Traditionellt har organisationer säkrat sina identiteter och applikationer genom att lagra dem lokalt i en lokal miljö. Här hade endast auktoriserade användare tillgång till kritiska system. Men med övergången till molnet och införandet av hybrida infrastrukturer, där data flödar fritt mellan lokala och molnbaserade plattformar, har åtkomsthanteringen blivit betydligt mer komplex.

IAM-system (Identity & Access Management) spelar en viktig roll i moderna säkerhetsstrategier, men de räcker inte ensamma för att hantera alla utmaningar som är förenade med att skydda identiteter i en avancerad miljö som Microsoft Entra ID.

Vad är Microsoft Entra ID och vad gör det?

Microsoft Entra ID (tidigare känt som Azure AD) är Microsofts omfattande molnbaserade identitets- och åtkomsthanteringslösning. Entra ID hjälper organisationer att skydda åtkomst till applikationer och resurser över hela ekosystemet, inklusive Microsoft molntjänster och tredjepartsapplikationer.

Entra ID är utformat för att stödja en rad moderna arbetskrav, inklusive åtkomsthantering för interna anställda, externa partners, gästkonton, testkonton, administratörskonton och externa applikationer. Var och en av dessa identiteter har olika åtkomstbehov, och det är kritiskt att de är väl skyddade och bara har de nödvändiga rättigheterna som de faktiskt behöver.

Microsoft Entra ID erbjuder flera fördelar som både förbättrar säkerheten och effektiviteten för organisationer. Med funktioner som mångfaktorsautentisering (MFA) och villkorlig åtkomst skyddar det mot obehörig åtkomst. Single Sign-On (SSO) och applikationsintegrationer garanterar enkel och snabb tillgång, vilket förbättrar produktiviteten. Systemet kan anpassas till behoven hos både små och stora företag och stödjer olika användartyper, från anställda till externa partners. Som en del av Microsofts säkerhetstjänster spelar Microsoft Entra ID en viktig roll i att hantera och säkra identiteter i vår digitala värld.

Utmaningarna med Microsoft Entra ID är att det är nytt för många, mycket komplext och har många konfigurationsalternativ som beror på organisationens licensnivå.

En organisations data finns nu tillgängliga på internet, vilket ställer större krav på att känna till alla användarkonton den har och säkra dem väl. Detta är inte ett ansvar som en IT-avdelning kan axla själv. Det är upp till varje företagsledare att säkerställa att de följer rutinerna för att anställa, kontraktera, ändra och avsluta anställningar. För att assistera varje ledare i dessa aktiviteter tar ofta en HR-avdelning ansvar för dessa processer och rutiner.

För användartyper som anställda och inhyrda konsulter kommer ett "identity and access management"-system (IAM) ofta att hjälpa till att ta kontroll över att säkerställa att dessa aktiviteter utförs korrekt genom automatisering.

Hur fungerar ett IAM-system?

IAM-system integreras ofta med HR-system för att automatisera skapandet, modifieringen och raderingen av användaridentiteter. När nya medarbetare läggs till i HR-systemet kan IAM-systemet automatiskt skapa användarkonton och tilldela åtkomsträttigheter baserat på medarbetarens roll. Detta säkerställer en effektiv och säker introduktionsprocess.

Exempel på HR-driven provisionering med Microsoft Entra provisioneringstjänst.

I samarbete med Microsoft Entra ID kan IAM-systemet använda Entra ID:s robusta autentiserings- och auktoriseringsmekanismer för att ge tillgång till relevanta Microsoft- och tredjepartsapplikationer. När anställda byter roller eller lämnar företaget, uppdaterar HR-systemet IAM-systemet, som justerar eller tar bort åtkomsträttigheter. Detta säkerställer att åtkomst alltid är uppdaterad och i linje med företagets säkerhetspolicy och användarnas aktuella arbetsuppgifter.

Utmaningar med Entra ID vs. IAM

Så, vad kan gå fel?

Trots sina många fördelar får man inte tro att ett IAM-system löser alla utmaningar som en IT-avdelning står inför gällande att hålla koll på alla identiteter i Entra ID.

Identiteter i Entra ID skapas på olika sätt. Användare som kommer från ett HR-system och skapas via ett IAM-system är ofta välkontrollerade. Men det finns oftast också många identiteter som skapas direkt!

1. Brist på omfattande översikt: IAM-system tar bara kontroll över de användarkonton som tillhör personer definierade i HR-systemet, men i Entra ID finns mycket mer. Detta inkluderar gästkonton, testkonton, administratörskonton, externa användare och tjänstekonton. Detta kan leda till att man tappar koll på alla identiteter som har tillgång till systemen. Systemet städar inte heller upp alla historiska användarkonton i Entra ID, och det är fortfarande möjligt att skapa användarkonton direkt i Entra ID som inte är naturligt definierade i HR-systemet.

2. Komplex licens- och åtkomsthantering: Ett IAM-system kan tilldela licenser och rättigheter baserat på regeluppsättningar, men kan du kontrollera att reglerna fungerar som avsett? Vi har stött på företag som upptäcker att deras regeluppsättningar inte uppnår de önskade resultaten när de ser den faktiska användningen i deras Microsoft Entra ID-miljö.

Titta på vårt webinar (på norska), där vi förklarade mer om hur olika identiteter uppstår i Entra ID.

Slutsats

Medan ett IAM-system är användbart för att upprätthålla god kontroll över de nuvarande medarbetarnas användarkonton, kommer Microsoft Entra ID att innehålla många konton som inte hanteras av IAM-systemet. Entra ID styr rättigheter och tillgångar, och vilken identitet som än befinner sig där är en form av nyckel till IT-systemet med dess åtkomster. Därför är det kritiskt att veta vem de är, vad de gör, och hur de är säkrade. 

Med ett verktyg som ger insikt i alla identiteter i ditt Entra ID, vad de gör, och vilka åtkomster de har, kan du också säkerställa att IAM-verktygen faktiskt gör vad de är avsedda för de användarkonton de är konfigurerade att hantera. Du får värdefulla insikter som gör att du kan säkra identiteter och optimera licenskostnader, vilket ger flexibilitet och skalbarhet i den digitala eran.

Att implementera "nollförtroende"-principer hjälper inte om en illvillig aktör gissar rätt användarnamn och lösenordskombination för ett av dina gamla användarkonton, registrerar MFA och därmed uppfyller dessa principer. Därför måste du veta att användarkontot john.doe@organization.com faktiskt används av en person vid namn John och inte av en oäkta aktör.