在 Microsoft Entra ID 中保護混合式部署和雲端部署的特殊權限存取

商務資產的安全性取決於管理您 IT 系統的特殊權限帳戶完整性。 網路攻擊者會利用認證竊取攻擊，將目標鎖定在管理員帳戶和其他特殊權限存取，嘗試存取敏感資料。

對雲端服務而言，防範和回應是雲端服務提供者與客戶的共同責任。 如需有關端點與雲端最新威脅的詳細資訊，請參閱 Microsoft 安全情報報告。 本文可協助您擬定適當計劃，以期消弭您目前的計劃與此處所述的指導方針之間的落差。

注意

Microsoft 已致力至最高級別的信任、透明性、標準一致性和法規遵從性。 請經由 Microsoft 信任中心 - 安全性深入了解 Microsoft 全球事件回應小組如何降低對雲端服務的攻擊所造成的影響，所及 Microsoft 商業產品和雲端服務內建的安全性，並經由 Microsoft 信任中心 - 合規性了解 Microsoft 的合規性目標。

傳統上，組織安全性著重於以網路的出入點作為安全界限。 不過網際網路上的 SaaS 應用程式和個人裝置降低了這種做法的有效性。 在 Microsoft Entra ID 中，我們將網路安全界限換成在組織的身分識別層中驗證，以管控指派為特殊權限系統管理角色的使用者。 無論在內部部署、雲端還是混合式環境中，他們的存取權必須受到妥善保護。

若要保護特殊權限存取的安全，以下項目需進行變更：

• 程序、管理做法與知識管理
• 技術要項，例如主機防禦、帳戶保護與身分識別管理

在您關注的 Microsoft 服務中管理和報告，以此來保護特殊權限存取。 如果您有內部部署管理員帳戶，請前往 Active Directory 的保護特殊權限存取的安全，參閱內部部署和混合式特殊權限存取指南。

注意

本文中的指引主要參照 Microsoft Entra ID P1 和 P2 所包含的 Microsoft Entra ID 功能。 Microsoft Entra ID P2 隨附於 EMS E5 套件和 Microsoft 365 E5 套件。 本指引假設您的組織已為使用者購買 Microsoft Entra ID P2 授權。 如果您沒有這些授權，本指引可能有某些內容不適用於您的組織。 此外，本文通篇，全域管理員與「公司管理員」或「租用戶管理員」同義。

開發藍圖

Microsoft 建議您開發並遵循藍圖，保護特殊權限存取以抵禦網路攻擊者。 您隨時可因應現有的能力和組織的具體需求調整藍圖。 藍圖的每個階段，都應讓敵人針對內部部署、雲端和混合式資產攻擊特殊權限存取的成本和難度提高。 Microsoft 建議以下四個藍圖階段。 首先安排最有效且最快速的實作。 根據 Microsoft 在網路攻擊事件和因應措施方面的經驗，本文可當成您的指南。 此藍圖的時間表僅為約略估算。

• 階段 1 (24-48 小時)：建議您立即執行的重大事項

• 階段 2 (2-4 週)：將低最常用的攻擊手法風險

• 階段 3 (1-3 個月)：建置對管理員活動的可見性及全面控制力

• 階段 4 (六個月後)：繼續建置防禦機制以進一步強化安全性平台

這個藍圖架構的用意是充分利用您可能已部署的 Microsoft 技術。 請考量搭配您已部署或正考慮部署的任何安全性工具 (來自其他廠商)。

階段 1：需立即執行的重大事項

藍圖的階段 1 著重於快速且容易實作的重大事項。 建議您在最初的 24-48 小時內立刻執行這些事項，鞏固安全特殊權限存取的基本層。 受保護的特殊權限存取藍圖的這個階段包含下列動作：

一般準備工作

使用 Microsoft Entra Privileged Identity Management (部分機器翻譯)

建議您在 Microsoft Entra 實際執行環境中開始使用 Microsoft Entra Privileged Identity Management (PIM)。 開始使用 PIM 之後，您會收到有關特殊權限存取角色變更的通知電子郵件訊息。 這些通知提早警告有其他使用者加入高度特殊權限角色。

