使用 Microsoft Entra ID 建立強式身分識別基礎的四個步驟
由於應用程式快速移至雲端,管理應用程式和數據的存取無法再依賴傳統的網路安全性界限策略,例如周邊網路和防火牆。 現在,組織必須信任其身分識別解決方案,以控制誰和哪些人員可以存取組織的應用程式和數據。 更多的組織允許員工攜帶自己的裝置來工作,並使用其裝置從任何地方連線到因特網。 確保這些裝置符合規範且安全已成為組織選擇實作的身分識別解決方案中的重要考慮。 在現今的數位工作場所中, 身分識別是任何組織移至雲端的主要控制平面 。
在採用 Microsoft Entra 混合式身分識別解決方案時,組織可以透過自動化、委派、自助和單一登錄功能來存取進階功能,以解除鎖定生產力。 它可讓員工隨時隨地存取公司資源,同時允許 IT 小組控管該存取權,並確保適當的人員在正確的時間能夠存取正確的資源,以建立安全的生產力。
根據我們的學習,此最佳做法檢查清單可協助您快速部署建議的動作,以在組織中建立 強 式身分識別基礎:
- 輕鬆 連線 至應用程式
- 自動為每個使用者建立一個身分識別
- 讓您的使用者安全地獲得授權
- 讓您的深入解析運作
步驟 1 - 輕鬆 連線 應用程式
藉由使用 Microsoft Entra ID 連接您的應用程式,您可以啟用單一登錄並執行自動使用者布建,以改善使用者生產力和安全性。 藉由在單一位置管理您的應用程式,Microsoft Entra ID,您可以將系統管理額外負荷降到最低,並達到安全性與合規性原則的單一控制點。
本節涵蓋管理使用者對應用程式存取、啟用內部應用程式的安全遠端訪問,以及將應用程式移轉至 Microsoft Entra ID 的優點的選項。
讓用戶順暢地使用應用程式
Microsoft Entra ID 可讓系統管理員將應用程式新增至 Microsoft Entra 系統管理中心的 Microsoft Entra 應用連結庫。 將應用程式新增至企業應用程式資源庫可讓您更輕鬆地設定應用程式,以使用 Microsoft Entra ID 作為識別提供者。 它也可讓您使用條件式存取原則管理應用程式的使用者存取權,並設定應用程式的單一登錄(SSO),讓使用者不必重複輸入其密碼,而且會自動登入內部部署和雲端式應用程式。
將應用程式整合至 Microsoft Entra 資源庫之後,使用者可以查看指派給他們的應用程式,並視需要搜尋及要求其他應用程式。 Microsoft Entra ID 提供 數種方法 讓使用者存取其應用程式:
- 「我的應用程式」入口網站
- Microsoft 365 應用程式啟動程式
- 直接登入同盟應用程式
- 直接登入連結
若要深入瞭解使用者對應用程式的存取權,請參閱 步驟 3。
將應用程式從 Active Directory 同盟服務 移轉至 Microsoft Entra 識別碼
將單一登錄組態從 Active Directory 同盟服務 (ADFS) 遷移至 Microsoft Entra ID,可啟用安全性、更一致的管理性和共同作業的其他功能。 為了獲得最佳結果,我們建議您將應用程式從AD FS遷移至 Microsoft Entra ID。 將應用程式驗證和授權帶入 Microsoft Entra ID 提供下列優點:
- 管理成本
- 管理風險
- 提高生產力
- 解決合規性和治理問題
啟用應用程式的安全遠端訪問
Microsoft Entra 應用程式 Proxy 為組織提供簡單的解決方案,可讓需要以安全方式存取內部應用程式的遠端使用者,將內部部署應用程式發佈至雲端。 單一登錄 Microsoft Entra 識別符之後,使用者可以透過外部 URL 或 我的應用程式 入口網站存取雲端和內部部署應用程式。
