使用 Microsoft Entra ID 保護貴組織的身分識別
它似乎令人生畏地試圖保護您的工人在當今世界,特別是當你必須快速回應並提供許多服務的存取權時。 本文旨在提供一份簡明的所有動作清單,協助您根據您擁有的授權類型來識別及排定部署 Microsoft Entra 功能的順序。
Microsoft Entra ID 提供許多功能,併為您的身分識別提供許多層級的安全性,流覽哪些功能有時可能非常相關。 本檔旨在協助組織快速部署服務,並將安全身分識別作為主要考慮。
每個數據表都提供一致的安全性建議,保護身分識別免於常見的安全性攻擊,同時將使用者摩擦降到最低。
本指南可協助:
- 以安全且受保護的方式設定軟體即服務 (SaaS) 和內部部署應用程式的存取
- 雲端和混合式身分識別
- 遠端或辦公室工作的使用者
必要條件
本指南假設您的雲端或混合式身分識別已在 Microsoft Entra ID 中建立。 如需選擇身分識別類型的協助,請參閱文章: 為您的 Microsoft Entra 混合式身分識別解決方案選擇正確的驗證 (AuthN) 方法。
引導式逐步解說
如需本文中許多建議的引導式逐步解說,請參閱登入 Microsoft 365 系統管理 中心時設定 Microsoft Entra 標識符指南。 若要檢閱最佳做法而不登入和啟用自動化設定功能,請移至 Microsoft 365 安裝程式入口網站。
Microsoft Entra ID Free、Office 365 或 Microsoft 365 客戶的指引
Microsoft Entra ID Free、Office 365 或 Microsoft 365 應用程式客戶應該採取許多建議來保護其使用者身分識別。 下表旨在醒目提示下列授權訂用帳戶的主要動作:
- Office 365 (Office 365 E1、E3、E5、F1、A1、A3、A5)
- Microsoft 365 (商務基本版、商務用應用程式、商務標準版、商務 進階版、A1)
- Microsoft Entra ID Free (隨附於 Azure、Dynamics 365、Intune 和 Power Platform)
| 建議的動作 | 詳細資料 |
|---|---|
| 啟用安全性預設值 | 啟用多重要素驗證並封鎖舊版驗證,以保護所有使用者身分識別和應用程式。 |
| 啟用密碼哈希同步 處理 (如果使用混合式身分識別) | 提供驗證的備援並改善安全性(包括智慧鎖定、IP 鎖定,以及探索外泄認證的能力)。 |
| 開啟 AD FS 智慧鎖定 (如果適用) | 保護您的使用者免於遭受來自惡意活動的外部網路帳戶鎖定。 |
| 開啟 Microsoft Entra 智慧鎖定 (如果使用受控識別) | 智慧鎖定有助於鎖定嘗試猜測用戶密碼或使用暴力密碼破解方法來進入的不良動作專案。 |
| 停用使用者對應用程式的同意 | 管理員同意工作流程可讓系統管理員安全地授與需要系統管理員核准的應用程式存取權,讓使用者不會公開公司數據。 Microsoft 建議停用未來的使用者同意作業,以協助降低您的介面區並降低此風險。 |
| 從資源庫將支援的 SaaS 應用程式整合至 Microsoft Entra ID,並啟用單一登錄 (SSO) | Microsoft Entra ID 有一個資源庫,其中包含數千個預先整合的應用程式。 貴組織使用的一些應用程式可能位於直接從 Azure 入口網站 存取的資源庫中。 透過改善的用戶體驗(單一登錄(SSO),從遠端安全地存取公司 SaaS 應用程式。 |
| 自動從 SaaS 應用程式 佈建和取消佈建使用者 (如果適用) | 在使用者需要存取的雲端 (SaaS) 應用程式中自動建立使用者身分識別和角色。 除了建立使用者身分識別之外,自動布建還包含隨著狀態或角色變更而移除使用者身分識別的維護和移除,以提高組織的安全性。 |
