分享方式:

委派管理和隔離式環境的簡介

  • 文章

具有委派管理Microsoft Entra 單一租用戶架構通常足以分隔環境。 您的組織可能需要在單一租用戶中無法隔離的程度。

在本文中,請務必瞭解:

  • 單一租用戶作業和功能
  • Microsoft Entra 識別符中的管理單位 (AU)
  • Azure 資源與Microsoft Entra 租用戶之間的關聯性
  • 驅動隔離的需求

Microsoft Entra 租用戶如同安全性界限

Microsoft Entra 租使用者為組織的應用程式和資源提供身分識別和存取管理 (IAM) 功能。

身分識別是已驗證並授權存取資源的目錄物件。 有人類和非人類身份的身分識別物件。 為了區分,人類身分識別稱為身分識別,非人類身分識別是工作負載身分識別。 非人實體包括應用程式對象、服務主體、受控識別和裝置。 一般而言,工作負載身分識別是讓軟體實體向系統進行驗證。

  • 身分 識別 - 代表人類的物件
  • 工作負載身分 識別 - 工作負載身分識別是應用程式、服務主體和受控識別。
    • 工作負載身分識別會驗證及存取其他服務和資源

如需詳細資訊, 請參閱工作負載身分識別

Microsoft Entra 租使用者是受系統管理員控制的身分識別安全性界限。 在此安全性界限中,訂用帳戶、管理群組和資源群組的管理可以委派給 Azure 資源的分段系統管理控制。 這些群組相依於整個租用戶的原則和設定組態。

Microsoft Entra ID 授與物件對應用程式和 Azure 資源的存取權。 信任Microsoft Entra ID 的 Azure 資源和應用程式可以使用 entra 識別符來管理Microsoft。 遵循最佳做法,使用測試環境設定環境。

存取使用 Microsoft Entra ID 的應用程式

將身分識別存取權授與應用程式:

  • Microsoft 生產力服務,例如 Exchange Online、Microsoft Teams 和 SharePoint Online
  • Microsoft Azure Sentinel、Microsoft Intune 和 Microsoft Defender 進階威脅防護 (ATP) 等 IT 服務
  • Microsoft開發人員工具,例如 Azure DevOps 和 Microsoft Graph API
  • SaaS 解決方案,例如 Salesforce 和 ServiceNow
  • 與混合式存取功能整合的內部部署應用程式,例如 Microsoft Entra 應用程式 Proxy
  • 自訂開發的應用程式

使用 Microsoft Entra ID 的應用程式需要在受信任Microsoft Entra 租用戶中設定和管理目錄物件。 目錄物件的例子包括應用程式註冊、服務主體、群組和結構描述屬性延伸

存取 Azure 資源

將角色授與Microsoft Entra 租使用者中的使用者、群組和服務主體物件(工作負載身分識別)。 若要深入瞭解,請參閱 Azure 角色型訪問控制 (RBAC)Azure 屬性型訪問控制 (ABAC)。

根據安全性主體、角色定義和範圍所決定的角色,使用 Azure RBAC 來提供存取權。 Azure ABAC 會根據動作的屬性新增角色指派條件。 如需更精細的訪問控制,請新增角色指派條件。 使用指派的 RBAC 角色存取 Azure 資源、資源群組、訂用帳戶和管理群組。

支援受控識別的 Azure 資源可讓資源在 Microsoft Entra 租使用者界限中驗證、取得存取權,以及將角色指派給其他資源。

使用 Microsoft Entra ID 進行登入的應用程式可以使用 Azure 資源,例如計算或記憶體。 例如,在 Azure 中執行並信任由 Microsoft Entra ID 進行驗證的自訂應用程式具有目錄物件和 Azure 資源。 Microsoft Entra 租使用者中的 Azure 資源會影響整個 租使用者的 Azure 配額和限制

存取目錄物件

身分識別、資源及其關聯性會以Microsoft Entra 租使用者中的目錄物件表示。 範例包括使用者、群組、服務主體和應用程式註冊。 在 Microsoft Entra 租使用者界限中具有一組目錄物件,以取得下列功能:

  • 可見度:身分識別可以根據許可權探索或列舉資源、使用者、群組、存取使用量報告和稽核記錄。 例如,目錄成員可以探索目錄中具有Microsoft Entra ID 預設使用者許可權的使用者。

  • 對應用程式的影響:作為其商業規則的一部分,應用程式可以透過 Microsoft Graph 操作目錄物件。 一般範例包括讀取或設定使用者屬性、更新用戶行事曆、代表用戶傳送電子郵件等等。 需要同意,才能讓應用程式影響租使用者。 管理員可以代表所有使用者同意。 如需詳細資訊,請參閱 Microsoft 身分識別平台 中的許可權和同意。

