Microsoft Entra 一般作業指南參考
Microsoft Entra 作業參考指南的這一節說明您應該採取的檢查和動作,以優化 Microsoft Entra ID 的一般作業。
注意
這些建議是發佈時的最新資訊,但日後可能依情況修訂。 組織應持續評估其營運實務,因為 Microsoft 產品和服務會隨著時間而演進。
重要作業流程
指派各項重要工作的擁有者
管理 Microsoft Entra 識別碼需要持續執行重要作業工作和程式,這可能不屬於推出專案的一部分。 您仍然必須設定這些工作,以優化您的環境。 重要工作及其建議的擁有者包括:
| Task | 負責人 |
|---|---|
| 提升身分識別安全分數 | InfoSec 作業小組 |
| 維護 Microsoft Entra 連線 伺服器 | IAM 作業小組 |
| 定期執行並分級 IdFix 報告 | IAM 作業小組 |
| 分級 Microsoft Entra 連線 同步處理和 AD FS 的健康情況警示 | IAM 作業小組 |
| 如果未使用 Microsoft Entra 連線 Health,則客戶有同等的程式和工具來監視自定義基礎結構 | IAM 作業小組 |
| 如果未使用AD FS,則客戶有相等的程式和工具來監視自定義基礎結構 | IAM 作業小組 |
| 監視混合式記錄:Microsoft Entra 專用網連接器 | IAM 作業小組 |
| 監視混合式記錄:傳遞驗證代理程式 | IAM 作業小組 |
| 監視混合式記錄:密碼回寫服務 | IAM 作業小組 |
| 監視混合式記錄:內部部署密碼保護閘道 | IAM 作業小組 |
| 監視混合式記錄:Microsoft Entra 多重要素驗證 NPS 擴充功能(如果適用) | IAM 作業小組 |
在您檢閱清單時,可能會發現您需要為沒有擁有者的工作指派擁有者,或為擁有者不符合上述建議的工作調整擁有權。
擁有者建議閱讀
混合式管理
最新版的內部部署元件
擁有最新版的內部部署元件可提供客戶所有最新的安全性更新、效能改善和功能,以協助進一步簡化環境。 大部分元件都有自動升級設定,這會將升級程序自動化。
這些元件包括:
- Microsoft Entra Connect
- Microsoft Entra 專用網連接器
- Microsoft Entra 傳遞驗證代理程式
- Microsoft Entra 連線 Health Agents
除非已建立一個元件,否則您應該定義升級這些元件的程式,並盡可能依賴自動升級功能。 如果您發現元件落後六個月以上,您應該儘快升級。
混合式管理建議讀取
Microsoft Entra 連線 健全狀況警示基準
組織應部署 Microsoft Entra 連線 Health,以監視和報告 Microsoft Entra 連線 和 AD FS。 Microsoft Entra 連線 和 AD FS 是可中斷生命週期管理和驗證的重要元件,因此會導致中斷。 Microsoft Entra 連線 Health 可協助監視並取得內部部署身分識別基礎結構的深入解析,進而確保環境的可靠性。
當您監視環境的健康情況時,必須立即解決任何高嚴重性警示,後面接著較低的嚴重性警示。
建議閱讀 Microsoft Entra 連線 Health
內部部署代理程序記錄
某些身分識別和存取管理服務需要內部部署代理程式,才能啟用混合式案例。 範例包括密碼重設、傳遞驗證 (PTA)、Microsoft Entra 應用程式 Proxy 和 Microsoft Entra 多重要素驗證 NPS 延伸模組。 作業小組藉由使用 System Center Operations Manager 或 SIEM 等解決方案來封存和分析元件代理程序記錄,以基準和監視這些元件的健康情況,這是關鍵。 您的 Infosec 作業小組或技術支援中心同樣重要,瞭解如何針對錯誤模式進行疑難解答。
建議讀取內部部署代理程序記錄
- 針對 應用程式 Proxy 進行疑難解答
- 自助式密碼重設疑難解答
- 瞭解 Microsoft Entra 專用網連接器
- Microsoft Entra 連線:針對傳遞驗證進行疑難解答
- 針對 Microsoft Entra 多重要素驗證 NPS 延伸模組的錯誤碼進行疑難解答
內部部署代理程式管理
採用最佳做法可協助內部部署代理程式的最佳作業。 請考慮下列最佳做法:
- 建議每個連接器群組有多個 Microsoft Entra 專用網連接器,藉由在存取 Proxy 應用程式時避免單一失敗點,以提供順暢的負載平衡和高可用性。 如果您目前在處理生產環境中應用程式的連接器群組中只有一個連接器,您應該至少部署兩個連接器以進行備援。
- 建立和使用專用網連接器群組進行偵錯,對於針對案例進行疑難解答,以及在上線新的內部部署應用程式時很有用。 我們也建議您在連接器機器中安裝訊息分析器和 Fiddler 等網路工具。
- 建議使用多個傳遞驗證代理程式,避免在驗證流程期間發生單一失敗點,以提供順暢的負載平衡和高可用性。 請務必部署至少兩個傳遞驗證代理程式以進行備援。
建議讀取內部部署代理程式管理
大規模管理
身分識別安全分數
身 分識別安全分數 提供組織安全性狀態的可量化量值。 不斷審查和解決報告結果的關鍵,並努力獲得最高的分數。 分數可協助您:
- 客觀測量您的身分識別安全性態勢
- 方案身分識別安全性改進項目
- 檢閱您改進項目的成功
如果您的組織目前沒有用來監視身分識別安全分數變更的計劃,建議您實作方案,並指派擁有者來監視和推動改進動作。 組織應儘快補救分數影響高於 30 的改進動作。
通知