| 開啟安全混合式存取:使用現有的應用程式傳遞控制器和網路 保護舊版應用程式(如果適用) | 使用現有的應用程式傳遞控制器或網路,將內部部署和雲端舊版驗證應用程式連線到 Microsoft Entra ID,以發佈並保護這些應用程式。 |
| 啟用自助式密碼重設 (僅適用於僅限雲端帳戶) | 使用者無法登入其裝置或應用程式時,此功能可減少技術支援中心呼叫並喪失生產力。 |
| 盡可能使用最低許可權角色 | 僅為您的系統管理員提供他們只需要其存取權的區域存取權。 |
| 啟用 Microsoft 的密碼指引 | 停止要求使用者依設定排程變更其密碼、停用複雜度需求,而且您的使用者更善於記住其密碼,並讓他們保持安全。 |
Microsoft Entra ID P1 客戶的指引
下表旨在醒目提示下列授權訂用帳戶的主要動作:
- Microsoft Entra ID P1
- Microsoft 企業行動力 + 安全性 E3
- Microsoft 365 (E3、A3、F1、F3)
| 建議的動作 | 詳細資料 |
|---|---|
| 建立一個以上的全域 管理員 istrator | 指派至少兩個僅限雲端的全域 管理員 istrator 帳戶,以用於緊急狀態。 這些帳戶不會每天使用,而且應該有很長且複雜的密碼。 |
| 啟用 Microsoft Entra 多重要素驗證和 SSPR 的合併註冊體驗,以簡化使用者註冊體驗 | 允許用戶註冊 Microsoft Entra 多重要素驗證和自助式密碼重設的一個常見體驗。 |
| 為您的組織設定多重要素驗證設定 | 請確定帳戶受到保護,以免受到多重要素驗證的危害。 |
| 啟用自助式密碼重設 | 使用者無法登入其裝置或應用程式時,此功能可減少技術支援中心呼叫並喪失生產力。 |
| 實作密碼回 寫(如果使用混合式身分識別) | 允許將雲端中的密碼變更寫回內部部署 Windows Server Active Directory 環境。 |
| 建立並啟用條件式存取原則 | 系統管理員的多重要素驗證可保護指派系統管理許可權的帳戶。 因為與舊版驗證通訊協定相關聯的風險增加,所以封鎖舊版驗證通訊協定。 所有使用者和應用程式的多重要素驗證,為您的環境建立平衡的多重要素驗證原則,保護您的用戶和應用程式。 要求 Azure 管理的多重要素驗證,藉由要求任何存取 Azure 資源的用戶進行多重要素驗證,以保護特殊許可權資源。 |
| 啟用密碼哈希同步 處理 (如果使用混合式身分識別) | 提供驗證的備援並改善安全性(包括智慧鎖定、IP 鎖定,以及探索外泄認證的能力。 |
| 開啟 AD FS 智慧鎖定 (如果適用) | 保護您的使用者免於遭受來自惡意活動的外部網路帳戶鎖定。 |
| 開啟 Microsoft Entra 智慧鎖定 (如果使用受控識別) | 智慧鎖定有助於鎖定嘗試猜測用戶密碼或使用暴力密碼破解方法來進入的不良動作專案。 |
| 停用使用者對應用程式的同意 | 管理員同意工作流程可讓系統管理員安全地授與需要系統管理員核准的應用程式存取權,讓使用者不會公開公司數據。 Microsoft 建議停用未來的使用者同意作業,以協助降低您的介面區並降低此風險。 |
| 使用 應用程式 Proxy 啟用對內部部署舊版應用程式的遠端存取 | 啟用 Microsoft Entra 應用程式 Proxy,並與舊版應用程式整合,讓使用者使用其 Microsoft Entra 帳戶登入,安全地存取內部部署應用程式。 |
| 啟用安全混合式存取:使用現有的應用程式傳遞控制器和網路 保護舊版應用程式(如果適用的話)。 | 使用現有的應用程式傳遞控制器或網路,將內部部署和雲端舊版驗證應用程式連線到 Microsoft Entra ID,以發佈並保護這些應用程式。 |