Microsoft Entra 應用程式 Proxy 提供下列優點:
- 將 Microsoft Entra 識別碼擴充至內部部署資源
- 雲端規模安全性和保護
- 容易啟用的條件式存取和 Multi-Factor Authentication 等功能
- 周邊網路不需要任何元件,例如 VPN 和傳統的反向 Proxy 解決方案
- 不需要輸入連線
- 跨雲端和內部部署裝置、資源和應用程式的單一登入 (SSO)
- 讓用戶隨時隨地都能提高生產力
使用 適用於雲端的 Microsoft Defender 應用程式探索影子IT
在現代企業中,IT 部門通常不知道使用者用來執行其工作的所有雲端應用程式。 當 IT 系統管理員被問及他們認為員工使用多少雲端應用程式時,平均他們說有 30 或 40 個。 事實上,組織中員工所使用的平均應用程序超過1,000個。 80% 的員工使用未經核准的應用程式,但沒有人已檢閱,且可能不符合您的安全性和合規性政策。
適用於雲端的 Microsoft Defender 應用程式可協助您識別受IT可能批准並整合 Microsoft Entra 識別碼的使用者喜愛的實用應用程式,讓使用者受益於 SSO 和條件式存取等功能。
「適用於雲端的 Defender 應用程式可協助我們確保我們的人員正確地使用我們的雲端和 SaaS 應用程式,以支援可協助保護 Accenture 的基本安全策略。 --- 約翰·布拉西,資訊安全董事總經理,輔色
除了偵測影子 IT 之外,適用於雲端的 Microsoft Defender 應用程式也可以判斷應用程式的風險層級、防止未經授權存取公司數據、可能的數據外泄,以及應用程式中固有的其他安全性風險。
步驟 2 - 自動為每個使用者建立一個身分識別
將內部部署和雲端式目錄整合在 Microsoft Entra 混合式身分識別解決方案中,可讓您在雲端中布建現有的身分識別,重複使用現有的 內部部署的 Active Directory 投資。 解決方案會同步處理內部部署身分識別與 Microsoft Entra ID,而 IT 則會讓 內部部署的 Active Directory 以任何現有的治理解決方案作為身分識別的主要事實來源來執行。 Microsoft 的 Microsoft Entra 混合式身分識別解決方案跨越內部部署和雲端式功能,建立一般使用者身分識別來驗證和授權所有資源,而不論其位置為何。
將內部部署目錄與 Microsoft Entra ID 整合,讓您的使用者更具生產力。 藉由提供通用身分識別來存取雲端和內部部署資源,防止使用者跨應用程式和服務使用多個帳戶。 使用多個帳戶是終端使用者和IT的痛點。 從用戶的觀點來看,擁有多個帳戶表示必須記住多個密碼。 為了避免這種情況,許多用戶會針對每個帳戶重複使用相同的密碼,從安全性的觀點來看,這很糟糕。 從 IT 的觀點來看,重複使用通常會導致更多的密碼重設和技術服務人員成本以及用戶投訴。
Microsoft Entra 連線 是用來將內部部署身分識別同步處理至 Microsoft Entra ID 的工具,然後可用來存取整合式應用程式。 身分識別在 Microsoft Entra ID 中之後,就可以布建到 Salesforce 或 Concur 等 SaaS 應用程式。
在本節中,我們會列出提供高可用性、雲端新式驗證,以及減少內部部署使用量的建議。
注意
如果您想要深入瞭解 Microsoft Entra 連線,請參閱什麼是 Microsoft Entra 連線 Sync?