Microsoft Entra Privileged Identity Management 包含在 Microsoft Entra ID P2 或 EMS E5 中。 為協助您保護存取內部部署和雲端的應用程式及資源，請註冊 Enterprise Mobility + Security 90 天免費試用。 Microsoft Entra Privileged Identity Management 和 Microsoft Entra ID Protection 使用 Microsoft Entra ID 報告、稽核和警示來監視安全性活動。

在您開始使用 Microsoft Entra Privileged Identity Management 之後：

1. 以全域管理員的身分登入 Microsoft Entra 系統管理中心。

2. 若要切換要使用 Privileged Identity Management 的目錄，請選取 Microsoft Entra 系統管理中心右上角的使用者名稱。

3. 瀏覽至 身分識別控管>Privileged Identity Management。

請確定組織中第一個使用 PIM 的人指派為安全性系統管理員和特殊權限角色管理員角色。 只有特殊權限角色管理員才能管理使用者的 Microsoft Entra Directory 角色指派。 PIM 精靈會引導您完成初始探索和指派體驗。 您此時可以結束精靈而不進行任何其他變更。

識別和分類擁有高度特殊權限角色的帳戶

在開始使用 Microsoft Entra Privileged Identity Management 之後，請檢視擔任下列 Microsoft Entra 角色的使用者：

• 全域系統管理員
• 特殊權限角色管理員
• Exchange 系統管理員
• Sharepoint 系統管理員

如果您的組織中沒有 Microsoft Entra Privileged Identity Management，您可以使用 Microsoft Entra PowerShell。 從全域管理員角色開始，因為全域管理員在組織訂閱的所有雲端服務上具有相同的權限。 這些權限無論在何處指派，一律授與：在 Microsoft 365 系統管理中心、Microsoft Entra 系統管理中心，或透過使用 Microsoft Graph PowerShell。

請移除這些角色中不再需要的任何帳戶。 然後，將指派給管理員角色的其餘帳戶分類：

• 指派給系統管理使用者，但也作為非系統管理用途 (例如個人電子郵件)
• 指派給系統管理使用者，且只作為系統管理用途
• 跨多位使用者共用
• 用於急用緊急存取案例
• 適用於自動化指令碼
• 適用於外部使用者

定義至少兩個緊急存取帳戶

Microsoft 建議組織擁有兩個僅限雲端，且永久指派為全域系統管理員角色的緊急存取帳戶。 這些帳戶具有高度特殊權限，不會指派給特定個人。 這些帳戶僅限於無法使用一般帳戶或所有其他系統管理員均意外鎖在系統外的緊急狀況或「緊急安全窗口」案例。這些帳戶應遵循緊急存取帳戶建議來建立。

開啟多重要素驗證，並註冊其他所有高度特殊權限的單一使用者非同盟管理員帳戶

所有永久指派給一或多個 Microsoft Entra 管理員角色 (全域系統管理員、特殊權限角色系統管理員、Exchange 系統管理員和 SharePoint 系統管理員) 的個別使用者在進行登入時，都必須進行 Microsoft Entra 多重要素驗證。 使用在系統管理員上強制執行多重要素驗證的指導，並確保所有使用者都已在 https://aka.ms/mfasetup 註冊。 在 Microsoft 365 中保護資料和服務存取指南中的步驟 2 和步驟 3 中提供詳細資訊。

步驟 2：降低常見攻擊風險

藍圖的階段 2 著重於緩解最常見的認證竊取與濫用攻擊手法，可在大約 2-4 週內實作。 「受保護的特殊權限存取」計劃的這個階段包含下列動作。

一般準備工作

執行服務、擁有者和管理員的清查

隨著「攜帶您自己的裝置」和在家工作政策的普及，還有無線連線的發展，監視何人連線至您的網路已不可或缺。 安全性稽核可以揭露網路上不受組織支援、風險又高的裝置、應用程式和程式。 如需詳細資訊，請參閱 Azure 安全性管理和監視概觀。 請務必在您的清查程序中納入下列所有工作。

• 識別具有系統管理角色的使用者，以及可供其進行管理的服務。

• 使用 Microsoft Entra PIM 查明組織中哪些使用者具有 Microsoft Entra ID 的管理員存取權。

• 除了在 Microsoft Entra ID 中定義的角色以外，Microsoft 365 也隨附一組您可以指派給組織使用者的管理員角色。 每個管理員角色都對應至常用的商務功能，並授權組織中的人在 Microsoft 365 系統管理中心執行特定的工作。 使用 Microsoft 365 系統管理中心查明組織中哪些使用者具有 Microsoft 365 的管理員存取權，包括透過不在 Microsoft Entra ID 中管理的角色。 如需詳細資訊，請參閱關於 Microsoft 365 管理員角色和 Office 365 的安全性做法。