| 將支援的 SaaS 應用程式從資源庫整合至 Microsoft Entra ID,並啟用單一登錄 | Microsoft Entra ID 有一個資源庫,其中包含數千個預先整合的應用程式。 貴組織使用的一些應用程式可能位於直接從 Azure 入口網站 存取的資源庫中。 透過改善的用戶體驗,從遠端且安全地存取公司 SaaS 應用程式。 |
| 自動從 SaaS 應用程式 佈建和取消佈建使用者 (如果適用) | 在使用者需要存取的雲端 (SaaS) 應用程式中自動建立使用者身分識別和角色。 除了建立使用者身分識別之外,自動布建還包含隨著狀態或角色變更而移除使用者身分識別的維護和移除,以提高組織的安全性。 |
| 啟用條件式存取 – 裝置型 | 使用裝置型條件式存取來改善安全性和用戶體驗。 此步驟可確保使用者只能從符合安全性與合規性標準的裝置存取。 這些裝置也稱為受控裝置。 受管理的裝置可以符合 Intune 規範或 Microsoft Entra 混合式已加入裝置。 |
| 啟用密碼保護 | 保護使用者避免使用弱式且容易猜測密碼。 |
| 盡可能使用最低許可權角色 | 僅為您的系統管理員提供他們只需要其存取權的區域存取權。 |
| 啟用 Microsoft 的密碼指引 | 停止要求使用者依設定排程變更其密碼、停用複雜度需求,而且您的使用者更善於記住其密碼,並讓他們保持安全。 |
| 建立組織特定的自定義禁用密碼清單 | 防止使用者建立密碼,其中包含來自貴組織或區域的常見單字或片語。 |
| 為您的使用者部署無密碼驗證方法 | 為使用者提供方便的無密碼驗證方法。 |
| 建立來賓使用者存取方案 | 讓他們使用自己的公司、學校或社交身分識別登入您的應用程式和服務,以與來賓使用者共同作業。 |
Microsoft Entra ID P2 客戶的指引
下表旨在醒目提示下列授權訂用帳戶的主要動作:
- Microsoft Entra ID P2
- Microsoft Enterprise Mobility + Security E5
- Microsoft 365 (E5、A5)
| 建議的動作 | 詳細資料 |
|---|---|
| 建立多個全域 管理員 istrator | 至少指派兩個僅限雲端的全域 管理員 istrator 帳戶,以用於緊急狀態。 這些帳戶不會每天使用,而且應該有很長且複雜的密碼。 |
| 啟用 Microsoft Entra 多重要素驗證和 SSPR 的合併註冊體驗,以簡化使用者註冊體驗 | 允許用戶註冊 Microsoft Entra 多重要素驗證和自助式密碼重設的一個常見體驗。 |
| 為您的組織設定多重要素驗證設定 | 請確定帳戶受到保護,以免受到多重要素驗證的危害。 |
| 啟用自助式密碼重設 | 使用者無法登入其裝置或應用程式時,此功能可減少技術支援中心呼叫並喪失生產力。 |
| 實作密碼回 寫(如果使用混合式身分識別) | 允許將雲端中的密碼變更寫回內部部署 Windows Server Active Directory 環境。 |
| 啟用 Identity Protection 原則以強制執行多重要素驗證註冊 | 管理 Microsoft Entra 多重要素驗證的推出。 |
| 啟用 Identity Protection 使用者和登入風險原則 | 啟用 Identity Protection 使用者和登入原則。 建議的登入原則是以中等風險登入為目標,且需要多重要素驗證。 針對 [用戶原則],您應該以需要密碼變更動作的高風險用戶為目標。 |
| 建立並啟用條件式存取原則 | 系統管理員的多重要素驗證可保護指派系統管理許可權的帳戶。 因為與舊版驗證通訊協定相關聯的風險增加,所以封鎖舊版驗證通訊協定。 要求 Azure 管理的多重要素驗證,藉由要求任何存取 Azure 資源的用戶進行多重要素驗證,以保護特殊許可權資源。 |
| 啟用密碼哈希同步 處理 (如果使用混合式身分識別) | 提供驗證的備援並改善安全性(包括智慧鎖定、IP 鎖定,以及探索外泄認證的能力。 |