設定 Microsoft Entra 連線 的預備伺服器,並將其保持在最新狀態
Microsoft Entra 連線 在布建程式中扮演重要角色。 如果執行 Microsoft Entra 的伺服器 連線 因為任何原因而離線,內部部署的變更將不會在雲端中更新,並導致使用者存取問題。 請務必定義故障轉移策略,讓系統管理員在 Microsoft Entra 連線 伺服器離機之後,快速繼續同步處理。
若要在主要 Microsoft Entra 連線 伺服器離線時提供高可用性,建議您為 Microsoft Entra 連線 部署個別的預備伺服器。 利用預備模式中的伺服器,您可以在啟用伺服器之前變更組態並預覽變更。 它也可讓您執行完整匯入和完整同步處理,以確認所有變更都預期在生產環境中進行這些變更。 部署預備伺服器可讓系統管理員透過簡單的組態交換器「升級」到生產環境。 在預備模式中設定待命伺服器也可讓您在解除委任舊伺服器時引進新的伺服器。
提示
Microsoft Entra 連線 會定期更新。 因此,強烈建議您將預備伺服器保持在最新狀態,以便利用每個新版本所提供的效能改進、錯誤修正和新功能。
啟用雲端驗證
具有 內部部署的 Active Directory 的組織應使用 Microsoft Entra 連線 將其目錄延伸至 Microsoft Entra ID,並設定適當的驗證方法。 為您的組織選擇正確的驗證方法 ,是您將應用程式移至雲端的第一個步驟。 這是關鍵元件,因為它可控制對所有雲端數據和資源的存取。
在 Microsoft Entra ID 中啟用內部部署目錄物件的雲端驗證最簡單的建議方法是密碼哈希同步 處理 (PHS)。 或者,某些組織可能會考慮啟用 傳遞驗證 (PTA)。
無論您選擇 PHS 或 PTA,都別忘了考慮 SSO 以允許使用者存取應用程式,而不需持續輸入其使用者名稱和密碼。 您可以使用已加入 Microsoft Entra 混合式或加入 Microsoft Entra 的裝置,同時持續存取內部部署資源來達成 SSO。 對於無法加入 Microsoft Entra 的裝置, 無縫單一登錄 (無縫 SSO) 可協助提供這些功能。 如果沒有單一登錄,用戶必須記住應用程式特定的密碼,並登入每個應用程式。 同樣地,IT 人員必須為每個應用程式建立及更新用戶帳戶,例如 Microsoft 365、Box 和 Salesforce。 用戶必須記住其密碼,並花時間登入每個應用程式。 為整個企業提供標準化的單一登錄機制,對於最佳用戶體驗、降低風險、報告和治理的能力至關重要。
對於已經使用 AD FS 或其他內部部署驗證提供者的組織,請移至 Microsoft Entra ID 作為識別提供者,可以減少複雜性並改善可用性。 除非您有使用同盟的特定使用案例,否則建議您從同盟驗證移轉至 PHS 或 PTA。 如此一來,您可以享受降低內部部署使用量的優點,以及雲端提供改善用戶體驗的彈性。 如需詳細資訊,請參閱 從同盟移轉至 Microsoft Entra ID 的密碼哈希同步處理。
啟用帳戶的自動取消布建
為您的應用程式啟用自動化布建和取消布建,是管理跨多個系統身分識別生命週期的最佳策略。 Microsoft Entra ID 支援 對各種熱門 SaaS 應用程式進行自動化、原則式佈建和取消布 建,例如 ServiceNow 和 Salesforce,以及其他實作 SCIM 2.0 通訊協定的其他應用程式。 不同於需要自定義程式碼或手動上傳 CSV 檔案的傳統布建解決方案,布建服務裝載於雲端,以及可使用 Microsoft Entra 系統管理中心設定和管理的預先整合連接器功能。 自動取消布建的主要優點是,它會在離開組織時,立即從重要 SaaS 應用程式移除使用者的身分識別,以協助保護您的組織。
若要深入了解自動使用者帳戶布建及其運作方式,請參閱 使用 Microsoft Entra ID 將使用者布建和取消布建自動化至 SaaS 應用程式。
步驟 3 - 安全地為您的使用者提供授權
在現今的數位工作場所中,平衡安全性與生產力非常重要。 不過,終端使用者通常會回推降低其生產力和應用程式存取權的安全性措施。 為了協助解決此問題,Microsoft Entra ID 提供自助功能,讓用戶能夠保持生產力,同時將系統管理額外負荷降至最低。
本節列出在保持警惕的同時,讓您的用戶能夠消除組織摩擦的建議。
為所有用戶啟用自助式密碼重設
