Wprowadzenie do delegowanych środowisk administracyjnych i izolowanych

Architektura firmy Microsoft Entra z jedną dzierżawą z administracją delegowana często jest odpowiednia dla oddzielania środowisk. Twoja organizacja może wymagać stopnia izolacji, który nie jest możliwy w jednej dzierżawie.

W tym artykule ważne jest zrozumienie:

• Operacja i funkcja pojedynczej dzierżawy
• Jednostki administracyjne (AU) w identyfikatorze Entra firmy Microsoft
• Relacje między zasobami platformy Azure i dzierżawami firmy Microsoft Entra
• Wymagania dotyczące izolacji dysków

Dzierżawa firmy Microsoft Entra jako granica zabezpieczeń

Dzierżawa firmy Microsoft Entra zapewnia funkcje zarządzania tożsamościami i dostępem (IAM) do aplikacji i zasobów dla organizacji.

Tożsamość jest obiektem katalogu uwierzytelnianym i autoryzowanym do uzyskiwania dostępu do zasobu. Istnieją obiekty tożsamości dla tożsamości ludzkich i nieludzkich. Aby odróżnić, tożsamości ludzkie są określane jako tożsamości, a tożsamości nieludzkie to tożsamości obciążeń. Nieludzkie jednostki obejmują obiekty aplikacji, jednostki usługi, tożsamości zarządzane i urządzenia. Ogólnie rzecz biorąc, tożsamość obciążenia jest przeznaczony dla jednostki oprogramowania do uwierzytelniania w systemie.

• Identity — obiekty reprezentujące ludzi
• Tożsamość obciążenia — tożsamości obciążeń to aplikacje, jednostki usługi i tożsamości zarządzane.
  • Tożsamość obciążenia uwierzytelnia się i uzyskuje dostęp do innych usług i zasobów

Aby uzyskać więcej informacji, dowiedz się więcej o tożsamościach obciążeń.

Dzierżawa firmy Microsoft Entra to granica zabezpieczeń tożsamości kontrolowana przez administratorów. W tej granicy zabezpieczeń administrowanie subskrypcjami, grupami zarządzania i grupami zasobów można delegować do segmentowanej kontroli administracyjnej zasobów platformy Azure. Te grupy zależą od konfiguracji zasad i ustawień dla całej dzierżawy.

Identyfikator Entra firmy Microsoft przyznaje obiektom dostęp do aplikacji i zasobów platformy Azure. Zasoby i aplikacje platformy Azure, które ufają identyfikatorowi Entra firmy Microsoft, można zarządzać za pomocą identyfikatora Entra firmy Microsoft. Zgodnie z najlepszymi rozwiązaniami skonfiguruj środowisko przy użyciu środowiska testowego.

Dostęp do aplikacji korzystających z identyfikatora Entra firmy Microsoft

Udzielanie tożsamościom dostępu do aplikacji:

• Usługi zwiększające produktywność firmy Microsoft, takie jak Exchange Online, Microsoft Teams i SharePoint Online
• Usługi IT firmy Microsoft, takie jak Azure Sentinel, Microsoft Intune i Microsoft Defender Advanced Threat Protection (ATP)
• Narzędzia deweloperskie firmy Microsoft, takie jak Azure DevOps i Microsoft Graph API
• Rozwiązania SaaS, takie jak Salesforce i ServiceNow
• Aplikacje lokalne zintegrowane z funkcjami dostępu hybrydowego, takimi jak serwer proxy aplikacji Firmy Microsoft Entra
• Aplikacje niestandardowe

Aplikacje korzystające z identyfikatora Entra firmy Microsoft wymagają konfiguracji obiektów katalogu i zarządzania nimi w zaufanej dzierżawie firmy Microsoft Entra. Przykłady obiektów katalogu obejmują rejestracje aplikacji, jednostki usługi, grupy i rozszerzenia atrybutów schematu.

Dostęp do zasobów platformy Azure

Przyznawanie ról użytkownikom, grupom i obiektom jednostki usługi (tożsamościom obciążeń) w dzierżawie firmy Microsoft Entra. Aby dowiedzieć się więcej, zobacz Kontrola dostępu oparta na rolach (RBAC) platformy Azure i Kontrola dostępu oparta na atrybutach (ABAC) platformy Azure.