• 請在組織依賴的服務中清查，例如 Azure、Intune 或 Dynamics 365。

• 請確定您的帳戶是作為管理用途：

  • 附加工作電子郵件地址
  • 已註冊 Microsoft Entra Multi-Factor Authentication 或使用 MFA 內部部署

• 要求使用者提供他們需要系統管理存取權的業務理由。

• 對於不需要管理員存取權的服務與個人，應移除其存取權。

識別擁有管理員角色且需在工作或學校帳戶之間切換的 Microsoft 帳戶

如果初始全域管理員在開始使用 Microsoft Entra ID 時，重複使用其現有的 Microsoft 帳戶認證，請將 Microsoft 帳戶取代為個別雲端式帳戶或同步帳戶。

確實區隔的使用者帳戶和全域管理員帳戶的郵件轉寄

網路攻擊者經常誘騙個人電子郵件帳戶，這種風險讓全域管理員帳戶更不可能使用個人電子郵件地址。 為了杜絕管理員權限的網際網路風險，請為每個具有管理員權限的使用者建立專用帳戶。

• 請務必為使用者建立個別帳戶來執行全域管理員工作。
• 請確定全域管理員不會無意中以其管理員帳戶開啟電子郵件或執行程式。
• 請確定這些帳戶會將其電子郵件轉寄至工作信箱。
• 全域管理員 (和其他特殊權限群組) 帳戶應該是僅限雲端帳戶，與內部部署 Active Directory 沒有任何關聯。

確認最近已變更管理員帳戶的密碼

請確定所有使用者在過去 90 天內登入其系統管理帳戶並變更密碼至少一次。 此外，請確認任何共用帳戶最近已變更密碼。

開啟密碼雜湊同步處理

Microsoft Entra Connect 會將使用者密碼的雜湊，從內部部署 Active Directory 同步到雲端式 Microsoft Entra 組織。 如果您使用與 Active Directory 同盟服務 (AD FS) 同盟，則可以將密碼雜湊同步處理當作備份。 如果內部部署 Active Directory 或 AD FS 伺服器暫時無法使用，此備份就很有用。

密碼雜湊同步處理可讓使用者以登入內部部署 Active Directory 執行個體時的同一個密碼來登入服務。 密碼雜湊同步處理可讓 Identity Protection 比較密碼雜湊與已知遭盜用的密碼，以偵測遭盜用的認證。 如需詳細資訊，請參閱使用 Microsoft Entra Connect 同步實作密碼雜湊同步處理 (部分機器翻譯)。

對於具有特殊權限角色的使用者和公開的使用者，要求使用多重要素驗證

Microsoft Entra ID 建議對所有使用者要求多重要素驗證。 務必考量帳戶遭入侵時會帶來嚴重影響的使用者 (例如財務主管)。 MFA 可降低密碼遭盜用時的攻擊風險。

開啟：

• 使用條件式存取原則的 MFA (對於組織中的所有使用者)。

如果您使用 Windows Hello 企業版，則使用 Windows Hello 登入體驗可符合 MFA 需求。 如需詳細資訊，請參閱 Windows Hello。

設定身分識別保護

Microsoft Entra ID Protection 是一種以演算法為基礎的監視和報告工具，可偵測會影響組織身分識別的潛在弱點。 您可以設定自動化機制來回應這些偵測到的可疑活動，並採取適當動作加以解決。 若需詳細資訊，請參閱 Microsoft Entra ID Protection (部份機器翻譯)。

取得 Microsoft 365 安全分數 (如果使用 Microsoft 365) (部分機器翻譯)

安全分數會檢查您使用的 Microsoft 365 服務有何設定和活動，並與 Microsoft 所建立的基準相互比較。 將會以您遵守安全性作法的程度來打分數。 任何人若有 Microsoft 365 Business Standard 或 Enterprise 訂用帳戶的管理員許可權，即可在 https://security.microsoft.com/securescore 存取安全分數。