Azure 的 自助式密碼重設 (SSPR) 提供簡單的方法,可讓使用者在不需要系統管理員介入的情況下重設和解除鎖定其密碼或帳戶。 系統包含詳細的報告,可追蹤使用者何時存取系統,以及警示您濫用或濫用的通知。
根據預設,Microsoft Entra ID 會在執行密碼重設時解除鎖定帳戶。 不過,當您啟用 Microsoft Entra 連線 內部部署整合時,您也可以分隔這兩項作業,讓使用者不需要重設密碼即可解除鎖定其帳戶。
確定所有使用者都已註冊 MFA 和 SSPR
Azure 提供組織用來確保用戶已註冊 MFA 和 SSPR 的報告。 尚未註冊的使用者可能需要接受程式教育。
MFA 登入報告 包含 MFA 使用方式的相關信息,並讓您深入瞭解 MFA 在組織中的運作方式。 存取 Microsoft Entra 識別符的登入活動(以及稽核和風險偵測),對於疑難解答、使用分析和鑑識調查至關重要。
同樣地, 自助式密碼管理報告 可用來判斷已註冊 SSPR 的人員。
自助式應用程式管理
在使用者可以從其存取面板自我探索應用程式之前,您必須先啟用 自助應用程式存取 任何您想要讓使用者自行探索並要求存取應用程式的應用程式。 要求可以選擇性地要求核准,再授與存取權。
自助式群組管理
將使用者指派給應用程式在使用群組時最能對應,因為它們可讓大規模管理具有極大的彈性和能力:
- 使用動態群組成員資格以屬性為基礎
- 委派給應用程式擁有者
Microsoft Entra ID 可讓您使用安全組和 Microsoft 365 群組來管理資源的存取權。 這些群組是由群組擁有者所管理,這些擁有者可以核准或拒絕成員資格要求,以及委派群組成員資格的控制。 自助式群組管理功能可讓未獲指派系統管理角色的群組擁有者建立和管理群組,而不必依賴系統管理員來處理其要求,藉此節省時間。
步驟 4 - 讓您的深入解析運作
稽核和記錄安全性相關事件和相關警示是有效策略的基本元件,以確保使用者保持生產力,且您的組織安全。 安全性記錄和報告可協助回答問題,例如:
- 您使用您要支付的費用嗎?
- 我的租使用者中是否有任何可疑或惡意的情況?
- 神秘 在安全性事件期間受到影響?
安全性記錄和報告提供活動的電子記錄,並協助您偵測可能表示嘗試或成功攻擊的模式。 您可以使用稽核來監視用戶活動、記錄法規合規性、進行鑑識分析等等。 警示會提供安全性事件的通知。
為作業指派最低許可權管理員角色
當您考慮作業的方法時,有幾個層級的管理需要考慮。 第一層會將管理負擔放在混合式身分識別 管理員 istrator 上。 一律使用混合式身分識別 管理員 istrator 角色,可能適合較小的公司。 但是對於負責特定工作之技術支援中心人員和系統管理員的較大型組織,指派混合式身分識別 管理員 istrator 的角色可能是安全性風險,因為它可讓這些人員能夠管理超出其功能的工作。
在此情況下,您應該考慮下一層的管理。 您可以使用 Microsoft Entra 識別符,將終端使用者指定為「有限的系統管理員」,這些系統管理員可以在較不具特殊許可權的角色中管理工作。 例如,您可以將安全性讀取者角色指派給技術支持人員,讓他們能夠使用唯讀存取來管理安全性相關功能。 或者,將驗證系統管理員角色指派給個人,讓他們能夠重設非密碼認證,或讀取及設定 Azure 服務健康情況,這很合理。
若要深入瞭解,請參閱 Microsoft Entra ID 中的 管理員 istrator 角色許可權。
使用 Microsoft Entra 連線 Health 監視混合式元件 (Microsoft Entra 連線 Sync,AD FS)
Microsoft Entra 連線 和 AD FS 是可能中斷生命週期管理和驗證的重要元件,最終會導致中斷。 因此,您應該部署 Microsoft Entra 連線 Health 來監視和報告這些元件。
若要深入瞭解,請參閱使用 Microsoft Entra 連線 Health 監視 AD FS。
使用 Azure 監視器收集數據記錄以進行分析
Azure 監視器 是所有 Microsoft Entra 記錄的整合監視入口網站,可提供深入見解、進階分析和智慧機器學習。 透過 Azure 監視器,您可以取用入口網站內的計量和記錄,以及透過 API 來深入瞭解資源的狀態和效能。 它可在入口網站中啟用單一玻璃體驗窗格,同時透過支援傳統第三方 SIEM 系統的 API 和數據匯出選項來啟用廣泛的產品整合。 Azure 監視器也可讓您設定警示規則,以取得通知,或對影響資源的問題採取自動化動作。
為您的領導階層和日常建立自定義儀錶板