Użyj kontroli dostępu opartej na rolach platformy Azure, aby zapewnić dostęp na podstawie roli określonej przez podmiot zabezpieczeń, definicję roli i zakres. Usługa Azure ABAC dodaje warunki przypisywania ról na podstawie atrybutów akcji. Aby uzyskać bardziej szczegółową kontrolę dostępu, dodaj warunek przypisania roli. Uzyskaj dostęp do zasobów platformy Azure, grup zasobów, subskrypcji i grup zarządzania z przypisanymi rolami RBAC.

Zasoby platformy Azure, które obsługują tożsamości zarządzane, umożliwiają uwierzytelnianie, uzyskiwanie dostępu do zasobów i uzyskiwanie przypisanych ról do innych zasobów w granicach dzierżawy firmy Microsoft Entra.

Aplikacje korzystające z identyfikatora Entra firmy Microsoft do logowania mogą korzystać z zasobów platformy Azure, takich jak zasoby obliczeniowe lub magazyn. Na przykład aplikacja niestandardowa, która działa na platformie Azure i ufa identyfikatorowi Entra firmy Microsoft na potrzeby uwierzytelniania, ma obiekty katalogów i zasoby platformy Azure. Zasoby platformy Azure w dzierżawie firmy Microsoft Entra wpływają na limity przydziału i limity platformy Azure dla całej dzierżawy.

Dostęp do obiektów katalogu

Tożsamości, zasoby i ich relacje są reprezentowane jako obiekty katalogu w dzierżawie firmy Microsoft Entra. Przykłady obejmują użytkowników, grupy, jednostki usługi i rejestracje aplikacji. Zestaw obiektów katalogu w granicy dzierżawy firmy Microsoft Entra umożliwia wykonanie następujących czynności:

• Widoczność: tożsamości mogą odnajdywać lub wyliczać zasoby, użytkowników, grupy, dostęp do raportowania użycia i dzienniki inspekcji na podstawie uprawnień. Na przykład członek katalogu może odnaleźć użytkowników w katalogu przy użyciu domyślnych uprawnień użytkownika identyfikatora Firmy Microsoft.

• Wpływ na aplikacje: w ramach logiki biznesowej aplikacje mogą manipulować obiektami katalogu za pomocą programu Microsoft Graph. Typowe przykłady obejmują odczytywanie lub ustawianie atrybutów użytkownika, aktualizowanie kalendarza użytkownika, wysyłanie wiadomości e-mail w imieniu użytkowników itd. Potrzebna jest zgoda, aby zezwolić aplikacjom na wpływ na dzierżawę. Administratorzy mogą wyrazić zgodę na wszystkich użytkowników. Aby uzyskać więcej informacji, zobacz uprawnienia i zgoda w Platforma tożsamości Microsoft.

• Ograniczanie przepustowości i limity usług: zachowanie środowiska uruchomieniowego zasobu może wyzwolić ograniczanie przepustowości, aby zapobiec nadmiernemu użyciu lub pogorszeniu wydajności usługi. Ograniczanie przepustowości może wystąpić na poziomie aplikacji, dzierżawy lub całego poziomu usługi. Ogólnie rzecz biorąc, występuje, gdy aplikacja ma dużą liczbę żądań w dzierżawach lub w różnych dzierżawach. Podobnie istnieją limity i ograniczenia usługi Entra firmy Microsoft, które mogą mieć wpływ na zachowanie środowiska uruchomieniowego aplikacji.

  Uwaga

  Zachowaj ostrożność z uprawnieniami aplikacji. Na przykład w usłudze Exchange Online zakres uprawnień aplikacji do skrzynek pocztowych i uprawnień.

Jednostki administracyjne do zarządzania rolami

Jednostki administracyjne ograniczają uprawnienia w roli do części organizacji. Możesz użyć jednostek administracyjnych, aby delegować rolę administratora pomocy technicznej do regionalnych specjalistów pomocy technicznej, aby mogli zarządzać użytkownikami w regionie, w którym są one obsługiwane. Jednostka administracyjna to zasób Microsoft Entra, który może być kontenerem dla innych zasobów Microsoft Entra. Jednostka administracyjna może zawierać:

• Użytkownicy
• Grupy
• Urządzenia

Na poniższym diagramie jednostka AU segmentuje dzierżawę firmy Microsoft Entra w oparciu o strukturę organizacyjną. Takie podejście jest przydatne, gdy jednostki biznesowe lub grupy przydzielają dedykowany personel pomocy technicznej IT. Użyj jednostek AU, aby zapewnić uprawnienia uprzywilejowane ograniczone do jednostki administracyjnej.