Microsoft 傳送電子郵件通訊給系統管理員,以通知服務中的各種變更、所需的設定更新,以及需要系統管理員介入的錯誤。 客戶必須設定通知電子郵件位址,以便通知傳送給可認可並處理所有通知的適當小組成員。 我們建議您將多個收件者新增至訊息中心,並要求將通知(包括 Microsoft Entra 連線 Health 通知)傳送至通訊組清單或共用信箱。 如果您只有一個具有電子郵件位址的全域 管理員 istrator 帳戶,請務必設定至少兩個支援電子郵件的帳戶。
Microsoft Entra ID 會使用兩個「來源」位址: o365mc@email2.microsoft.com、傳送訊息中心通知,以及 azure-noreply@microsoft.com,其會傳送與下列相關的通知:
- Microsoft Entra 存取權檢閱
- Microsoft Entra 連線 Health
- Microsoft Entra ID Protection
- Microsoft Entra Privileged Identity Management
- 企業應用程式到期憑證通知
- 企業應用程式佈建服務通知
請參閱下表,以瞭解已傳送的通知類型,以及檢查通知的位置:
| 通知來源 | 傳送的內容 | 要檢查的位置 |
|---|---|---|
| 技術連絡人 | 同步錯誤 | Azure 入口網站 - 屬性刀鋒視窗 |
| 訊息中心 | 身分識別服務和 Microsoft 365 後端服務的事件和降低通知 | Office 入口網站 |
| Identity Protection 每周摘要 | Identity Protection 摘要 | Microsoft Entra ID Protection 刀鋒視窗 |
| Microsoft Entra Connect Health | 警示通知 | Azure 入口網站 - Microsoft Entra 連線 [健康情況] 刀鋒視窗 |
| 企業應用程式通知 | 憑證即將到期和布建錯誤的通知 | Azure 入口網站 - 企業應用程式刀鋒視窗(每個應用程式都有自己的電子郵件地址設定) |
建議閱讀的通知
操作介面區
AD FS 鎖定
組織,其會將應用程式設定為直接向 Microsoft Entra 標識碼進行驗證,受益於 Microsoft Entra 智慧鎖定。 如果您在 Windows Server 2012 R2 中使用 AD FS,請實作 AD FS 外部網路鎖定保護。 如果您在 Windows Server 2016 或更新版本上使用 AD FS,請實作 外部網路智能鎖定。 我們建議您至少啟用外部網路鎖定,以包含暴力密碼破解攻擊對 內部部署的 Active Directory 的風險。 不過,如果您在 Windows 2016 或更新版本中有 AD FS,您也應該啟用外部網路智慧鎖定,以協助減輕 密碼噴灑 攻擊。
如果 AD FS 僅用於 Microsoft Entra 同盟,則可以關閉一些端點,以將受攻擊面區域降到最低。 例如,如果 AD FS 僅用於 Microsoft Entra ID,則應該停用未針對 usernamemixed 和 windowstransport 啟用的端點以外的 WS-Trust 端點。
存取具有內部部署身分識別元件的機器
組織應該以與內部部署網域相同的方式鎖定對具有內部部署混合式元件的機器存取權。 例如,備份操作員或 Hyper-V 系統管理員不應該能夠登入 Microsoft Entra 連線 Server 來變更規則。
Active Directory 系統管理層模型的設計目的是使用一組緩衝區保護身分識別系統,以完全控制環境(第 0 層)和攻擊者經常入侵的高風險工作站資產。
階層 模型 是由三個層級所組成,只包含系統管理帳戶,而非標準用戶帳戶。
- 第 0 層 - 直接控制環境中的企業身分識別。 第 0 層包括可直接或間接對 Active Directory 樹系、網域或網域控制站進行系統管理控制的帳戶、群組和其他資產及其上的所有資產。 所有第 0 層資產的安全性敏感度都相當於彼此有效控制。
- 第 1 層 - 控制企業伺服器與應用程式。 第 1 層資產包括伺服器作業系統、雲端服務和企業應用程式。 第 1 層系統管理員帳戶對於這些資產上裝載的大量商業價值具有系統管理控制權。 常見的範例角色是伺服器系統管理員,其可利用會影響所有企業服務的能力來維護這些作業系統。
- 第 2 層 - 控制使用者工作站和裝置。 第 2 層系統管理員帳戶對於使用者工作站和裝上裝載的大量商業價值具有系統管理控制權。 範例包括技術支援中心及電腦支援系統管理員,因為他們會影響到幾乎所有使用者資料的完整性。
鎖定內部部署身分識別元件的存取權,例如 Microsoft Entra 連線、AD FS 和 SQL 服務,與域控制器的存取方式相同。
摘要
安全身分識別基礎結構有七個方面。 此列表可協助您找出應採取的動作,以優化 Microsoft Entra ID 的作業。
- 指派各項重要工作的擁有者。
- 將內部部署混合式元件的升級程式自動化。
- 部署 Microsoft Entra 連線 Health,以監視和報告 Microsoft Entra 連線 和 AD FS。
- 使用 System Center Operations Manager 或 SIEM 解決方案來封存和分析元件代理程式記錄,以監視內部部署混合式元件的健康情況。
- 使用身分識別安全分數來測量安全性狀態,以實作安全性改善。
- 鎖定 AD FS。
- 鎖定具有內部部署身分識別元件的機器存取權。
下一步
如需尚未部署之任何功能的實作詳細數據, 請參閱 Microsoft Entra 部署計劃 。