Microsoft Entra ID 控管作業參考指南

Microsoft Entra 作業參考指南 這一節說明您應該採取的檢查和動作,以評估及證明授與非特殊許可權身分識別、稽核和控制環境變更的存取權。

注意

這些建議目前為發佈日期,但可能會隨著時間變更。 組織應持續評估其治理做法,因為 Microsoft 產品和服務會隨著時間而演進。

重要作業程式

將擁有者指派給主要工作

管理 Microsoft Entra 識別碼需要持續執行重要作業工作和程式,這可能不屬於推出專案的一部分。 您仍然必須設定這些工作,以優化您的環境。 主要工作及其建議擁有者包括:

Task 負責人
封存 SIEM 系統中的 Microsoft Entra 稽核記錄 InfoSec 作業小組
探索不符合規範管理的應用程式 IAM 作業小組
定期檢閱應用程式的存取權 InfoSec 架構小組
定期檢閱外部身分識別的存取權 InfoSec 架構小組
定期檢閱具有特殊許可權角色的人員 InfoSec 架構小組
定義安全性閘道以啟用特殊許可權角色 InfoSec 架構小組
定期檢閱同意授與 InfoSec 架構小組
針對組織中員工所依據的應用程式和資源設計目錄和存取套件 應用程式擁有者
定義安全性原則以指派使用者存取套件 InfoSec 小組 + 應用程式擁有者
如果原則包含核准工作流程,請定期檢閱工作流程核准 應用程式擁有者
使用存取權檢閱來檢閱安全性原則中的例外狀況,例如條件式存取原則 InfoSec 作業小組

當您檢閱清單時,您可能會發現您需要為缺少擁有者的工作指派擁有者,或針對與上述建議不一致之擁有者的工作調整擁有者擁有權。

組態變更測試

測試時需要特殊考慮的變更,從推出使用者的目標子集到在平行測試租使用者中部署變更等簡單技術。 如果您尚未實作測試策略,您應該根據下表中的指導方針來定義測試方法:

案例 建議
將驗證類型從同盟變更為 PHS/PTA,反之亦然 使用 分段推出 來測試變更驗證類型的影響。
推出新的條件式存取原則或 Identity Protection 原則 建立新的條件式存取原則,並指派給測試使用者。
將應用程式的測試環境上線 將應用程式新增至生產環境、從 MyApps 面板隱藏應用程式,並在品質保證 (QA) 階段指派給測試使用者。
變更同步處理規則 在測試 Microsoft Entra 連線中執行變更,其設定與目前在生產環境中相同,也稱為預備模式,並分析 CSExport Results。 如果滿意,請在就緒時交換至生產環境。
變更商標 在個別的測試租使用者中測試。
推出新功能 如果此功能支援推出至一組目標使用者,請識別試驗使用者並建置。例如,自助式密碼重設和多重要素驗證可以以特定使用者或群組為目標。
將應用程式從內部部署識別提供者 (IdP) 完全移轉至 Microsoft Entra ID,例如 Active Directory 如果應用程式支援多個 IdP 組態,例如 Salesforce,請在變更期間設定及測試 Microsoft Entra ID(如果應用程式引進 HRD 頁面)。 如果應用程式不支援多個 IdP,請在變更控制視窗和程式停機時間期間排程測試。
更新動態群組規則 使用新規則建立平行動態群組。 比對計算結果,例如,以相同的條件執行 PowerShell。
如果測試通過,請交換使用舊群組的位置(如果可行的話)。
移轉產品授權 請參閱變更 Microsoft Entra 識別碼 中授權群組中單一使用者的授權。
變更 AD FS 規則,例如授權、發行、MFA 使用群組宣告以使用者子集為目標。
變更 AD FS 驗證體驗或類似的全伺服器陣列變更 建立具有相同主機名稱、實作組態變更、使用 HOSTS 檔案、NLB 路由規則或類似路由的用戶端測試平行伺服器陣列。
如果目標平臺不支援 HOSTS 檔案(例如行動裝置),控制變更。

存取權檢閱

應用程式的存取權檢閱

經過一段時間後,使用者可能會在不同小組和位置移動時累積資源的存取權。 資源擁有者務必定期檢閱應用程式的存取權,並移除使用者生命週期中不再需要的許可權。 Microsoft Entra 存取權檢閱 可讓組織有效率地管理群組成員資格、存取企業應用程式和角色指派。 資源擁有者應該定期檢閱使用者的存取權,以確保只有正確的人員能夠繼續存取。 在理想情況下,您應該考慮使用此工作的 Microsoft Entra 存取權檢閱。

