你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 标识管理安全概述
标识管理是对安全主体进行身份验证和授权的过程。 它还包括控制有关这些主体(标识)的信息。 安全主体(标识)可能包括服务、应用程序、用户和组等等。Microsoft 标识和访问管理解决方案可帮助 IT 部门保护对企业数据中心和云中的应用程序和资源的访问。 此类保护支持附加的验证级别,例如多重身份验证和条件访问策略。 通过高级安全报告、审核和警报来监视可疑活动,以便减少潜在的安全问题。 Microsoft Entra ID P1 or P2 向数千个云软件即服务 (SaaS) 应用提供单一登录 (SSO),并且可以用来访问在本地运行的 Web 应用。
通过利用 Microsoft Entra ID 的安全优势,你可以:
- 为混合企业中的每个用户创建和管理单一标识,从而保持用户、组和设备同步。
- 提供对应用程序(包括数千个预先集成的 SaaS 应用)的 SSO 访问。
- 通过对本地应用程序和云应用程序强制执行基于规则的多重身份验证,启用应用程序访问安全措施。
- 通过 Microsoft Entra 应用程序代理预配对本地 Web 应用程序的安全远程访问。
本文旨在概述可帮助进行标识管理的核心 Azure 安全功能。 此外还提供了文章链接,更详细说明每项功能。
本文重点介绍以下核心 Azure 标识管理功能︰
- 单一登录
- 反向代理
- 多重身份验证
- Azure 基于角色的访问控制 (Azure RBAC)
- 安全监控、警报和基于机器学习的报告
- 消费者标识和访问管理
- 设备注册
- Privileged identity management
- 标识保护
- 混合标识管理/Azure AD Connect
- Microsoft Entra 访问评审
单一登录
单一登录 (SSO) 是指只需使用单个用户帐户登录一次,就能访问开展业务所需的全部应用程序和资源。 登录之后,用户可以访问全部所需的应用程序,而无需再次进行身份验证(例如键入密码)。
许多组织依赖 SaaS 应用程序(如 Microsoft 365、Box 和 Salesforce)来提高用户生产力。 从历史上看,IT 人员需要在每个 SaaS 应用程序中单独创建和更新用户帐户,而用户需要记住每个 SaaS 应用程序的密码。
Microsoft Entra ID 将本地 Active Directory 环境扩展到云,让用户不仅能够使用主要组织帐户登录到已加入域的设备和公司资源,而且能够登录到完成作业所需的全部 Web 和 SaaS 应用程序。
优势是不仅用户无需管理多组用户名和密码,而且你还可根据其组织组和员工状态,自动预配或取消预配应用程序的访问权限。 Microsoft Entra ID 引入了安全和访问管理控制,因此可以跨 SaaS 应用程序集中管理用户的访问权限。
了解详细信息:
反向代理
使用 Microsoft Entra 应用程序代理可以在专用网络上发布应用程序(例如 SharePoint 站点、Outlook Web 应用和基于 IIS 的应用),并为网络外部的用户提供安全访问。 应用程序代理为许多类型的本地 Web 应用程序和 Microsoft Entra ID 支持的数以千计的 SaaS 应用程序提供远程访问和 SSO。 员工可以从家中他们自己的设备登录到应用,并通过此基于云的代理进行身份验证。
了解详细信息:
多重身份验证
Microsoft Entra 多重身份验证是需要使用多个验证方法的身份验证方法,为用户登录和事务额外提供一层重要的安全保障。 多重身份验证可帮助保护对数据和应用程序的访问,同时可以满足用户对简单登录过程的需求。 它通过各种验证选项(例如电话、短信、移动应用通知或验证码以及第三方 OAuth 令牌)来提供强身份验证。
详细了解:Microsoft Entra 多重身份验证的工作原理
Azure RBAC
Azure RBAC 是在 Azure 资源管理器基础上构建的授权系统,针对 Azure 中的资源提供精细的访问权限管理。 可以通过 Azure RBAC 精确控制用户具有的访问权限级别。 例如,可以限制一位用户仅管理虚拟网络,限制另一位用户管理资源组中的所有资源。 Azure 包含多个可用的内置角色。 下面列出了四个基本的内置角色。 前三个角色适用于所有资源类型。
- 所有者 - 拥有对所有资源的完全访问权限,包括将访问权限委派给其他用户的权限。
- 参与者 - 可以创建和管理所有类型的 Azure 资源,但无法将访问权限授予其他用户。
- 读取者 - 可以查看现有的 Azure 资源。
- 用户访问管理员 - 可以管理用户对 Azure 资源的访问。
了解详细信息:
安全监控、警报和基于机器学习的报告
安全监控、警报和基于机器学习的报告(用于标识不一致的访问模式)可以帮助保护业务。 可以使用 Microsoft Entra ID 的访问和使用情况报告来监控组织目录的完整性和安全性。 使用此信息,目录管理员可以更好地确定哪里可能存在安全风险,以便制定相应的计划来降低这些风险。
