Azure 身分識別管理安全性概觀

身分管理是驗證和授權安全主體的過程。 它還涉及控制有關這些主體的資訊（身分識別）。 安全性主體（身分識別）可能包含服務、應用程式、使用者、群組等。Microsoft身分識別和存取管理解決方案可協助IT保護跨公司資料中心及雲端的應用程式和資源存取。 這類保護可啟用其他層級的驗證，例如多重要素驗證和條件式存取原則。 透過進階安全性報告、稽核和警示來監視可疑活動，有助於減輕潛在的安全性問題。 Microsoft Entra ID P1 或 P2 為數千個雲端軟體即服務 （SaaS） 應用程式和您內部部署執行的 Web 應用程式提供單一登錄 （SSO）。

藉由利用 Microsoft Entra 識別碼的安全性優點，您可以：

• 為您的混合式企業中的每個使用者建立和管理單一身分識別，讓使用者、群組和裝置保持同步。
• 提供應用程式的 SSO 存取權，包括數千個預先整合的 SaaS 應用程式。
• 透過同時對內部部署和雲端應用程式強制執行以規則為基礎的多重要素驗證，以啟用應用程式存取安全性。
• 透過 Microsoft Entra 應用程式 Proxy 佈建對內部部署 Web 應用程式的安全遠端存取。

本文的目標是提供可協助身分識別管理的核心 Azure 安全性功能概觀。 我們也提供文章的連結，提供每項功能的詳細數據，以便深入瞭解。

本文著重於下列核心 Azure 身分識別管理功能：

• 單一登錄
• 反向代理
• 多重因素驗證
• Azure 角色型存取控制 （Azure RBAC）
• 安全性監視、警示以及機器學習服務型報告
• 消費者身分識別與存取管理
• 裝置註冊
• 特權身份管理
• 身分識別保護
• 混合式身分識別管理/Azure AD 連線
• Microsoft Entra 存取權檢閱

單一登錄

單一登錄 （SSO） 表示只要使用單一使用者帳戶登入一次，就能夠存取您需要做生意的所有應用程式和資源。 登入後，您可以存取所有您需要的應用程式，而不需再次進行驗證（例如，再次輸入密碼）。

許多組織都依賴 SaaS 應用程式，例如 Microsoft 365、Box 和 Salesforce 來獲得用戶生產力。 在過去，IT 人員必須在每個 SaaS 應用程式中個別建立並更新使用者帳戶，使用者則必須記住每個 SaaS 應用程式的密碼。

Microsoft Entra ID 會將內部部署 Active Directory 環境延伸至雲端，讓用戶不僅能夠使用其主要組織帳戶登入其已加入網域的裝置和公司資源，還能登入其工作所需的所有 Web 和 SaaS 應用程式。

使用者不只需要管理多個使用者名稱和密碼集，您也可以根據其組織群組及其員工狀態自動布建或取消布建應用程式存取權。 Microsoft Entra ID 引進安全性和存取控制，可讓您集中管理使用者跨 SaaS 應用程式的存取權。

瞭解更多資訊：

• SSO 概觀
• 關於驗證基本概念的影片
• 應用程式管理的快速入門系列

反向代理

Microsoft Entra 應用程式 Proxy 可讓您在專用網上發佈應用程式，例如 SharePoint 網站、 Outlook Web 應用程式，以及專用網內的 IIS 型應用程式，並提供您網路外部使用者的安全存取權。 應用程式 Proxy 為許多類型的內部部署 Web 應用程式提供遠端訪問和 SSO，其中包含數千個Microsoft Entra ID 支援的 SaaS 應用程式。 員工可以在自己的裝置上從家裡登入您的應用程式，並透過此雲端式 Proxy 進行驗證。

瞭解更多資訊：

• 啟用 Microsoft Entra 應用程式代理
• 使用 Microsoft Entra 應用程式 Proxy 發佈應用程式
• 使用應用程式代理的單一登入
• 使用條件式存取

多重因素驗證

Microsoft Entra 多重要素驗證是一種驗證方法，需要使用多個驗證方法，並將重要的第二層安全性新增至使用者登入和交易。 多重要素驗證有助於保護對資料與應用程式的存取，同時滿足使用者對簡單登入流程的需求。 它會透過各種驗證選項傳遞強身份驗證：電話、簡訊或行動應用程式通知或驗證碼，以及第三方 OAuth 令牌。

深入瞭解： Microsoft Entra 多重要素驗證的運作方式

Azure RBAC

Azure RBAC 是以 Azure Resource Manager 為基礎的授權系統，可提供 Azure 中資源的更精細存取管理。 Azure RBAC 可讓您更細微地控制用戶擁有的存取層級。 例如，您可以限制使用者只管理虛擬網路，而另一位使用者管理資源群組中的所有資源。 Azure 包含數個您可以使用的內建角色。 以下列出四個基本內建角色。 前三個角色適用於所有資源類型。

• 擁有者 - 具有所有資源的完整存取權，包括將存取權委派給其他人的許可權。
• 參與者 - 可以建立和管理所有類型的 Azure 資源，但無法授與其他資源的存取權。
• 讀者 - 可以檢視現有的 Azure 資源。
• 使用者存取系統管理員 - 可讓您管理使用者對 Azure 資源的存取權。

瞭解更多資訊：

• 什麼是 Azure 角色型存取控制 （Azure RBAC）？
• Azure 內建角色

安全性監視、警示以及機器學習服務型報告

識別不一致存取模式的安全性監視、警示和機器學習式報告可協助您保護您的企業。 您可以使用Microsoft Entra識別符存取和使用報告，以深入了解組織目錄的完整性和安全性。 透過這項資訊，目錄管理員可以更妥善地判斷可能的安全性風險可能在於何處，以便他們能夠充分規劃以降低這些風險。