  • 節流和服務限制:資源的運行時間行為可能會觸發 節流 ,以防止過度使用或服務降低。 節流可能發生於應用程式、租用戶或整個服務層級中。 一般而言,當應用程式在租使用者中或跨租使用者中具有大量要求時,就會發生此情況。 同樣地,有 Microsoft Entra 服務限制 可能會影響應用程式運行時間行為。

    注意

    請謹慎使用應用程式許可權。 例如,使用 Exchange Online, 將應用程式許可權範圍設定為信箱和許可權

角色管理的管理單位

系統管理單位會將角色中的許可權限制為組織的一部分。 您可以使用系統管理單位, 將技術服務台系統管理員 角色委派給區域支持專家,以便他們可以管理其支持區域中的使用者。 管理單位是 Microsoft Entra 資源,也可以是其他 Microsoft Entra 資源的容器。 系統管理單位可以包含:

  • 使用者
  • 群組
  • 裝置

在下圖中,AU 會根據組織結構分割Microsoft Entra 租使用者。 當業務單位或群組配置專用的IT支援人員時,此方法很有用。 使用 AU 來提供受限於系統管理單位的特殊許可權。

Microsoft Entra 管理單位的圖表。

如需詳細資訊,請參閱 Microsoft Entra ID 中的管理單位。

資源隔離的常見原因

有時候您會基於安全性考慮,將資源群組與其他資源隔離,例如具有唯一存取需求的資源。 此動作是 AU 的良好使用案例。 判斷使用者和安全性主體資源存取權,以及哪些角色。 隔離資源的原因:

  • 開發人員小組需要安全地反覆運算。 但是,撰寫至 Microsoft Entra 識別符的應用程式開發和測試,可能會透過寫入作業影響 Microsoft Entra 租使用者:
    • 可變更 Office 365 內容的新應用程式,例如 SharePoint 網站、OneDrive、Microsoft Teams 等等
    • 可使用 MS Graph 或類似 API 大規模變更用戶數據的自定義應用程式。 例如,應用程式已授與 Directory.ReadWrite.All。
    • 更新大型物件的DevOps腳本
    • Microsoft Entra 整合式應用程式的開發人員需要建立用戶物件以進行測試。 用戶物件無法存取生產資源。
  • 可能會影響其他資源的非生產 Azure 資源和應用程式。 例如,新的SaaS應用程式需要與生產實例和用戶物件隔離
  • 受系統管理員保護的秘密資源不受探索、列舉或接管

租用戶中的設定

Microsoft Entra 標識符中的組態設定可透過目標或全租使用者管理動作影響Microsoft Entra 租使用者中的資源:

  • 外部身分識別:系統管理員識別及控制要布建在租使用者中的外部身分識別
    • 是否允許租使用者中的外部身分識別
    • 新增外部身分識別的網域
    • 使用者是否可以邀請來自其他租用戶的使用者
  • 具名位置:系統管理員建立具名位置以:
    • 封鎖從位置登入
    • 觸發條件式存取原則,例如多重要素驗證
    • 略過安全性需求
  • 自助式選項:系統管理員設定自助式密碼重設,並在租用戶層級建立Microsoft 365 個群組

如果未覆寫全域原則,您可以設定一些全租使用者的組態:

  • 租用戶設定允許外部身分識別。 資源管理員可以從存取中排除這些身分識別。
  • 租用戶設定允許個人裝置註冊。 資源管理員可以從存取中排除裝置。
  • 已設定具名位置。 資源管理員可以設定原則以允許或排除存取。

組態隔離的常見原因

由系統管理員控制的設定會影響資源。 雖然某些整個租用戶設定的範圍可以套用未套用或部分套用至資源的原則,但有些則不能。 如果資源具有唯一的組態,請將它隔離在個別租使用者中。 範例包含:

  • 具有與全租使用者安全性或共同作業狀態衝突之需求的資源
    • 例如,允許的驗證類型、裝置管理原則、自助式、外部身分識別的身分識別證明等等。
  • 將認證範圍限定為整個環境的合規性需求
    • 此動作包含所有資源和Microsoft Entra 租使用者,特別是當需求與其他組織資源發生衝突或排除時
  • 與生產環境或敏感性資源原則衝突的外部使用者存取需求
  • 跨多個國家或地區的組織,以及裝載於Microsoft Entra 租使用者中的公司。
    • 例如,國家/地區或商務子公司所使用的設定和授權

租用戶管理 (部分機器翻譯)