Aby uzyskać więcej informacji, zobacz Jednostki administracyjne w usłudze Microsoft Entra ID.

Typowe przyczyny izolacji zasobów

Czasami izolujesz grupę zasobów z innych zasobów ze względów bezpieczeństwa, takich jak zasoby z unikatowymi wymaganiami dostępu. Ta akcja jest dobrym przypadkiem użycia dla jednostek AU. Określ użytkowników i dostęp do zasobów podmiotu zabezpieczeń oraz w rolach. Przyczyny izolowania zasobów:

• Zespoły deweloperów muszą bezpiecznie iterować. Jednak programowanie i testowanie aplikacji zapisywanych w identyfikatorze Entra firmy Microsoft może mieć wpływ na dzierżawę firmy Microsoft Entra za pomocą operacji zapisu:
  • Nowe aplikacje, które mogą zmieniać zawartość usługi Office 365, taką jak witryny programu SharePoint, OneDrive, Microsoft Teams itd.
  • Aplikacje niestandardowe, które mogą zmieniać dane użytkownika za pomocą programu MS Graph lub podobnych interfejsów API na dużą skalę. Na przykład aplikacje przyznane Directory.ReadWrite.All.
  • Skrypty DevOps, które aktualizują duże zestawy obiektów
  • Deweloperzy aplikacji zintegrowanych firmy Microsoft Entra muszą tworzyć obiekty użytkownika na potrzeby testowania. Obiekty użytkownika nie mają dostępu do zasobów produkcyjnych.
• Zasoby i aplikacje platformy Azure nieprodukcyjne, które mogą mieć wpływ na inne zasoby. Na przykład nowa aplikacja SaaS wymaga izolacji od wystąpienia produkcyjnego i obiektów użytkownika
• Zasoby tajne, które mają być chronione przed odnajdywaniem, wyliczaniem lub przejęciem przez administratorów

Konfiguracja w dzierżawie

Ustawienia konfiguracji w identyfikatorze Entra firmy Microsoft mogą mieć wpływ na zasoby w dzierżawie firmy Microsoft za pomocą docelowych lub akcji zarządzania obejmujących całą dzierżawę:

• Tożsamości zewnętrzne: administratorzy identyfikują i kontrolują tożsamości zewnętrzne do aprowizacji w dzierżawie
  • Czy zezwalać na tożsamości zewnętrzne w dzierżawie
  • Z których domen są dodawane tożsamości zewnętrzne
  • Czy użytkownicy mogą zapraszać użytkowników z innych dzierżaw
• Nazwane lokalizacje: Administratorzy tworzą nazwane lokalizacje w celu:
  • Blokuj logowanie z lokalizacji
  • Wyzwalanie zasad dostępu warunkowego, takich jak uwierzytelnianie wieloskładnikowe
  • Obejście wymagań dotyczących zabezpieczeń
• Opcje samoobsługi: Administratorzy ustawiają samoobsługowe resetowanie hasła i tworzą grupy platformy Microsoft 365 na poziomie dzierżawy

Jeśli nie są zastępowane przez zasady globalne, możesz określić zakres niektórych konfiguracji dla całej dzierżawy:

• Konfiguracja dzierżawy umożliwia tożsamości zewnętrzne. Administrator zasobów może wykluczyć te tożsamości z dostępu.
• Konfiguracja dzierżawy umożliwia rejestrację urządzeń osobistych. Administrator zasobów może wykluczyć urządzenia z dostępu.
• Skonfigurowane są nazwane lokalizacje. Administrator zasobów może skonfigurować zasady zezwalania lub wykluczania dostępu.