在 Azure 入口網站中，報告分為下列類別：

• 異常報告：包含我們發現異常的登入事件。 我們的目標是讓您知道這類活動，並讓您判斷事件是否可疑。
• 整合式應用程式報告：提供組織中雲端應用程式使用方式的深入解析。 Microsoft Entra ID 提供與數千個雲端應用程式的整合。
• 錯誤報告：指出當您將帳戶布建至外部應用程式時可能發生的錯誤。
• 使用者特定報告：顯示特定使用者的裝置登入活動數據。
• 活動記錄：包含過去 24 小時內、過去 7 天或過去 30 天內所有稽核事件的記錄，以及群組活動變更和密碼重設和註冊活動。

深入瞭解： Microsoft Entra ID 報告指南

消費者身分識別與存取管理

外部租戶中的 Microsoft Entra 外部 ID 是一項高可用性、全球性的身份管理服務，適用於面向消費者的應用程式，並具備支援數億身份的擴展能力。 此服務可跨行動及 Web 平台進行整合。 您的取用者可以使用現有的社交帳戶或建立新的認證，透過可自定義的體驗登入所有應用程式。

過去，想要註冊客戶並登入應用程式的應用程式開發人員會撰寫自己的程序代碼。 而且他們會使用內部部署資料庫或系統來儲存使用者名稱和密碼。 Microsoft Entra 外部 ID 提供組織更好的方式，將消費者身分管理整合到應用程式中，並利用安全且基於標準的平台以及大量可延伸的原則。

當您使用 Microsoft Entra 外部識別碼時，取用者可以使用其現有的社交帳戶（Facebook、Google、Amazon、LinkedIn）或建立新的認證（電子郵件地址和密碼，或使用者名稱和密碼）來註冊您的應用程式。

深入瞭解外部租戶中的Microsoft Entra External ID

裝置註冊

Microsoft Entra 裝置註冊是裝置型 條件式存取 案例的基礎。 當裝置被註冊時，Microsoft Entra 裝置註冊會賦予裝置一個身分識別，以在使用者登入時驗證裝置。 然後，您可以使用已驗證的裝置和裝置屬性，針對裝載於雲端和內部部署的應用程式強制執行條件式存取原則。

與 Intune 等行動裝置管理解決方案結合使用時，Microsoft Entra 身分識別中的裝置屬性會更新，以包含裝置的其他資訊。 然後，您可以建立條件式存取規則，強制從裝置存取，以符合安全性與合規性的標準。

瞭解更多資訊：

• 開始使用 Microsoft Entra 裝置註冊
• 自動註冊加入 Windows 網域的裝置，使用 Microsoft Entra ID

特權身份管理

透過 Microsoft Entra Privileged Identity Management，您可以管理、控制及監視特殊許可權身分識別，以及存取 Microsoft Entra 標識符中的資源，以及其他Microsoft在線服務，例如 Microsoft 365 和 Microsoft Intune。

用戶有時需要在 Azure 或 Microsoft 365 資源或其他 SaaS 應用程式中執行特殊許可權作業。 這通常表示組織必須授與使用者永久特殊許可權存取Microsoft Entra ID。 這類存取對於雲端裝載的資源而言是日益嚴重的安全性風險，因為組織無法充分監視使用者使用其系統管理員許可權執行的動作。 此外，如果具有特殊許可權存取權的用戶帳戶遭到入侵，該缺口可能會影響組織的整體雲端安全性。 Microsoft Entra Privileged Identity Management 有助於降低此風險。

透過 Microsoft Entra Privileged Identity Management，您可以：

• 查看哪些使用者是 Microsoft Entra 管理員。
• 啟用隨選 Just-In-Time （JIT） 系統管理存取Microsoft服務，例如 Microsoft 365 和 Intune。
• 取得有關系統管理員存取記錄與系統管理員指派變更的報告。
• 取得有關特殊權限角色存取的警示。

瞭解更多資訊：

• Microsoft Entra Privileged Identity Management 是什麼？
• 在 PIM 中指派 Microsoft Entra 目錄角色

身分識別保護

Microsoft Entra ID Protection 是一項安全性服務，可合併檢視影響貴組織身分識別的風險偵測和潛在弱點。 Identity Protection 利用現有的Microsoft Entra 異常偵測功能，這些功能可透過Microsoft Entra Anomalous Activity 報告取得。 Identity Protection 也引進了可即時偵測異常的新風險偵測類型。

深入瞭解： Microsoft Entra ID Protection

混合式身分識別管理（Microsoft Entra Connect）

Microsoft的身分識別解決方案跨越內部部署和雲端式功能，建立單一使用者身分識別來驗證和授權所有資源，而不論位置為何。 我們稱之為混合式身分識別。 Microsoft Entra Connect 是一種 Microsoft 工具，其設計目的是要符合並完成混合式身分識別的目標。 這可讓您為使用者提供Microsoft 365、Azure 和 SaaS 應用程式與 Microsoft Entra ID 整合的通用身分識別。 它提供下列功能：

• 同步
• AD FS 和聯邦整合
• 通過驗證
• 健康監控

瞭解更多資訊：

• 混合式身分識別白皮書
• Microsoft Entra 身份識別

Microsoft Entra 存取權檢閱

Microsoft Entra 存取權檢閱可讓組織有效率地管理群組成員資格、企業應用程式的存取權，以及特殊許可權角色指派。

深入瞭解： Microsoft Entra 存取權檢閱