沒有 SIEM 解決方案的組織可以使用 適用於 Microsoft Entra ID 的 Azure 監視器活頁簿。 整合包含預先建置的活頁簿和範本,可協助您了解使用者如何採用和使用 Microsoft Entra 功能,讓您深入了解目錄中的所有活動。 您也可以建立自己的活頁簿,並與領導小組共用,以報告日常活動。 活頁簿是監視您企業的絕佳方式,並一目了然地查看您所有最重要的計量。
瞭解您的支援通話驅動程式
當您如本文所述實作混合式身分識別解決方案時,您最終應該注意到支援呼叫的減少。 藉由實作 Azure 的自助式密碼重設來減輕密碼和帳戶鎖定等常見問題,同時啟用自助式應用程式存取可讓使用者自行探索並要求存取應用程式,而不需要依賴 IT 人員。
如果您未觀察到支援通話減少,建議您分析支援通話驅動程式,以嘗試確認 SSPR 或自助式應用程式存取是否已正確設定,或是否有任何其他可有系統地解決的新問題。
「在我們的數字轉型旅程中,我們需要可靠的身分識別和存取管理提供者,以協助我們、合作夥伴與雲端服務提供者之間順暢且安全的整合,以獲得有效的生態系統:Microsoft Entra ID 是最佳選項,提供我們所需的功能和可見度,讓我們能夠偵測和響應風險。 --- 亞讚·阿爾馬斯裡,全球資訊安全總監阿拉馬克斯
監視應用程式的使用方式以推動深入解析
除了探索影子 IT 之外,使用 適用於雲端的 Microsoft Defender Apps 監視整個組織的應用程式使用量,可協助您的組織在移轉時充分利用雲端應用程式的承諾。 它可協助您透過改善活動可見度來控制資產,並提升跨雲端應用程式的重要資料保護。 使用 適用於雲端的 Defender Apps 監視組織中的應用程式使用量,可協助您回答下列問題:
- 員工使用哪些未經批准的應用程式來儲存數據?
- 敏感數據儲存在雲端的位置和時機?
- 神秘 正在存取雲端中的敏感數據?
「透過 適用於雲端的 Defender 應用程式,我們可以快速找出異常狀況並採取行動。 --- Eric LePenske,資訊安全高級經理,輔色
摘要
實作混合式身分識別解決方案有許多層面,但此四個步驟的檢查清單可協助您快速完成身分識別基礎結構,讓使用者更具生產力且更安全。
- 輕鬆 連線 至應用程式
- 自動為每個使用者建立一個身分識別
- 讓您的使用者安全地獲得授權
- 讓您的深入解析運作
我們希望這份檔是建立組織強大身分識別基礎的實用藍圖。
身分識別檢查清單
建議您列印下列檢查清單以供參考,因為您開始在組織中建立更穩固的身分識別基礎的旅程。
Today
| 做? | 項目 |
|---|---|
| 群組的試驗自助式密碼重設 (SSPR) | |
| 使用 Microsoft Entra 連線 Health 監視混合式元件 | |
| 為作業指派最低許可權管理員角色 | |
| 使用 適用於雲端的 Microsoft Defender 應用程式探索影子IT | |
| 使用 Azure 監視器收集數據記錄以進行分析 |
接下來兩周
| 做? | 項目 |
|---|---|
| 讓使用者可以使用應用程式 | |
| 試驗所選 SaaS 應用程式的 Microsoft Entra 布建 | |
| 設定 Microsoft Entra 連線 的預備伺服器,並將其保持在最新狀態 | |
| 開始將應用程式從ADFS遷移至 Microsoft Entra 識別碼 | |
| 為您的領導階層和日常建立自定義儀錶板 |
下個月
| 做? | 項目 |
|---|---|
| 監視應用程式的使用方式以推動深入解析 | |
| 試驗安全的應用程式遠程訪問 | |
| 確定所有使用者都已註冊 MFA 和 SSPR | |
| 啟用雲端驗證 |
接下來三個月
| 做? | 項目 |
|---|---|
| 啟用自助式應用程式管理 | |
| 啟用自助式群組管理 | |
| 監視應用程式的使用方式以推動深入解析 | |
| 瞭解您的支援通話驅動程式 |
下一步
瞭解如何使用 Microsoft Entra ID 的功能和這個五個步驟檢查清單來增加您的安全狀態 - 保護身分識別基礎結構的五個步驟。
瞭解 Microsoft Entra ID 中的身分識別功能如何協助您藉由提供解決方案和功能,協助您加速轉換至雲端控管管理,讓組織能夠快速採用及將更多身分識別管理從傳統內部部署系統移至 Microsoft Entra ID - Microsoft Entra ID 如何傳遞內部部署工作負載的雲端控管管理。