Azure 身分識別管理安全性概觀

身分識別管理是驗證和授權 安全性主體的程式。 這也涉及控制這些主體 (身分識別) 的資訊。 安全性主體 (身分識別) 可能包括服務、應用程式、使用者、群組等。Microsoft 身分識別與存取管理解決方案可協助 IT 保護跨公司資料中心及在雲端中的應用程式與資源存取。 這類保護可啟用其他層級的驗證，例如多重要素驗證和條件式存取原則。 透過進階安全性報告、稽核和警示來監視可疑活動，有助於減輕潛在的安全性問題。 Microsoft Entra ID P1 或 P2 提供數千個雲端軟體即服務 （SaaS） 應用程式的單一登錄 （SSO），以及您內部部署執行 Web 應用程式的存取權。

藉由利用 Microsoft Entra ID 的安全性優點，您可以：

• 為您的混合式企業中的每個使用者建立和管理單一身分識別，讓使用者、群組和裝置保持同步。
• 提供應用程式的 SSO 存取權，包括數千個預先整合的 SaaS 應用程式。
• 為內部部署和雲端應用程式強制執行以規則為基礎的多重要素驗證，以啟用應用程式存取安全性。
• 透過 Microsoft Entra 應用程式 Proxy 布建對內部部署 Web 應用程式的安全遠端訪問。

本文的目標是提供可協助身分識別管理的核心 Azure 安全性功能概觀。 我們也提供文章的連結，提供每項功能的詳細數據，以便深入瞭解。

本文著重於下列核心 Azure 身分識別管理功能：

• 單一登入
• 反向 Proxy
• 多重要素驗證
• Azure 角色型存取控制 (Azure RBAC)
• 安全性監視、警示和機器學習式報告
• 消費者身分識別與存取管理
• 裝置註冊
• Privileged identity management
• 身分識別保護
• 混合式身分識別管理/Azure AD 連線
• Microsoft Entra 存取權檢閱

單一登入

單一登錄 （SSO） 表示只要使用單一使用者帳戶登入一次，就能夠存取您需要做生意的所有應用程式和資源。 登入之後，您可以存取您不需要驗證的所有應用程式（例如，輸入密碼）第二次。

許多組織都依賴 SaaS 應用程式，例如 Microsoft 365、Box 和 Salesforce 來獲得用戶生產力。 在過去，IT 人員需要個別建立及更新每個 SaaS 應用程式中的用戶帳戶，而且使用者必須記住每個 SaaS 應用程式的密碼。

Microsoft Entra ID 會將 內部部署的 Active Directory 環境延伸至雲端，讓用戶能夠使用其主要組織帳戶來登入其已加入網域的裝置和公司資源，也可以登入其工作所需的所有 Web 和 SaaS 應用程式。

使用者不只需要管理多個使用者名稱和密碼集，您也可以根據其組織群組及其員工狀態自動布建或取消布建應用程式存取權。 Microsoft Entra ID 引進安全性和存取控制控制控制控件，可讓您集中管理使用者跨 SaaS 應用程式的存取權。

深入了解：

• SSO 概觀
• 驗證基本概念的影片
• 應用程式管理的快速入門系列

反向 Proxy

Microsoft Entra 應用程式 Proxy 可讓您在專用網上發佈應用程式，例如 SharePoint 網站、 Outlook Web 應用程式，以及 專用網內的 IIS 型應用程式，並提供您網路外部使用者的安全存取權。 應用程式 Proxy 為許多類型的內部部署 Web 應用程式提供遠端訪問和 SSO，以及 Microsoft Entra ID 支援的數千個 SaaS 應用程式。 員工可以在自己的裝置上從家裡登入您的應用程式，並透過此雲端式 Proxy 進行驗證。

深入了解：

• 啟用 Microsoft Entra 應用程式 Proxy
• 使用 Microsoft Entra 應用程式 Proxy 發佈應用程式
• 使用 應用程式 Proxy 的單一登錄
• 使用條件式存取

多重要素驗證

Microsoft Entra 多重要素驗證是一種驗證方法，需要使用多個驗證方法，並將重要的第二層安全性新增至使用者登入和交易。 多重要素驗證有助於保護對數據和應用程式的存取，同時滿足使用者對簡單登入程式的需求。 它會透過各種驗證選項傳遞強身份驗證：電話、簡訊或行動應用程式通知或驗證碼，以及第三方 OAuth 令牌。

深入瞭解： Microsoft Entra 多重要素驗證的運作方式

Azure RBAC

Azure RBAC 是建置於 Azure Resource Manager 上的授權系統，可在 Azure 中提供更細緻的資源存取管理。 Azure RBAC 可讓您更細微地控制用戶擁有的存取層級。 例如，您可以限制使用者只管理虛擬網路，而另一位使用者管理資源群組中的所有資源。 Azure 包含數個供您使用的內建角色。 以下列出四個基本內建角色。 前三個角色適用於所有資源類型。

• 擁有者 - 具有所有資源的完整存取權，包括將存取權委派給其他人的權限。
• 參與者 - 可以建立及管理所有類型的 Azure 資源，但是不能將存取權授與其他人。
• 讀者 - 可以檢視現有的 Azure 資源。
• 使用者存取系統管理員 - 讓您管理使用者對 Azure 資源的存取權。

深入了解：

• 什麼是 Azure 角色型存取控制 (Azure RBAC)？
• Azure 內建角色

安全性監視、警示和機器學習式報告

識別不一致存取模式的安全性監視、警示和機器學習式報告可協助您保護您的企業。 您可以使用 Microsoft Entra 識別碼存取和使用報告來了解組織目錄的完整性和安全性。 透過這項資訊，目錄管理員可以更妥善地判斷可能的安全性風險可能在於何處，以便他們能夠充分規劃以降低這些風險。