請檢閱 Microsoft 365 安全性與合規性指引 (如果使用 Microsoft 365)

安全性與合規性方案概述 Office 365 客戶設定 Office 365 及啟用其他 EMS 功能的方法。 接著，請檢閱如何保護 Microsoft 365 中的資料和服務存取的步驟 3-6，以及如何監視 Microsoft 365 中的安全性和合規性的指南。

設定 Microsoft 365 活動監視 (如果使用 Microsoft 365) (部分機器翻譯)

監視組織中使用 Microsoft 365 的使用者，以識別哪些員工雖然具有管理員帳戶，但可能因為並不登入這些入口網站，而不需要存取 Office 365。 如需詳細資訊，請參閱 Microsoft 365 系統管理中心的活動報告。

建立事件/緊急回應計劃擁有者

建立成功的事件回應能力需要充分規劃和大量資源。 您必須持續監視網路攻擊，並建立事件處理的優先順序。 收集、分析並報告事件資料，與其他內部群組和計劃擁有者建立關係和溝通管道。 如需詳細資訊，請參閱 Microsoft 安全性回應中心。

保護內部部署的特殊權限系統管理帳戶 (如果尚未這麼做)

如果您的 Microsoft Entra 組織與內部部署 Active Directory 同步，請遵循安全性特殊權限存取藍圖中的指引：此階段包括：

• 為需要進行內部部署系統管理工作的使用者建立個別的管理員帳戶
• 為 Active Directory 系統管理員部署特殊權限存取工作站
• 為工作站和伺服器建立唯一的本機管理員密碼

組織管理 Azure 存取的其他步驟

完成訂用帳戶的清查

使用企業版入口網站和 Azure 入口網站，識別您的組織中裝載生產應用程式的訂用帳戶。

從管理員角色移除 Microsoft 帳戶

來自其他程式 (例如 Xbox、Live 和 Outlook) 的 Microsoft 帳戶，不應作為組織訂用帳戶的系統管理員帳戶。 請移除所有 Microsoft 帳戶的管理員身分，並換成 Microsoft Entra ID (例如 chris@contoso.com) 公司或學校帳戶。 基於管理員目的，請依賴 Microsoft Entra ID (而不是其他服務) 中驗證的帳戶。

監視 Azure 活動

「Azure 活動記錄」提供 Azure 中的訂用帳戶層級事件的記錄。 它提供關於何人建立、更新及刪除了什麼資源，以及這些事件於何時發生的資訊。 如需詳細資訊，請參閱稽核和接收 Azure 訂用帳戶中關於重要動作的通知。

組織透過 Microsoft Entra ID 對其他雲端應用程式的存取進行管理的其他步驟

設定條件式存取原則

為內部部署和雲端託管應用程式準備條件式存取原則。 如果您有已加入使用者工作場所的裝置，請從使用 AMicrosoft Entra 裝置註冊來設定內部部署條件式存取取得詳細資訊。

階段 3：掌控管理員活動

階段 3 以階段 2 的緩解措施為基礎，應在大約 1-3 個月內實作。 受保護的特殊權限存取藍圖的這個階段包含下列要項。

一般準備工作

對管理員角色使用者進行存取權審查

有愈來愈多的公司使用者透過雲端服務取得特殊權限存取，這可能導致存取失控。 現今，使用者可能成為 Microsoft 365 的全域管理員、Azure 訂用帳戶管理員，或者，對於 VM 或透過 SaaS 應用程式而具有管理員存取權。

組織應該讓所有員工以無特殊權限使用者身分來處理日常商務交易，然後只在需要時才授與管理員權限。 完成存取權檢閱，以識別並確認有資格啟動管理員權限的使用者。

建議您：

1. 確認哪些使用者是 Microsoft Entra 管理員，隨需啟用 Just-In-Time 管理員存取和角色型安全性控制。
2. 將沒有正當理由可取得管理員特殊權限存取權的使用者轉換為不同角色 (如果沒有符合資格的角色，則將其移除)。

持續對所有使用者逐步實施增強式驗證

高度曝露的使用者需要有新式的增強式驗證，例如 Microsoft Entra Multifactor Authentication 或 Windows Hello。 高度曝露的使用者例子包括：

