnuksen luontiprosessi noudattaa usein samaa kaavaa. Pienimmissä organisaatioissa käyttäjätunnus luodaan käsin paikalliseen AD:hen. Keskikokoisissa yrityksissä luontiprosessi tapahtuu automaattisesti HR-järjestelmän eräajojen perusteella.

Mitä suuremmaksi kasvetaan, sitä todennäköisemmin talosta alkaa löytyä erillinen identiteetinhallinta- eli IDM-järjestelmä. IDM-järjestelmän tehtävänä on luoda käyttäjäidentiteetti erillisiin järjestelmiin, huolehtia luvituksista sekä tarjota käyttöliittymiä tietojen päivittämiseen, oikeuksien pyytämiseen ja myöntämiseen – vain tärkeimmät mainitakseni.

Kun organisaatiot ottivat käyttöön Microsoftin pilvipalveluita, tarve pilvi-identiteeteille ratkaistiin synkronoimalla paikallisen AD:n tunnukset pilven käyttäjähakemistoon eli Entra ID:hen (ent. Azure AD), mutta arkkitehtuuriin ei tehty muita muutoksia. Nykyään Entra ID on kuitenkin hyvin erilainen palvelu, joka tarjoaa mahdollisuudet jopa todelliseen pilvipohjaiseen eli Cloud-First -malliin myös identiteettien osalta.

Entra ID – kaiken keskipiste


Entra ID:sta on kehittynyt paljon muutakin kuin käyttäjähakemisto. Se on nykyään hakemisto, johon myös liiketoimintajärjestelmät liitetään. Näin järjestelmiin voidaan järjestää tietoturvallinen pääsy moderneilla integraatioprotokollilla, huomattavan helposti ja järjestelmien sijainnista riippumatta.

Entra ID on myös entistä enemmän hakemisto päätelaitteiden hallinnalle. Moni organisaatio vähintäänkin pilotoi pilvipohjaista laitehallintaa, jossa laitteet hallitaan pääosin tai ainoastaan pilviteknologioilla. Monelle tulee silti yllätyksenä vaikka se, että Entra ID -liitetyllä laitteella voi saada kertakirjautumisen paikallisen AD:n resursseihin.

Uusia toimintoja Entra ID:n identiteetinhallintaan


Microsoftin vastaus identiteetinhallintajärjestelmän tarpeeseen on perinteisesti ollut Microsoft Identity Manager eli MIM. Microsoft on kuitenkin todennut, että vaikka MIM:n kehittämistä jatketaan, pidemmällä tähtäimellä identiteetinhallinnan toiminnot rakennetaan Entra ID:n toimintoina. Entra ID:ssa identiteetinhallinnan kokonaisuus rakentuu useasta erillisestä osatoiminnosta, joista tärkeimmät ovat:

  • Moni on kutsunut jo vieraskäyttäjiä Teams-tiimin osaksi. Siinä on hyvä esimerkki itsepalveluprosessista, joka on täysin upotettu sovelluskäyttöliittymään. Itsepalvelua voi viedä pidemmälle Entra ID:n omatoimisen salasanaresetoinnin ja ryhmien itsepalveluhallinnan avulla.
  • Yhä useampi organisaatio siirtyy käyttämään E5 Security -tason lisenssejä. Sitä kautta organisaatio saa käyttöönsä Access reviews -toiminnon, joka mahdollistaa säännölliset katselmoinnit ja siivoukset vaikka organisaation vieraskäyttäjiin. Lue Access reviews -toiminnosta lisää Laura Kokkarisen blogista
  • Monelle on tuttu JIT PIM -toiminto, joka mahdollistaa pääkäyttäjätunnusten hetkittäisen aktivoinnin ja pyyntöprosessin. Tämä olisi hyödynnettävissä myös Azuren RBAC-pääkäyttäjäoikeuksien hallintaan.
  • Loppukäyttäjien näkökulmasta harvoin hyödynnetty avaintoiminto on Entitlement Management, joka mahdollistaa erilaisten roolikohtaisten oikeuspakettien määrittämisen ja hakuprosessin toteuttamisen.
  • Entra ID mahdollistaa minkä tahansa HR-järjestelmän suoran liitoksen – tuettuja ovat esimerkiksi Workday ja SAP:n SuccessFactors. Tämä on todella olennainen tekijä siinä, että käyttäjän luontiprosessi saadaan aidosti pilvipohjaiseksi. Käyttäjä syntyy HR-järjestelmästä suoraan Entra IDhen, jolloin mutkaa paikallisen AD:n kautta ei enää tarvita.

Mistä lähteä liikkeelle?


Uskaltaako kaiken laskea pilven varaan? Koska Entra ID on kasvanut yhä tärkeämmäksi osaksi arkkitehtuuria, nosti Microsoft Entra ID:n palvelutasolupauksen eli SLA:n 99,99 % tasolle.

Harva organisaatio on vielä katkaissut napanuoraa paikalliseen AD:hen käyttäjätunnusten osalta, vaikka sovellukset ja päätelaitteet ovat jo pilvipohjaisiksi siirtyneet. Matkaa täyteen pilvimalliin kannattaa jo alkaa luonnostelemaan, sillä kuten edellä kuvasin, Entra ID:ssa on useita identiteetinhallinnan toimintoja, joilla tämän päivän tarpeita saa jo virtaviivaistettua.

Laita identiteetinhallinnan uudistustiekartta tehtävälistallesi – meiltä saat siihen asiantuntevimman avun! Microsoft 365 -asiakkailla on parhaat mahdollisuudet varmistaa mm. Azuren turvallinen hallinta, päätelaitteiden suojaus, loppukäyttäjien identiteetti ja M365-palveluiden sekä muiden liiketoimintasovellusten turvallinen käyttö.

Tutustu palveluihimme

Tutustu tietoturvapalveluihimme, ota rohkeasti yhteyttä, kutsu meidät käymään ja ala hyödyntämään pilven tuomaa turvaa omassa ympäristössäsi!

Tutustu tietoturvapalveluihin

Katso webinaaritallenne: Välineet modernin tietoturvan rakentamiseen

Moderneihin tietoturvauhkiin ja vaatimuksiin vastaaminen on kiinteä osa riskienhallintaa. Valtavien datamassojen edessä huomaa kuitenkin nopeasti, että tämä edellyttää moderneja työtapoja ja -välineitä. Välineiden avulla mm. suojaudut uhilta ja laajennat käyttäjätietojen suojausta integroidulla ja automatisoidulla suojauksella, jotta voit estää vahingot hyökkäyksen tapahtuessa.

Tilaa maksuton webinaaritallenne, jossa asiantuntijamme käyvät läpi joukon keskeisiä välineitä kuten Microsoft 365 Defender, Microsoft Sentinel ja Azure AD sekä luovat katsauksen lisensseihin.

Tilaa tallenne