| 開啟 AD FS 智慧鎖定 (如果適用) | 保護您的使用者免於遭受來自惡意活動的外部網路帳戶鎖定。 |
| 開啟 Microsoft Entra 智慧鎖定 (如果使用受控識別) | 智慧鎖定有助於鎖定嘗試猜測用戶密碼或使用暴力密碼破解方法來進入的不良動作專案。 |
| 停用使用者對應用程式的同意 | 管理員同意工作流程可讓系統管理員安全地授與需要系統管理員核准的應用程式存取權,讓使用者不會公開公司數據。 Microsoft 建議停用未來的使用者同意作業,以協助降低您的介面區並降低此風險。 |
| 使用 應用程式 Proxy 啟用對內部部署舊版應用程式的遠端存取 | 啟用 Microsoft Entra 應用程式 Proxy,並與舊版應用程式整合,讓使用者使用其 Microsoft Entra 帳戶登入,安全地存取內部部署應用程式。 |
| 啟用安全混合式存取:使用現有的應用程式傳遞控制器和網路 保護舊版應用程式(如果適用的話)。 | 使用現有的應用程式傳遞控制器或網路,將內部部署和雲端舊版驗證應用程式連線到 Microsoft Entra ID,以發佈並保護這些應用程式。 |
| 將支援的 SaaS 應用程式從資源庫整合至 Microsoft Entra ID,並啟用單一登錄 | Microsoft Entra ID 有一個資源庫,其中包含數千個預先整合的應用程式。 貴組織使用的一些應用程式可能位於資源庫中,可直接從 Azure 入口網站 存取。 透過改善的用戶體驗,從遠端且安全地存取公司 SaaS 應用程式。 |
| 自動從 SaaS 應用程式 佈建和取消佈建使用者 (如果適用) | 在使用者需要存取的雲端 (SaaS) 應用程式中自動建立使用者身分識別和角色。 除了建立使用者身分識別之外,自動布建還包含隨著狀態或角色變更而移除使用者身分識別的維護和移除,以提高組織的安全性。 |
| 啟用條件式存取 – 裝置型 | 使用裝置型條件式存取來改善安全性和用戶體驗。 此步驟可確保使用者只能從符合安全性與合規性標準的裝置存取。 這些裝置也稱為受控裝置。 受管理的裝置可以符合 Intune 規範或 Microsoft Entra 混合式已加入裝置。 |
| 啟用密碼保護 | 保護使用者避免使用弱式且容易猜測密碼。 |
| 盡可能使用最低許可權角色 | 僅為您的系統管理員提供他們只需要其存取權的區域存取權。 |
| 啟用 Microsoft 的密碼指引 | 停止要求使用者依設定排程變更其密碼、停用複雜度需求,而且您的使用者更善於記住其密碼,並讓他們保持安全。 |
| 建立組織特定的自定義禁用密碼清單 | 防止使用者建立密碼,其中包含來自貴組織或區域的常見單字或片語。 |
| 為您的使用者部署無密碼驗證方法 | 為使用者提供方便的無密碼驗證方法 |
| 建立來賓使用者存取方案 | 讓他們使用自己的公司、學校或社交身分識別登入您的應用程式和服務,以與來賓使用者共同作業。 |
| 啟用 Privileged Identity Management (PIM) | 可讓您管理、控制及監視組織中重要資源的存取權,確保系統管理員只有在需要且經過核准時才能存取。 |
| 完成 PIM 中 Microsoft Entra 目錄角色的存取權檢閱 | 請與您的安全性和領導小組合作,建立存取權檢閱原則,以根據您的組織原則檢閱系統管理存取權。 |
零信任
這項功能可協助組織將其身分識別與 零信任 架構的三個指導原則保持一致:
- 明確驗證
- 使用最低權限
- 假設缺口
若要深入瞭解 零信任 和其他讓組織與指導原則保持一致的方式,請參閱 零信任 指引中心。
下一步
- 如需 Microsoft Entra ID 個別功能的詳細部署指引,請檢閱 Microsoft Entra ID 專案部署計劃。
- 組織可以使用 身分識別安全分數 ,根據其他 Microsoft 建議來追蹤其進度。