• 高層主管
• 高階經理
• 重要的 IT 和安全性人員

以專用的工作站處理 Microsoft Entra ID 的管理工作

攻擊者可能嘗試以特殊權限帳戶為目標，以破壞資料的完整性和真確性。 攻擊者經常利用惡意程式碼來改變程式邏輯，或窺探管理員輸入認證。 特殊權限存取工作站 (PAW) 會針對機密工作，提供一個可免受網際網路攻擊和威脅影響的專用作業系統。 將這些敏感性工作和帳戶脫離日常使用的工作站和裝置，可提供強大的保護以避免：

• 網路釣魚攻擊
• 應用程式和作業系統的弱點
• 模擬攻擊
• 認證竊取攻擊，例如記錄按鍵輸入、雜湊傳遞和票證傳遞

您可以部署特殊權限存取工作站，以降低管理員在未經強化的桌面環境輸入認證時的風險。 如需詳細資訊，請參閱特殊權限存取工作站。

檢閱國家標準暨技術研究院針對處理事件的建議做法

美國國家標準技術局 (NIST) 提供了事件處理的指導方針，特別是在分析事件相關資料和判斷每個事件的適當回應方面，有更明確的指示。 如需詳細資訊，請參閱 NIST Computer Security Incident Handling Guide (SP 800-61，修訂 2)。

對其他系統管理角色實作適用於 JIT 的 Privileged Identity Management (PIM)

對於 Microsoft Entra ID，請使用 Microsoft Entra Privileged Identity Management 功能。 您可以透過下列方式在時間限制內啟用特殊權限角色：

• 啟動管理員權限來執行特定工作

• 在啟用程序期間強制執行 MFA

• 使用警示通知管理員有頻外變更

• 讓使用者在預先設定的一段時間內，保留其特殊權限存取

• 允許安全性系統管理員：

  • 探索所有特殊權限身分識別
  • 檢視稽核報告
  • 建立存取權檢閱，以識別每個有資格啟動管理員權限的使用者

如果您已在使用 Microsoft Entra Privileged Identity Management，請視需要調整時限性權限的時間範圍 (例如維護期間)。

判斷是否向密碼式登入通訊協定暴露 (若使用 Exchange Online)

建議找出認證遭盜用時將對組織帶來災難的所有潛在使用者。 針對這些使用者，請施行強式驗證需求，並使用 Microsoft Entra 條件式存取，禁止他們以使用者名稱和密碼登入電子郵件。 您可以使用條件式存取來封鎖舊式驗證，也可以透過 Exchange Online 來封鎖基本驗證。

完成 Microsoft 365 角色的角色檢閱評量 (如果使用 Microsoft 365)

評量所有的管理員使用者是否都屬於正確的角色 (根據這項評量刪除並重新指派)。

檢閱 Microsoft 365 中使用的安全性事件管理方法，並與您自己的組織進行比較

您可以從 Microsoft 365 中的安全性事件管理下載此報告。

繼續保護內部部署的特殊權限系統管理帳戶

如果您的 Microsoft Entra ID 連線至內部部署 Active Directory，請遵循安全性特殊權限存取計劃：階段 2 中的指引。 在這個階段，您需要：

• 為所有管理員部署特殊權限存取工作站
• 需要 MFA
• 使用 Just Enough Admin 來維護網域控制站，以縮小網域的受攻擊面
• 部署進階威脅分析來偵測攻擊

組織管理 Azure 存取的其他步驟

建立整合式監視

適用於雲端的 Microsoft Defender：

• 為所有 Azure 訂用帳戶提供整合式安全性監視和原則管理
• 協助偵測可能被忽視的威脅
• 適用於各式各樣的安全性解決方案

清查裝載虛擬機器中的特殊權限帳戶

您通常不需要讓使用者以無限制權限使用所有 Azure 訂用帳戶或資源。 使用 Microsoft Entra 管理員角色僅授與使用者執行作業所需的存取權。 例如，使用 Microsoft Entra 管理員角色讓一個管理員僅管理訂用帳戶中的 VM，而讓另一個管理員管理同一個訂用帳戶中的 SQL 資料庫。 如需詳細資訊，請參閱什麼是 Azure 角色型存取控制。

