Microsoft Entra 角色的最佳做法

  • 文章

本文說明使用 Microsoft Entra 角色型存取控制 (Microsoft Entra RBAC) 的一些最佳做法。 這些最佳做法衍生自我們的 Microsoft Entra RBAC 體驗,以及像您這樣的客戶體驗。 我們也建議您閱讀我們在 Microsoft Entra ID 中保護混合式和雲端部署的特殊許可權存取的詳細安全性指引

1.套用最低許可權原則

規劃存取控制策略時,最佳做法是以最低權限管理。 最低權限表示您只授與管理員完成其工作所需的權限。 將角色指派給管理員時,有三個層面需考慮:一組具體權限、涵蓋具體範圍、適用具體期間。 即便一開始操作可能較方便,仍應避免以較廣泛的範圍指派較廣泛的角色。 藉由限制角色和範圍,萬一安全性主體遭到入侵,承受風險的資源仍可得到控制。 Microsoft Entra RBAC 支援超過 65 個內建角色。 有 Microsoft Entra 角色可以管理目錄物件,例如使用者、群組和應用程式,以及管理 Exchange、SharePoint 和 Intune 等 Microsoft 365 服務。 若要進一步瞭解 Microsoft Entra 內建角色,請參閱 瞭解 Microsoft Entra 標識符中的角色。 如果沒有符合您需求的內建角色,您可以建立自己的自訂角色

尋找正確的角色

請遵循下列步驟來協助您找到正確的角色。

  1. 登入 Microsoft Entra 系統管理中心

  2. 流覽至 [身分>識別角色] 和 [系統管理員>角色] 和 [系統管理員]。

  3. 使用服務篩選來縮小角色清單的範圍。

    Roles and administrators page in admin center with Service filter open.

  4. 請參閱 Microsoft Entra 內建角色檔。 每個角色相關聯的許可權會一起列出,以提升可讀性。 若要了解角色權限的結構和意義,請參閱如何了解角色權限

  5. 依工作文件參閱最低特殊許可權角色。

2.使用 Privileged Identity Management 授與 Just-In-Time 存取權

最低許可權的其中一個原則是,只有在需要時才應授與存取權。 Microsoft Entra Privileged Identity Management (PIM) 可讓您將 Just-In-Time 存取權授與系統管理員。 Microsoft 建議您在 Microsoft Entra ID 中使用 PIM。 使用 PIM 時,用戶可以獲得 Microsoft Entra 角色的資格,然後在需要時啟用角色。 超過時間範圍時,系統會自動移除特殊權限存取權。 您也可以將 PIM 設定設定為需要核准、在有人啟用其角色指派或其他角色設定時接收通知電子郵件。 有新使用者新增至高度特殊權限角色時,通知會提供警示。 如需詳細資訊,請參閱 在 Privileged Identity Management 中設定 Microsoft Entra 角色設定。

3. 開啟所有系統管理員帳戶的多重要素驗證

根據我們的研究,如果您使用多重要素驗證(MFA),您的帳戶可能會降低 99.9%。

您可以使用兩種方法在 Microsoft Entra 角色上啟用 MFA:

4. 設定週期性存取權檢閱,以撤銷一段時間內不需要的權限

存取權檢閱可讓組織定期檢閱系統管理員的存取權,以確保只有適當的人員可以繼續存取。 定期稽核您的系統管理員非常重要,原因如下:

  • 惡意執行者可能會危害帳戶。
  • 公司內小組人員調動。 如果沒有進行稽核,一段時間後可能會積累不必要的存取權。

Microsoft 建議您使用存取權檢閱來尋找並移除不再需要的角色指派。 這可協助您降低未經授權或過度存取的風險,並維護您的合規性標準。

如需角色存取權檢閱的相關信息,請參閱 在 PIM 中建立 Azure 資源和 Microsoft Entra 角色的存取權檢閱。 如需指派角色之群組存取權檢閱的相關信息,請參閱 在 Microsoft Entra ID 中建立群組和應用程式的存取權檢閱。

