備忘錄22-09中說明的其他零信任領域

本指南中的其他文章說明零信任原則的身分識別支柱，如美國管理與預算辦公室（OMB） M 22-09 主管主管 備忘錄中所述。 本文涵蓋身分識別要素以外的零信任成熟度模型區域，並說明下列主題：

• 能見度
• 分析
• 自動化和協調流程
• 控管

能見度

請務必監視您的 Microsoft Entra 租使用者。 假設違反心態，並符合備忘錄 22-09 和 備忘錄 21-31 中的合規性標準。 三個主要記錄類型用於安全性分析和擷取：

• Azure 稽核記錄 來監視目錄的操作活動，例如建立、刪除、更新使用者或群組等物件
  • 使用 也對 Microsoft Entra 設定進行變更，例如條件式存取原則的修改
  • 請參閱 Microsoft Entra 識別碼中的稽核記錄
• 布建記錄 檔具有從 Microsoft Entra ID 同步處理到 Microsoft Identity Manager 等應用程式之物件的相關資訊
  • 請參閱 Microsoft Entra 識別碼中的布建記錄
• Microsoft Entra 登入記錄 ，可監視與使用者、應用程式和服務主體相關聯的登入活動。
  • 登入記錄具有區分的類別
  • 互動式登入會顯示成功和失敗的登入、已套用的原則和其他中繼資料
  • 非互動式使用者登入在登入期間不會顯示任何互動：代表使用者登入的用戶端，例如行動應用程式或電子郵件客戶程式
  • 服務主體登入顯示服務主體或應用程式登入：服務或應用程式透過 REST API 存取服務、應用程式或 Microsoft Entra 目錄
  • Azure 資源的受控識別登入：Azure 資源或存取 Azure 資源的應用程式，例如向 Azure SQL 後端驗證的 Web 應用程式服務。
  • 請參閱 Microsoft Entra ID 中的登入記錄 （預覽）

在 Microsoft Entra ID Free 租使用者中，記錄專案會儲存七天。 具有 Microsoft Entra ID P1 或 P2 授權的租使用者會保留記錄專案 30 天。

確保安全性資訊和事件管理 （SIEM） 工具內嵌記錄。 使用登入和稽核事件來與應用程式、基礎結構、資料、裝置和網路記錄相互關聯。

建議您整合 Microsoft Entra 記錄與 Microsoft Sentinel。 設定連接器以內嵌 Microsoft Entra 租使用者記錄。

深入了解：

• 什麼是 Microsoft Sentinel？
• 連線 Microsoft Entra ID 至 Microsoft Sentinel

針對 Microsoft Entra 租使用者，您可以設定診斷設定，將資料傳送至Azure 儲存體帳戶、Azure 事件中樞或 Log Analytics 工作區。 使用這些儲存體選項來整合其他 SIEM 工具以收集資料。

深入了解：

• 什麼是 Microsoft Entra 監視？
• Microsoft Entra 報告和監視部署相依性

分析

您可以使用下列工具中的分析來匯總來自 Microsoft Entra ID 的資訊，並顯示與基準相較的安全性狀態趨勢。 您也可以流量分析來評估並尋找跨 Microsoft Entra 識別碼的模式或威脅。

• Microsoft Entra ID Protection 會分析登入和其他遙測來源是否有風險行為
  • Identity Protection 會將風險分數指派給登入事件
  • 防止登入或強制逐步驗證，根據風險分數存取資源或應用程式
  • 請參閱什麼是 Identity Protection？
• Microsoft Entra 使用量和深入解析報告 具有類似 Azure Sentinel 活頁簿的資訊，包括具有最高使用量或登入趨勢的應用程式。
  • 使用報告來瞭解可能表示攻擊或其他事件的匯總趨勢
  • 請參閱 Microsoft Entra 識別碼中的使用方式和深入解析
• Microsoft Sentinel 分析來自 Microsoft Entra 識別碼的資訊：
  • Microsoft Sentinel 使用者和實體行為分析 （UEBA） 提供來自使用者、主機、IP 位址和應用程式實體潛在威脅的情報。
  • 流量分析規則範本來搜尋 Microsoft Entra 記錄中的威脅和警示。 您的安全性或作業分析師可以分級並補救威脅。
  • Microsoft Sentinel 活頁簿可協助視覺化 Microsoft Entra 資料來源。 請參閱依國家/地區或應用程式登入。
  • 請參閱常用的 Microsoft Sentinel 活頁簿
  • 請參閱視覺化 收集的資料
  • 請參閱在 Microsoft Sentinel 中使用 UEBA 識別進階威脅

自動化和協調流程

零信任中的自動化有助於因威脅或安全性變更而補救警示。 在 Microsoft Entra 識別碼中，自動化整合有助於厘清動作以改善安全性狀態。 自動化是以從監視和分析接收的資訊為基礎。

使用 Microsoft Graph API REST 呼叫，以程式設計方式存取 Microsoft Entra ID。 此存取需要具有授權和範圍的 Microsoft Entra 身分識別。 使用圖形 API，整合其他工具。

建議您設定 Azure 函式或 Azure 邏輯應用程式，以使用系統指派的受控識別。 邏輯應用程式或函式具有自動化動作的步驟或程式碼。 將許可權指派給受控識別，以授與服務主體目錄執行動作的許可權。 授與受控識別最低許可權。

深入瞭解： 什麼是 Azure 資源的受控識別？

另一個自動化整合點是 Microsoft Graph PowerShell 模組。 使用 Microsoft Graph PowerShell 在 Microsoft Entra ID 中執行一般工作或組態，或併入 Azure 函式或Azure 自動化 Runbook。

控管

記錄您的程式以操作 Microsoft Entra 環境。 使用 Microsoft Entra 功能來控管功能套用至 Microsoft Entra 識別碼中的範圍。

深入了解：

• Microsoft Entra ID 控管作業參考指南
• Microsoft Entra 安全性作業指南
• 什麼是 Microsoft Entra 識別碼治理？
• 符合備忘錄 22-09 的授權需求。

下一步

• 符合具有 Microsoft Entra 識別碼的備忘錄 22-09 身分識別需求
• 全企業身分識別管理系統
• 符合備忘錄 22-09 的多重要素驗證需求
• 符合備忘錄 22-09 的授權需求
• 使用零信任保護身分識別