在 Azure 入口網站 中，報表分為下列類別：

• 異常報告：包含我們發現異常的登入事件。 我們的目標是讓您知道這類活動，並讓您判斷事件是否可疑。
• 整合式應用程式報告：提供組織中雲端應用程式使用方式的深入解析。 Microsoft Entra ID 提供與數千個雲端應用程式的整合。
• 錯誤報告：指出當您將帳戶布建至外部應用程式時可能發生的錯誤。
• 使用者特定報告：顯示特定使用者的裝置登入活動數據。
• 活動記錄：包含過去 24 小時內、過去 7 天或過去 30 天內所有稽核事件的記錄，以及群組活動變更和密碼重設和註冊活動。

深入瞭解： Microsoft Entra ID 報告指南

消費者身分識別與存取管理

Azure AD B2C 是一項高可用性、全域的身分識別管理服務，適用於面向取用者的應用程式，可調整為數億個身分識別。 它可以跨行動和 Web 平臺整合。 您的取用者可以使用現有的社交帳戶或建立新的認證，透過可自定義的體驗登入所有應用程式。

過去，想要註冊客戶並登入應用程式的應用程式開發人員會撰寫自己的程序代碼。 而且他們會使用內部部署資料庫或系統來儲存使用者名稱和密碼。 Azure AD B2C 為貴組織提供了更好的方式，讓您能夠將取用者身分識別管理整合到應用程式，以協助安全、以標準為基礎的平臺和一組大量的可延伸原則。

當您使用 Azure AD B2C 時，取用者可以使用其現有的社交帳戶（Facebook、Google、Amazon、LinkedIn）或建立新的認證（電子郵件地址和密碼，或使用者名稱和密碼）來註冊您的應用程式。

深入了解：

• 什麼是 Azure Active Directory B2C？
• Azure Active Directory B2C：應用程式類型

裝置註冊

Microsoft Entra 裝置註冊是裝置型 條件式存取 案例的基礎。 註冊裝置時，Microsoft Entra 裝置註冊會提供裝置在使用者登入時用來驗證裝置的身分識別。 然後，您可以使用已驗證的裝置和裝置屬性，針對裝載於雲端和內部部署的應用程式強制執行條件式存取原則。

與 Intune 等行動裝置管理解決方案結合時，Microsoft Entra 識別碼中的裝置屬性會更新為裝置的其他資訊。 然後，您可以建立條件式存取規則，強制從裝置存取，以符合安全性與合規性的標準。

深入了解：

• 開始使用 Microsoft Entra 裝置註冊
• 使用已加入網域之 Windows 裝置的 Microsoft Entra ID 自動註冊裝置

Privileged identity management

使用 Microsoft Entra Privileged Identity Management，您可以管理、控制及監視特殊許可權身分識別，以及 Microsoft Entra ID 和其他 Microsoft 線上服務，例如 Microsoft 365 和 Microsoft Intune 中的資源存取權。

用戶有時需要在 Azure 或 Microsoft 365 資源或其他 SaaS 應用程式中執行特殊許可權作業。 這通常表示組織必須在 Microsoft Entra ID 中授與使用者永久特殊許可權存取權。 這類存取對於雲端裝載的資源而言是日益嚴重的安全性風險，因為組織無法充分監視使用者使用其系統管理員許可權執行的動作。 此外，如果具有特殊許可權存取權的用戶帳戶遭到入侵，該缺口可能會影響組織的整體雲端安全性。 Microsoft Entra Privileged Identity Management 有助於降低此風險。

使用 Microsoft Entra Privileged Identity Management，您可以：

• 查看哪些使用者是 Microsoft Entra 系統管理員。
• 啟用隨選 Just-In-Time （JIT） 系統管理存取 Microsoft 服務，例如 Microsoft 365 和 Intune。
• 取得有關系統管理員存取歷程記錄和系統管理員指派變更的報告。
• 取得特殊許可權角色存取權的相關警示。

深入了解：

• 什麼是 Microsoft Entra Privileged Identity Management？
• 在 PIM 中指派 Microsoft Entra 目錄角色

身分識別保護

Microsoft Entra ID Protection 是一項安全性服務，可提供對影響組織身分識別的風險偵測和潛在弱點的合併檢視。 Identity Protection 會利用現有的 Microsoft Entra 異常偵測功能，這些功能可透過 Microsoft Entra Anomalous Activity 報告取得。 Identity Protection 也引進了可即時偵測異常的新風險偵測類型。

深入瞭解： Microsoft Entra ID Protection

混合式身分識別管理 （Microsoft Entra 連線）

Microsoft 的身分識別解決方案可跨越內部部署和雲端架構功能，建立單一使用者身分識別以用於所有資源的驗證和授權，不論位於何處。 我們稱之為混合式身分識別。 Microsoft Entra Connect 是一種 Microsoft 工具，其設計目的是要符合並完成混合式身分識別的目標。 這可讓您為與 Microsoft Entra ID 整合之 Microsoft 365、Azure 和 SaaS 應用程式的使用者提供通用身分識別。 它提供下列功能：

• 同步處理
• AD FS 和同盟整合
• 通過驗證
• 健康狀況監視

深入了解：

• 混合式身分識別白皮書
• Microsoft Entra ID

Microsoft Entra 存取權檢閱

Microsoft Entra 存取權檢閱可讓組織有效率地管理群組成員資格、企業應用程式的存取權，以及特殊許可權角色指派。

深入瞭解： Microsoft Entra 存取權檢閱