Typowe przyczyny izolacji konfiguracji

Konfiguracje kontrolowane przez administratorów wpływają na zasoby. Chociaż niektóre konfiguracje dla całej dzierżawy mogą być ograniczone do zasad, które nie są stosowane lub częściowo stosowane do zasobu, inne nie mogą. Jeśli zasób ma unikatową konfigurację, izoluj go w oddzielnej dzierżawie. Oto kilka przykładów:

• Zasoby z wymaganiami, które powodują konflikt z zabezpieczeniami lub stanami współpracy dla całej dzierżawy
  • Na przykład dozwolone typy uwierzytelniania, zasady zarządzania urządzeniami, samoobsługa, weryfikacja tożsamości dla tożsamości zewnętrznych itp.
• Wymagania dotyczące zgodności, które mają zakres certyfikacji dla całego środowiska
  • Ta akcja obejmuje wszystkie zasoby i dzierżawę firmy Microsoft Entra, szczególnie w przypadku konfliktu wymagań z innymi zasobami organizacyjnymi lub wykluczania ich
• Wymagania dotyczące dostępu użytkowników zewnętrznych, które powodują konflikt z zasadami produkcyjnymi lub poufnymi zasobami
• Organizacje obejmujące wiele krajów lub regionów oraz firmy hostowane w dzierżawie firmy Microsoft Entra.
  • Na przykład ustawienia i licencje używane w krajach, regionach lub firmach zależnych

Administrowanie dzierżawą

Tożsamości z rolami uprzywilejowanymi w dzierżawie firmy Microsoft Entra mają wgląd i uprawnienia do wykonywania zadań konfiguracji opisanych w poprzednich sekcjach. Administracja obejmuje własność obiektów tożsamości, takich jak użytkownicy, grupy i urządzenia. Obejmuje również implementację konfiguracji obejmujących całą dzierżawę na potrzeby uwierzytelniania, autoryzacji itd.

Administrowanie obiektami katalogu

Administratorzy zarządzają sposobem uzyskiwania dostępu do zasobów przez obiekty tożsamości i w jakich okolicznościach. Wyłączają również, usuwają lub modyfikują obiekty katalogu na podstawie ich uprawnień. Obiekty tożsamości obejmują:

• Tożsamości organizacyjne, takie jak następujące, są reprezentowane przez obiekty użytkownika:
  • Administratorzy
  • Użytkownicy w organizacji
  • Deweloperzy organizacyjni
  • Konta usług
  • Użytkownicy testowi
• Tożsamości zewnętrzne reprezentują użytkowników spoza organizacji:
  • Partnerzy, dostawcy lub dostawcy aprowizowani przy użyciu kont w środowisku organizacji
  • Partnerzy, dostawcy lub dostawcy aprowizowani za pomocą współpracy B2B na platformie Azure
• Grupy są reprezentowane przez obiekty:
  • Grupy zabezpieczeń
  • Grupy platformy Microsoft 365
  • Grupy dynamiczne
  • Jednostki administracyjne
• Urządzenia są reprezentowane przez obiekty:
  • Urządzenia dołączone hybrydo do firmy Microsoft Entra. Komputery lokalne synchronizowane ze środowiska lokalnego.
  • Urządzenia dołączone do usługi Microsoft Entra
  • Firma Microsoft Entra zarejestrowanych urządzeń przenośnych używanych przez pracowników do uzyskiwania dostępu do aplikacji w miejscu pracy
  • Firma Microsoft Entra zarejestrowała urządzenia na poziomie starszym (starsza wersja). Na przykład Windows 2012 R2.
• Tożsamości obciążeń
  • Tożsamości zarządzane
  • Jednostki usługi
  • Aplikacje

W środowisku hybrydowym tożsamości są zwykle synchronizowane ze środowiska lokalnego przy użyciu programu Microsoft Entra Connect.

Administrowanie usługami obsługi tożsamości

Administratorzy z pewnymi uprawnieniami zarządzają sposobem implementowania zasad dla całej dzierżawy dla grup zasobów, grup zabezpieczeń lub aplikacji. Podczas rozważania administrowania zasobami należy pamiętać o następujących przyczynach grupowania zasobów lub odizolowania ich.

• Administratorzy globalni kontrolują subskrypcje platformy Azure połączone z dzierżawą
• Tożsamości przypisane do roli Administrator uwierzytelniania wymagają ponownego wyrejestrowania na potrzeby uwierzytelniania wieloskładnikowego lub uwierzytelniania Fast IDentity Online (FIDO).
• Administratorzy dostępu warunkowego tworzą zasady dostępu warunkowego dla logowania użytkowników do aplikacji z urządzeń należących do organizacji. Ci administratorzy mają zakres konfiguracji. Jeśli na przykład tożsamości zewnętrzne są dozwolone w dzierżawie, mogą wykluczyć dostęp do zasobów.
• Administratorzy aplikacji w chmurze wyrażają zgodę na uprawnienia aplikacji w imieniu użytkowników

Typowe przyczyny izolacji administracyjnej

Kto powinien administrować środowiskiem i jego zasobami? Czasami administratorzy jednego środowiska nie mają dostępu do innego środowiska:

• Rozdzielenie obowiązków administracyjnych dla całej dzierżawy w celu ograniczenia ryzyka błędów zabezpieczeń i operacyjnych wpływających na krytyczne zasoby
• Przepisy, które ograniczają, kto może administrować środowiskiem, na podstawie warunków takich jak obywatelstwo, pobyt, poziom odprawy itd.