Access reviews start page

注意

與存取權檢閱互動的每個使用者都必須擁有付費的 Microsoft Entra ID P2 授權。

外部身分識別的存取權檢閱

請務必在需要期間,讓外部身分識別的存取權受限於所需的資源。 使用 Microsoft Entra 存取權檢閱,針對所有外部身分識別和應用程式存取建立一般自動化存取權檢閱 程式。 如果內部部署已有進程,請考慮使用 Microsoft Entra 存取權檢閱。 一旦應用程式淘汰或不再使用,請移除具有應用程式存取權的所有外部身分識別。

注意

與存取權檢閱互動的每個使用者都必須擁有付費的 Microsoft Entra ID P2 授權。

特殊權限帳戶管理

特殊許可權帳戶使用方式

駭客通常會以系統管理員帳戶和其他特殊許可權存取元素為目標,以快速存取敏感性資料和系統。 由於具有特殊許可權角色的使用者通常會隨著時間累積,因此請務必定期檢閱和管理系統管理員存取權,並提供 Microsoft Entra ID 和 Azure 資源的 Just-In-Time 特殊許可權存取權。

如果您的組織中沒有管理特殊許可權帳戶的程式,或您目前有系統管理員使用其一般使用者帳戶來管理服務和資源,您應該立即開始使用個別帳戶,例如一個用於一般日常活動的帳戶:另一個用於特殊許可權存取,並使用 MFA 進行設定。 更好的是,如果您的組織有 Microsoft Entra ID P2 訂用帳戶,則您應該立即部署 Microsoft Entra Privileged Identity Management (PIM)。 在相同的權杖中,您也應該檢閱這些特殊許可權帳戶,並 視需要指派較少的特殊許可權角色

應實作的特殊許可權帳戶管理的另一個層面,是手動或透過 PIM 自動定義 這些帳戶的存取權檢閱

緊急存取帳戶

組織必須建立 緊急帳戶 ,以便針對驗證中斷等情況管理 Microsoft Entra 識別碼:

  • 驗證基礎結構中斷元件(AD FS、內部部署 AD、MFA 服務)
  • 管理員員工換人

若要避免意外鎖定您的租使用者,因為您無法以系統管理員身分登入或啟用現有的個別使用者帳戶,您應該建立兩個以上的緊急帳戶,並確保它們已實作並符合 Microsoft 的最佳做法 打破玻璃程式

對 Azure EA 入口網站的特殊許可權存取

Azure Enterprise 合約 (Azure EA) 入口網站 可讓您針對主要Enterprise 合約建立 Azure 訂用帳戶,這是企業內的強大角色。 通常先啟動建立此入口網站,再就地取得 Microsoft Entra 識別碼,因此必須使用 Microsoft Entra 身分識別將其鎖定、從入口網站移除個人帳戶、確定已就緒適當的委派,並降低鎖定的風險。

若要清楚,如果 EA 入口網站授權等級目前設定為「混合模式」,您必須從 EA 入口網站中的所有特殊許可權存取中移除任何 Microsoft 帳戶 ,並將 EA 入口網站設定為僅使用 Microsoft Entra 帳戶。 如果未設定 EA 入口網站委派角色,您也應該尋找並實作部門和帳戶的委派角色。

權利管理

權利管理 (EM) 可讓應用程式擁有者組合資源,並將其指派給組織中的特定角色(內部和外部)。 EM 允許自助註冊和委派給企業擁有者,同時讓治理原則授與存取權、設定存取持續時間,以及允許核准工作流程。

注意

Microsoft Entra 權利管理需要 Microsoft Entra ID P2 授權。

摘要

安全身分識別治理有八個層面。 此清單將協助您識別您應該採取的動作,以評估及證明授與非特殊許可權和特殊許可權身分識別、稽核和控制環境變更的存取權。

  • 將擁有者指派給主要工作。
  • 實作測試策略。
  • 使用 Microsoft Entra 存取權檢閱,有效率地管理群組成員資格、企業應用程式和角色指派的存取權。
  • 針對所有類型的外部身分識別和應用程式存取,建立一般、自動化的存取權檢閱程式。
  • 建立存取權檢閱程式,定期檢閱及管理系統管理員存取權,並提供 Microsoft Entra ID 和 Azure 資源的 Just-In-Time 特殊許可權存取權。
  • 布建緊急帳戶,以準備管理非預期的中斷的 Microsoft Entra 識別碼。
  • 鎖定 Azure EA 入口網站的存取權。
  • 實作權利管理,以提供資源集合的受控存取權。

下一步

開始使用 Microsoft Entra 作業檢查和動作