使用 Microsoft Entra ID 保护组织的标识

  • 项目

在当今世界,尝试保护员工可能是件令人颇感头痛的事情,尤其是在需要快速响应并迅速提供对多种服务的访问时。 本文旨在提供一份简明列表,列出所有要采取的措施,从而帮助你根据所拥有许可证的类型来识别要部署的 Microsoft Entra 功能的顺序并确定其优先级。

Microsoft Entra ID 具备许多功能并为标识提供多层安全性,所以要找出相关功能有时会令人不知所措。 本文档旨在帮助组织快速部署服务,并将安全标识视为首要考虑因素。

每个表提供了一致的安全建议,以帮助保护标识免受常见的安全攻击,同时最大程度地减少用户冲突。

该指南有助于:

  • 以安全且受保护的方式配置对服务型软件 (SaaS) 和本地应用程序的访问
  • 云标识和混合标识
  • 远程办公用户或办公室中的用户

先决条件

本指南假定已在 Microsoft Entra ID 中建立了云专用标识或混合标识。 如果在选择标识类型时需要帮助,请查看为 Microsoft Entra 混合标识解决方案选择正确的身份验证 (AuthN) 方法一文。

引导式演练

有关本文中许多建议的引导式演练,请在登录到 Microsoft 365 管理中心时参阅设置 Microsoft Entra ID 指南。 如果要在不登录和激活自动设置的情况下查看最佳做法,请转到 Microsoft 365 设置门户

适用于 Microsoft Entra ID Free、Office 365 或 Microsoft 365 客户的指南

Microsoft Entra ID Free、Office 365 或 Microsoft 365 应用客户应采取许多建议来保护其用户标识。 下表旨在重点介绍用于以下许可证订阅的关键措施:

  • Office 365(Office 365 E1、E3、E5、F1、A1、A3、A5)
  • Microsoft 365 (商业基本版、商业应用版、商业标准版、商业高级版、A1)
  • Microsoft Entra ID Free(随 Azure、Dynamics 365、Intune 和 Power Platform 提供)
建议的操作 详细信息
启用安全默认值 通过启用多重身份验证和阻止旧身份验证来保护所有用户标识和应用程序。
启用密码哈希同步(如果使用混合标识) 为身份验证提供冗余并提高安全性(包括智能锁定、IP 锁定以及发现凭据泄露的功能)。
启用 ADFS 智能锁定(如果适用) 保护用户免受恶意活动导致的 Extranet 帐户锁定。
启用 Microsoft Entra ID 智能锁定(如果使用托管标识) 智能锁定功能可帮助锁定那些试图猜测用户密码或使用暴力方法进入的恶意行动者。
禁用应用程序的最终用户同意 管理员同意工作流为管理员提供了一种安全的方法来授予需要管理员批准的应用程序访问权限,因此最终用户不会公开公司数据。 Microsoft 建议禁用将来的所有用户许可操作有助于减小受攻击面并缓解此风险。
将库中受支持的 SaaS 应用程序集成到 Microsoft Entra ID 并启用单一登录 (SSO) Microsoft Entra ID 的某个库包含数千个预先集成的应用程序。 组织使用的某些应用程序可能就在该库中。可通过 Azure 门户直接访问该库。 通过改进的用户体验(单一登录 [SSO])提供对企业 SaaS 应用程序的安全远程访问。
在 SaaS 应用程序中自动预配和取消预配用户(如果适用) 在用户需要访问的云 (SaaS) 应用程序中自动创建用户标识和角色。 除了创建用户标识外,自动预配还包括在状态或角色发生更改时维护和删除用户标识,以及增加组织的安全性。
启用安全混合访问:使用现有应用交付控制器和网络保护旧应用(如果适用) 通过使用现有应用程序交付控制器或网络将本地和云的旧身份验证应用程序连接到 Microsoft Entra ID 来发布并保护这些应用程序。
启用自助式密码重置(适用于云专用帐户) 当用户无法登录其设备或应用程序时,此功能可减少技术支持呼叫和工作效率损失。
尽可能使用最低特权角色 只为管理员分配他们必须访问的区域的访问权限。
启用 Microsoft 的密码指导 停止要求用户按照设置的计划更改其密码,禁用复杂性要求,用户更倾向于记住他们习惯的密码,并妥善保管其密码。

Microsoft Entra ID P1 客户的指南

下表旨在重点介绍用于以下许可证订阅的关键措施:

  • Microsoft Entra ID P1
  • Microsoft 企业移动性 + 安全性 E3
  • Microsoft 365(E3、A3、F1、F3)
建议的操作 详细信息
创建多个全局管理员 至少分配两个仅限云的永久性全局管理员帐户,以便在紧急情况下使用。 这些帐户不是每日使用,应具有复杂的长密码。
启用 Microsoft Entra 多重身份验证 和 SSPR 的组合注册体验以简化用户注册体验 允许用户根据 Microsoft Entra 多重身份验证和自助式密码重置的一个常用体验进行注册。
为组织配置多重身份验证设置 使用多重身份验证确保帐户免受危害。
启用自助服务密码重置 当用户无法登录其设备或应用程序时,此功能可减少技术支持呼叫和工作效率损失。
实现密码写回(如果使用混合标识) 允许将云中的密码更改写回到本地 Windows Server Active Directory 环境。
创建和启用条件访问策略 为管理员配置多重身份验证,以保护分配了管理权限的帐户

阻止旧式身份验证协议,因为与旧式身份验证协议相关的风险日益增加。

为所有用户和应用程序配置多重身份验证,以便为环境创建平衡的多重身份验证策略,从而保护用户和应用程序

要求为 Azure 管理配置多重身份验证,从而通过对任何访问 Azure 资源的用户都要求多重身份验证来保护特权资源
启用密码哈希同步(如果使用混合标识) 为身份验证提供冗余并提高安全性(包括智能锁定、IP 锁定以及发现凭据泄露的功能)
启用 ADFS 智能锁定(如果适用) 保护用户免受恶意活动导致的 Extranet 帐户锁定。
启用 Microsoft Entra ID 智能锁定(如果使用托管标识) 智能锁定功能可帮助锁定那些试图猜测用户密码或使用暴力方法进入的恶意行动者。
禁用应用程序的最终用户同意 管理员同意工作流为管理员提供了一种安全的方法来授予需要管理员批准的应用程序访问权限,因此最终用户不会公开公司数据。 Microsoft 建议禁用将来的所有用户许可操作有助于减小受攻击面并缓解此风险。
使用应用程序代理启用对本地旧应用程序的远程访问 启用 Microsoft Entra 应用程序代理并与旧应用集成,使用户能够使用 Microsoft Entra 帐户登录来安全地访问本地应用程序。
启用安全混合访问:使用现有应用交付控制器和网络保护旧应用(如果适用)。 通过使用现有应用程序交付控制器或网络将本地和云的旧身份验证应用程序连接到 Microsoft Entra ID 来发布并保护这些应用程序。
将库中受支持的 SaaS 应用程序集成到 Microsoft Entra ID 并启用单一登录 Microsoft Entra ID 的某个库包含数千个预先集成的应用程序。 组织使用的某些应用程序可能就在该库中。可通过 Azure 门户直接访问该库。 通过改进的用户体验 (SSO) 提供对企业 SaaS 应用程序的安全远程访问。
在 SaaS 应用程序中自动预配和取消预配用户(如果适用) 在用户需要访问的云 (SaaS) 应用程序中自动创建用户标识和角色。 除了创建用户标识外,自动预配还包括在状态或角色发生更改时维护和删除用户标识,以及增加组织的安全性。
启用条件访问 - 基于设备 使用基于设备的条件访问来改进安全性和用户体验。 此步骤可确保用户只能从满足安全性和符合性标准的设备进行访问。 这些设备也称为受管理设备。 受管理设备可以是符合 Intune 要求或 Microsoft Entra 混合联接设备。
启用密码保护 防止用户使用弱密码和容易猜到的密码。
尽可能使用最低特权角色 只为管理员分配他们必须访问的区域的访问权限。
启用 Microsoft 的密码指导 停止要求用户按照设置的计划更改其密码,禁用复杂性要求,用户更倾向于记住他们习惯的密码,并妥善保管其密码。
创建组织特定的自定义受禁密码列表 防止用户创建包含你所在组织或区域中常用单词或短语的密码。
为用户部署无密码身份验证方法 为用户提供便利的无密码身份验证方法。
针对来宾用户访问权限创建计划 让来宾用户使用其自己的工作、学校或社交标识登录到你的应用和服务,借此来与他们协作。

Microsoft Entra ID P2 客户的指南

下表旨在重点介绍用于以下许可证订阅的关键措施:

  • Microsoft Entra ID P2
  • Microsoft 企业移动性 + 安全性 E5
  • Microsoft 365(E5、A5)
建议的操作 详细信息
创建多个全局管理员 至少分配两个仅限云的永久性全局管理员帐户,以便在紧急情况下使用。 这些帐户不是每日使用,应具有复杂的长密码。
启用 Microsoft Entra 多重身份验证 和 SSPR 的组合注册体验以简化用户注册体验 允许用户根据 Microsoft Entra 多重身份验证和自助式密码重置的一个常用体验进行注册。
为组织配置多重身份验证设置 使用多重身份验证确保帐户免受危害。
启用自助服务密码重置 当用户无法登录其设备或应用程序时,此功能可减少技术支持呼叫和工作效率损失。
实现密码写回(如果使用混合标识) 允许将云中的密码更改写回到本地 Windows Server Active Directory 环境。
启用标识保护策略以强制执行多重身份验证注册 管理 Microsoft Entra 多重身份验证的部署。
启用标识保护用户和登录风险策略 启用标识保护用户和登录策略。 建议的登录策略针对是中等风险登录,它要求进行多重身份验证。 对于用户策略,应将目标设定为需要密码更改操作的高风险用户。
创建和启用条件访问策略 为管理员配置多重身份验证,以保护分配了管理权限的帐户

阻止旧式身份验证协议,因为与旧式身份验证协议相关的风险日益增加。

要求为 Azure 管理配置多重身份验证,从而通过对任何访问 Azure 资源的用户都要求多重身份验证来保护特权资源
启用密码哈希同步(如果使用混合标识) 为身份验证提供冗余并提高安全性(包括智能锁定、IP 锁定以及发现凭据泄露的功能)
启用 ADFS 智能锁定(如果适用) 保护用户免受恶意活动导致的 Extranet 帐户锁定。
启用 Microsoft Entra ID 智能锁定(如果使用托管标识) 智能锁定功能可帮助锁定那些试图猜测用户密码或使用暴力方法进入的恶意行动者。
禁用应用程序的最终用户同意 管理员同意工作流为管理员提供了一种安全的方法来授予需要管理员批准的应用程序访问权限,因此最终用户不会公开公司数据。 Microsoft 建议禁用将来的所有用户许可操作有助于减小受攻击面并缓解此风险。
使用应用程序代理启用对本地旧应用程序的远程访问 启用 Microsoft Entra 应用程序代理并与旧应用集成,使用户能够使用 Microsoft Entra 帐户登录来安全地访问本地应用程序。
启用安全混合访问:使用现有应用交付控制器和网络保护旧应用(如果适用)。 通过使用现有应用程序交付控制器或网络将本地和云的旧身份验证应用程序连接到 Microsoft Entra ID 来发布并保护这些应用程序。
将库中受支持的 SaaS 应用程序集成到 Microsoft Entra ID 并启用单一登录 Microsoft Entra ID 的某个库包含数千个预先集成的应用程序。 组织使用的某些应用程序可能就在该库中。可通过 Azure 门户直接访问该库。 通过改进的用户体验 (SSO) 提供对企业 SaaS 应用程序的安全远程访问。
在 SaaS 应用程序中自动预配和取消预配用户(如果适用) 在用户需要访问的云 (SaaS) 应用程序中自动创建用户标识和角色。 除了创建用户标识外,自动预配还包括在状态或角色发生更改时维护和删除用户标识,以及增加组织的安全性。
启用条件访问 - 基于设备 使用基于设备的条件访问来改进安全性和用户体验。 此步骤可确保用户只能从满足安全性和符合性标准的设备进行访问。 这些设备也称为受管理设备。 受管理设备可以是符合 Intune 要求或 Microsoft Entra 混合联接设备。
启用密码保护 防止用户使用弱密码和容易猜到的密码。
尽可能使用最低特权角色 只为管理员分配他们必须访问的区域的访问权限。
启用 Microsoft 的密码指导 停止要求用户按照设置的计划更改其密码,禁用复杂性要求,用户更倾向于记住他们习惯的密码,并妥善保管其密码。
创建组织特定的自定义受禁密码列表 防止用户创建包含你所在组织或区域中常用单词或短语的密码。
为用户部署无密码身份验证方法 为用户提供便利的无密码身份验证方法
针对来宾用户访问权限创建计划 让来宾用户使用其自己的工作、学校或社交标识登录到你的应用和服务,借此来与他们协作。
启用 Privileged Identity Management (PIM) 让你能够管理、控制和监视对组织中重要资源的访问,从而确保管理员只在需要且得到批准时才有访问权限。
在 PIM 中完成 Microsoft Entra 目录角色的访问评审 与安全和领导团队协作创建访问评审策略,以根据组织的策略评审管理访问权限。

零信任

此功能有助于组织将其标识与零信任体系结构的三个指导原则保持一致:

  • 显式验证
  • 使用最小特权
  • 假定数据泄露

要详细了解零信任和其他让组织与指导原则保持一致的方式,请参阅零信任指导中心

后续步骤