5. 將全域 管理員 原則的數目限製為小於 5

Microsoft 建議的最佳做法是將全域管理員角色指派給組織中的五人以下。 全球 管理員 主義者基本上有不受限制的存取權,保持受攻擊面低是符合您最大的利益。 如先前所述,所有這些帳戶都應該受到多重要素驗證的保護。

如果您有 5 個以上的特殊許可權全域 管理員 istrator 角色指派,則會在 Microsoft Entra 概觀頁面上顯示全域 管理員 istrators 警示卡片,以協助您監視全域 管理員 istrator 角色指派。

Screenshot of the Microsoft Entra Overview page that shows a card with the number of privileged role assignments.

根據預設,當用戶註冊 Microsoft 雲端服務時,會建立 Microsoft Entra 租使用者,並將全域 管理員 istrators 角色指派給使用者。 獲指派全域 管理員 istrator 角色的用戶幾乎可以讀取和修改 Microsoft Entra 組織中幾乎所有的系統管理設定。 但也有幾個例外,如全域管理員也可以讀取並修改您 Microsoft 365 組織中的所有設定。 全域 管理員 管理員也能夠提高其讀取數據的存取權。

Microsoft 建議您保留兩個永久指派給全域管理員角色的緊急存取帳戶。 請確定這些帳戶不需要與您的一般系統管理帳戶相同的多重要素驗證機制來登入,如管理 Microsoft Entra ID 中的緊急存取帳戶中所述

6.將特殊許可權角色指派的數目限制為小於 10

某些角色包含特殊許可權,例如更新認證的能力。 由於這些角色可能會導致特權提升,因此您應該將這些特殊許可權角色指派的使用限制在 組織中少於10 個。 如果您超過 10 個特殊許可權角色指派,則會在 [角色和系統管理員] 頁面上顯示警告。

Screenshot of the Microsoft Entra roles and administrators page that shows the privileged role assignments warning.

您可以尋找 PRIVILEGED 標籤辨識具有特殊許可權的角色、許可權和角色指派。 如需詳細資訊,請參閱 Microsoft Entra ID 中的特殊許可權角色和許可權。

7.針對 Microsoft Entra 角色指派使用群組,並委派角色指派

如果您有利用群組的外部控管系統,則您應該考慮將角色指派給 Microsoft Entra 群組,而不是個別使用者。 您也可以在 PIM 中管理可指派角色的群組,確保這些特殊權限群組中沒有任何永久擁有者或成員。 如需詳細資訊,請參閱 群組的特殊許可權身分識別管理 (PIM)。

您可以將擁有者指派給角色可指派的群組。 該擁有者可決定要在群組中新增或移除的人,因此間接決定了誰取得角色指派。 如此一來,全域管理員或特殊權限角色管理員就可以使用群組,根據每個角色來委派角色管理。 如需詳細資訊,請參閱 使用 Microsoft Entra 群組來管理角色指派

8.使用群組的 PIM 一次啟用多個角色

可能是個人透過 PIM 對 Microsoft Entra 角色有五或六個合格指派的情況。 他們將必須個別啟用每個角色,這麼做可能會降低生產力。 更糟的是,他們也可能獲得數十或數百個 Azure 資源指派,使得問題更加惡化。

在此情況下,您應該針對群組使用 Privileged Identity Management (PIM)。 建立群組的 PIM,並將其永久存取權授與多個角色(Microsoft Entra ID 和/或 Azure)。 讓該使用者成為此群組的合格成員或擁有者。 只要啟用一次,就可以存取所有已連結的資源。

PIM for Groups diagram showing activating multiple roles at once

9.針對 Microsoft Entra 角色使用雲端原生帳戶

避免針對 Microsoft Entra 角色指派使用內部部署同步帳戶。 如果您的內部部署帳戶遭到入侵,也可以危害您的 Microsoft Entra 資源。

下一步