Zagadnienia związane z zabezpieczeniami i operacjami

Biorąc pod uwagę współzależność między dzierżawą firmy Microsoft Entra i jej zasobami, ważne jest, aby zrozumieć zagrożenia bezpieczeństwa i działania związane z naruszeniem lub błędem. Jeśli pracujesz w środowisku federacyjnym z zsynchronizowanymi kontami, naruszenie zabezpieczeń lokalnych może prowadzić do naruszenia zabezpieczeń identyfikatora Entra firmy Microsoft.

• Naruszenie zabezpieczeń tożsamości: w granicach dzierżawy tożsamości mają przypisaną dowolną rolę, jeśli administrator zapewniający dostęp ma wystarczające uprawnienia. Chociaż wpływ naruszonych tożsamości nieuprzywilejowanych jest w dużej mierze zawarty, naruszenie zabezpieczeń administratorów może powodować szerokie problemy. Na przykład w przypadku naruszenia zabezpieczeń konta z wysokimi uprawnieniami zasoby platformy Azure mogą zostać naruszone. Aby ograniczyć ryzyko naruszenia zabezpieczeń tożsamości lub nieprawidłowych podmiotów, zaimplementuj administrację warstwową i postępuj zgodnie z zasadami najniższych uprawnień dla ról administratora firmy Microsoft Entra. Utwórz zasady dostępu warunkowego wykluczające konta testowe i testujące jednostki usługi z uzyskiwania dostępu do zasobów poza aplikacjami testowymi. Aby uzyskać więcej informacji na temat strategii dostępu uprzywilejowanego, zobacz privileged access: strategy (Uprzywilejowany dostęp: strategia).
• Naruszenie zabezpieczeń środowiska federacyjnego
• Zaufanie do naruszenia zabezpieczeń zasobów: każdy składnik zabezpieczeń dzierżawy firmy Microsoft Entra ma wpływ na zasoby zaufania na podstawie uprawnień na poziomie dzierżawy i zasobu. Uprawnienia zasobu określają wpływ naruszonego składnika. Zasoby zintegrowane w celu wykonywania operacji zapisu mogą mieć wpływ na całą dzierżawę. Przestrzeganie wskazówek zero trust może pomóc ograniczyć skutki naruszenia zabezpieczeń.
• Tworzenie aplikacji: na wczesnym etapie cyklu tworzenia aplikacji istnieje ryzyko z uprawnieniami do pisania do identyfikatora Entra firmy Microsoft. Usterki mogą zapisywać zmiany przypadkowo w obiektach firmy Microsoft Entra. Aby dowiedzieć się więcej, zobacz Platforma tożsamości Microsoft najlepsze rozwiązania.
• Błąd operacyjny: Nieprawidłowe aktorzy i błędy operacyjne przez administratorów dzierżawy lub właścicieli zasobów pomagają powodować zdarzenia zabezpieczeń. Te zagrożenia występują w dowolnej architekturze. Użyj rozdzielenia obowiązków, administracji warstwowej, zasad najniższych uprawnień i przestrzegaj najlepszych rozwiązań. Unikaj korzystania z oddzielnej dzierżawy.

Zasady zerowego zaufania

Uwzględnij zasady Zero Trust w strategii projektowania identyfikatorów entra firmy Microsoft, aby poprowadzić bezpieczny projekt. Możesz objąć proaktywne zabezpieczenia za pomocą rozwiązania Zero Trust.

Następne kroki

• Microsoft Entra fundamentals (Podstawy firmy Microsoft)
• Podstawy zarządzania zasobami platformy Azure
• Izolacja zasobów w jednej dzierżawie
• Izolacja zasobów z wieloma dzierżawami
• Najlepsze praktyki