Microsoft Entra 租使用者中具有特殊許可權角色的身分識別具有可見度和許可權,可執行上一節所述的設定工作。 系統管理包括身分識別對象的擁有權,例如使用者、群組和裝置。 它也包含全租用戶組態的範圍實作,以用於驗證、授權等等。

目錄物件管理

系統管理員會管理身分識別物件存取資源的方式,以及在某些情況下。 它們也會根據其許可權停用、刪除或修改目錄物件。 身分識別物件包括:

  • 組織身分 識別,例如下列,是由用戶物件表示:
    • 系統管理員
    • 組織使用者
    • 組織開發人員
    • 服務帳戶
    • 測試使用者
  • 外部身分識別 代表組織外部的使用者:
    • 在組織環境中布建帳戶的合作夥伴、供應商或廠商
    • 使用 Azure B2B 共同作業佈建的合作夥伴、供應商或廠商
  • 群組 是由物件表示:
  • 裝置 會以 物件表示:
    • 已加入混合式 Microsoft Entra 的裝置。 從內部部署同步處理的內部部署計算機。
    • 已加入 Microsoft Entra 的裝置
    • Microsoft員工用來存取工作場所應用程式的 Entra 已註冊行動裝置
    • 已向 Microsoft Entra 註冊的下層裝置 (舊版)。 例如,Windows 2012 R2。
  • 工作負載身分識別
    • 受控識別
    • 服務主體
    • 應用程式

在混合式環境中,身分識別通常會使用 Microsoft Entra Connect 從內部部署環境同步處理。

身分識別服務管理

具有特定許可權的系統管理員會管理如何針對資源群組、安全組或應用程式實作全租用戶原則。 考慮資源管理時,請記住下列將資源分組或隔離的原因。

  • 全域管理員 控制連結至租使用者的 Azure 訂用帳戶
  • 指派驗證系統管理員角色 的身分識別需要非系統管理員重新註冊多重要素驗證或快速 IDentity Online (FIDO) 驗證。
  • 條件式存取系統管理員會 建立條件式存取原則,讓使用者從組織擁有的裝置登入應用程式。 這些系統管理員會設定範圍。 例如,如果租用戶中允許外部身分識別,則可以排除資源的存取權。
  • 雲端應用程式管理員 代表使用者同意應用程式許可權

管理隔離的常見原因

誰應該管理環境及其資源? 有時候,某個環境的系統管理員無法存取另一個環境:

  • 區分全租用戶的系統管理責任,以降低影響重要資源的安全性和作業錯誤風險
  • 根據公民、居留權、許可等級等條件限制誰可以管理環境的法規

安全性和操作考量

鑒於Microsoft Entra 租使用者與其資源之間的相互依賴性,請務必瞭解入侵或錯誤的安全性和操作風險。 如果您在具有同步處理帳戶的同盟環境中操作,內部部署入侵可能會導致Microsoft Entra ID 入侵。

  • 身分識別入侵:如果提供存取權的系統管理員具有足夠的許可權,則會在租使用者界限中指派身分識別的任何角色。 雖然遭入侵的非特殊許可權身分識別的影響基本上包含,但遭入侵的系統管理員可能會造成廣泛的問題。 例如,如果高許可權帳戶遭到入侵,Azure 資源可能會遭到入侵。 若要降低身分識別入侵或不良執行者的風險,請實作階層式管理,並遵循Microsoft Entra 系統管理員角色的最低許可權原則。 建立條件式存取原則,以排除測試帳戶和測試服務主體,以存取測試應用程式外部的資源。 如需特殊許可權存取策略的詳細資訊,請參閱 特殊許可權存取:策略
  • 同盟環境遭入侵
  • 信任資源入侵:Microsoft Entra 租使用者的任何遭入侵元件都會根據租使用者和資源層級的許可權影響信任資源。 資源的許可權會決定遭入侵元件的效果。 整合以執行寫入作業的資源可能會影響整個租使用者。 遵循 零信任 指引有助於限制入侵的影響。
  • 應用程式開發:在應用程式開發生命週期的早期階段,將許可權寫入至 entra 標識碼Microsoft有風險。 Bug 可能會不小心將變更寫入至 entra 物件Microsoft。 若要深入瞭解,請參閱 Microsoft 身分識別平台 最佳做法
  • 操作錯誤:租用戶系統管理員或資源擁有者發生錯誤的動作專案和操作錯誤,有助於造成安全性事件。 任何架構中都可能發生這些風險。 使用職責區隔、階層式管理、最低許可權原則,以及遵循最佳做法。 避免使用個別租使用者。

零信任原則

將 零信任 原則納入Microsoft Entra ID 設計策略,以引導安全設計。 您可以使用 零信任 來採用主動式安全性。

下一步