為 Microsoft Entra 系統管理員角色實作 PIM

透過具有 Microsoft Entra 系統管理員角色的 Privileged Identity Management，可管理、控制及監視對 Azure 資源的存取。 使用 PIM 進行保護，縮短暴露權限的時間，並透過報告和警示提高可見度。 如需詳細資訊，請參閱什麼是 Microsoft Entra Privileged Identity Management。

使用 Azure 記錄整合將相關 Azure 記錄傳送至您的 SIEM 系統

Azure 記錄整合可讓您將來自 Azure 資源的原始記錄整合到組織現有的安全性資訊與事件管理 (SIEM) 系統。 Azure 記錄整合收集來自 Windows 事件檢視器的 Windows 事件，以及下列來源的 Azure 資源：

• Azure 活動記錄
• 適用於雲端的 Microsoft Defender 警示
• Azure 資源記錄

組織透過 Microsoft Entra ID 對其他雲端應用程式的存取進行管理的其他步驟

為連線的應用程式實作使用者佈建

Microsoft Entra ID 可讓您自動建立和維護雲端應用程式 (例如 Dropbox、Salesforce 和 ServiceNow) 中的使用者身分識別。 如需詳細資訊，請參閱自動化使用 Microsoft Entra ID 對於 SaaS 應用程式的使用者佈建和解除佈建。

整合資訊保護

Microsoft Defender for Cloud Apps 可讓您調查檔案，並根據 Azure 資訊保護分類標籤來設定原則，以更完整檢視和控制雲端資料。 掃描及分類雲端中的檔案，並套用 Azure 資訊保護標籤。 如需詳細資訊，請參閱 Azure 資訊保護整合。

設定條件式存取

針對 SaaS 應用程式和 Microsoft Entra 連線的應用程式，根據群組、位置和應用程式敏感性來設定條件式存取。

監視連線的雲端應用程式中的活動

建議使用 Microsoft Defender for Cloud Apps，以確保在連線的應用程式中也能保護使用者存取。 這項功能可保護企業存取雲端應用程式時的安全性，並保護您的管理員帳戶，可讓您：

• 擴充對雲端應用程式的可見性和控制
• 建立存取、活動和資料共用的原則
• 自動識別風險的活動、異常行為和威脅
• 防止資料外洩
• 盡可能降低風險，並將威脅防護和原則強制執行自動化

Defender for Cloud Apps SIEM 代理程式會整合 Defender for Cloud Apps 與您的 SIEM 伺服器，以啟用 Microsoft 365 警示和活動的集中式監視。 其會在您的伺服器上執行，並從 Defender for Cloud Apps 提取警示和活動，再將其串流至 SIEM 伺服器。 如需詳細資訊，請參閱 SIEM 整合。

步驟 4：繼續建置防禦機制

藍圖的第 4 階段應該在六個月後實作。 完成您的藍圖以增強您的特殊權限存取保護，抵禦現今已知的可能攻擊。 面對未來的安全性威脅，建議持之以恆確保安全性，讓敵人付出更高代價且難以成功入侵您的環境。

保護特殊權限存取攸關保證商務資產的安全性。 但這應該納入完整的安全性計劃中，以持續保證安全性。 此計劃應該包含如下的元素：

• 原則
• Operations
• 資訊安全性
• 伺服器
• 應用程式
• PC
• 裝置
• 雲端網狀架構

建議採取下列做法來管理特殊權限存取帳戶：

• 確保管理員以無特殊權限的使用者身分執行日常業務
• 必要時才授與特殊權限存取，使用完畢就移除 (Just-In-Time)。
• 保留特殊權限帳戶相關的稽核活動記錄

如需關於如何建置完整安全性計劃的詳細資訊，請參閱 Microsoft 雲端 IT 架構資源。 若想利用 Microsoft 服務來協助您實作藍圖的任何部分，請連絡 Microsoft 代表，或請參閱建置重要網路防禦機制以保護您的企業。

「受保護的特殊權限存取」計劃的這個最後階段包含下列要項。

一般準備工作

檢閱 Microsoft Entra ID 中的系統管理員角色

判斷目前內建的 Microsoft Entra 管理員角色是否仍是最新的，並確保使用者只擔任所需的角色。 在 Microsoft Entra ID 中，您可以指派個別的系統管理員來負責不同的功能。 如需詳細資訊，請參閱 Microsoft Entra 內建角色。