在 Azure 门户中,报告分为以下类别:
- 异常报告:包含我们发现存在异常的登录事件。 我们的目标是让你知道这类活动,并让你能够确定事件是否可疑。
- 集成式应用程序报告:就组织如何使用云应用程序提供见解。 Microsoft Entra ID 提供与数千个云应用程序的集成。
- 错误报告:指示在为外部应用程序预配帐户时可能发生的错误。
- 用户特定的报告:显示特定用户的设备登录活动数据。
- 活动日志:包含过去 24 小时、过去 7 天或过去 30 天内的所有已审核事件的记录,以及组活动更改记录、密码重置和注册活动记录。
消费者标识和访问管理
Azure AD B2C 是一项高度可用的全局性标识管理服务,适用于面向用户且可通过缩放来处理数亿标识的应用程序。 它可以跨移动平台和 Web 平台进行集成。 使用者只需使用现有社交帐户或创建新凭据,即可通过可自定义的体验登录到所有应用程序。
过去,想要在自己的应用程序中注册客户并使其登录的应用程序开发人员会编写自己的代码。 他们使用本地数据库或系统存储用户名和密码。 Azure AD B2C 通过基于标准的安全平台和大量的可扩展策略,向组织提供一种更好的方式将用户标识管理集成到应用程序中。
使用 Azure AD B2C 时,用户可通过使用他们现有的社交帐户(Facebook、Google、Amazon、LinkedIn)或创建新的凭据(电子邮件地址和密码,或者用户名和密码)来注册应用程序。
了解详细信息:
设备注册
Microsoft Entra 设备注册是基于设备的条件访问方案的基础。 在注册设备时,Microsoft Entra 设备注册会为设备提供一个标识,用于在用户登录时对设备进行身份验证。 然后,可以使用已经过身份验证的设备和设备的属性,对云中和本地托管的应用程序实施条件访问策略。
当与 Intune 之类的移动设备管理解决方案结合使用时,Microsoft Entra ID 中的设备属性将使用关于设备的更多信息进行更新。 然后即可根据安全性和符合性方面的标准来创建条件访问规则,强制从设备进行访问。
了解详细信息:
Privileged identity management
利用 Microsoft Entra Privileged Identity Management,你可以管理、控制和监视特权标识以及对 Microsoft Entra ID 和其他 Microsoft Online Services(如 Microsoft 365 和 Microsoft Intune)中的资源的访问。
用户有时候需要在 Azure 或 Microsoft 365 资源或者其他 SaaS 应用中执行特权操作。 这种需要通常意味着,组织必须授予用户永久的 Microsoft Entra ID 访问特权。 此类访问会给云中托管的资源不断增大安全风险,因为组织无法充分监视这些用户正在使用管理员特权执行哪些操作。 此外,如果有访问特权的用户帐户被泄露,此安全漏洞可能会影响组织的总体云安全性。 Microsoft Entra Privileged Identity Management 可帮助解决这一风险。
借助 Microsoft Entra Privileged Identity Management,你可以:
- 查看哪些用户是 Microsoft Entra 管理员。
- 按需启用对 Microsoft 365 和 Intune 等 Microsoft 服务的实时 (JIT) 管理访问权限。
- 获取有关管理员访问历史记录以及管理员分配更改的报告。
- 获取有关访问特权角色的警报。
了解详细信息:
身份保护
Microsoft Entra ID 保护是一种安全服务,它提供一个综合视图,你可以在其中查看影响组织标识的风险检测和潜在漏洞。 标识保护利用现有的 Microsoft Entra 异常检测功能,该功能可通过 Microsoft Entra 异常活动报告得到。 “标识保护”还引入了新的可以实时检测异常的风险检测类型。
混合标识管理 (Microsoft Entra Connect)
Microsoft 的标识解决方案跨越本地和基于云的功能,创建单一用户标识对所有资源进行身份验证和授权,而不考虑其位置。 我们称此为混合标识。 Microsoft Entra Connect 专用于满足和完成混合标识目标的 Microsoft 工具。 这样,便可为集成到 Microsoft Entra ID 的 Microsoft 365、Azure 和 SaaS 应用程序的用户提供一个通用标识。 它提供以下功能:
- 同步
- AD FS 和联合集成
- 直通身份验证
- 运行状况监视
了解详细信息:
Microsoft Entra 访问评审
使用 Microsoft Entra 访问评审,组织能够高效管理组成员身份、对企业应用程序的访问权限,以及特权角色分配。
详细了解:Microsoft Entra 访问评审