檢閱有哪些使用者可管理已加入 Microsoft Entra 的裝置

如需詳細資訊，請參閱如何設定已加入 Microsoft Entra 的混合式裝置。

檢閱內建 Microsoft 365 管理員角色的成員

如果您不是使用 Microsoft 365，請略過此步驟。

驗證事件回應計畫

若要改善您的計劃，Microsoft 建議您定期驗證您的計劃如預期運作：

• 檢查您現有的計劃是否有缺失
• 根據事後分析，修正現有做法或定義新的做法
• 確保更新的事件回應計劃和做法已普及整個組織

組織管理 Azure 存取的其他步驟

確認您是否需要將 Azure 訂用帳戶的擁有權轉移給另一個帳戶。

「急用」：緊急狀況的因應措施

1. 將事件的相關資訊告知重要的管理員和安全主管。

2. 檢閱您的攻擊腳本。

3. 存取您的「急用」帳戶使用者名稱和密碼組合，以登入 Microsoft Entra ID。

4. 提出 Azure 支援要求以取得 Microsoft 的協助。

5. 查看 Microsoft Entra 登入報告。 事件發生後，可能經過一段時間才會出現在報告中。

6. 在混合式環境中，如果同盟的內部部署基礎結構和 AD FS 伺服器無法使用，您可以暫時從同盟驗證切換為使用密碼雜湊同步。此切換會將網域同盟回復到受控驗證，直到 AD FS 伺服器恢復可用為止。

7. 監控特殊權限帳戶的電子郵件。

8. 確實儲存相關記錄的備份，以供可能的鑑識和法律調查使用。

如需關於 Microsoft Office 365 如何處理安全性事件的詳細資訊，請參閱 Microsoft Office 365 中的安全性事件管理。

常見問題集：關於保護特殊權限存取的回答

問：如果我尚未實作任何安全存取元件，應該怎麼辦？

答：定義至少兩個急用帳戶、將 MFA 指派給您的特殊權限管理員帳戶，並將使用者帳戶與全域管理員帳戶區隔開來。

問：遭到入侵後，應最先處理的問題為何？

答：確定您對高度公開的個人要求最嚴格的驗證。

問：如果我們的特殊權限管理員已停用，將會如何？

答：建立永遠保持最新狀態的全域管理員帳戶。

問：如果只剩一個全域管理員，但又連絡不上，怎麼辦？

答：使用您的其中一個急用帳戶立即取得特殊權限存取。

問：如何保護組織內的管理員？

答：讓管理員一律以「不具特殊權限的」標準使用者身分執行日常業務。

問：在 Microsoft Entra ID 中建立管理員帳戶的最佳做法為何？

答：將特殊權限存取保留給特定管理工作。

問：有哪些工具可減少持續性管理員存取？

答：Privileged Identity Management (PIM) 和 Microsoft Entra 管理員角色。

問：將管理員帳戶同步至 Microsoft Entra ID 時，Microsoft 的定位為何？

答：第 0 層管理員帳戶僅用於內部部署 AD 帳戶。 這類帳戶通常不會與雲端的 Microsoft Entra ID 同步。 第 0 層管理員帳戶包括的帳戶、群組及其他資產，可直接或間接控制管理內部部署 Active Directory 樹系、網域、網域控制站和資產。

問：如何防止管理員在入口網站中指派隨機管理員存取？

答：對所有使用者和大部分的管理員使用非特殊權限帳戶。 首先應確認組織的使用量，以判斷哪幾個管理員帳戶應具有特殊權限。 然後監視新建立的系統管理使用者。

下一步

• Microsoft 信任中心 (產品安全性) – Microsoft 雲端產品和服務的安全性功能

• Microsoft 合規性供應項目 – Microsoft 針對雲端服務提供的一組全面合規性供應項目

• 如何執行風險評定的指引 - 管理 Microsoft 雲端服務的安全性與合規性需求

其他 Microsoft Online Services

• Microsoft Intune 安全性 – Intune 可從雲端提供行動裝置管理、行動應用程式管理，和電腦管理能力。

• Microsoft Dynamics 365 安全性 – Dynamics 365 是 Microsoft 雲端式解決方案，可統合客戶關係管理 (CRM) 與企業資源規劃 (ERP) 功能。