共用方式為

五個保護身分識別基礎結構的步驟

  • 發行項

如果您正在閱讀本文件,想必您已了解安全性有多重要。 您可能已承擔起保護組織的重任。 如果您需要說服別人,讓其了解安全的重要性,請讓他們閱讀最新的 Microsoft 數位防禦報告

本文件會協助您使用 Microsoft Entra ID 的功能,透過五步驟的檢查清單,讓組織預防網路攻擊,並獲得更安全的狀態。

這份檢查清單會藉由說明如何執行下列作業,協助您快速部署重要的建議動作來立即保護組織:

  • 強化認證
  • 縮小受攻擊面區域
  • 將威脅回應自動化
  • 利用雲端智慧
  • 啟用終端使用者自助服務

注意

這份文件中有諸多建議,僅對設定為以 Microsoft Entra ID 作為其識別提供者的應用程式有效。 為應用程式設定單一登入,可確保應用程式會享有認證原則、威脅偵測、稽核、記錄,以及其他已新增至這些應用程式的功能。 管理 Microsoft Entra 應用程式為實現這些建議的基礎。

本文件中的建議事項是與身分識別安全分數相互搭配,其能針對您 Microsoft Entra 租用戶的身分識別安全設定進行自動化評估。 組織可以使用 Microsoft Entra 系統管理中心中的 [身分識別安全分數] 頁面,來尋找其目前安全性設定中的缺口,以確實遵循最新的 Microsoft 安全性最佳做法。 實作「安全分數」頁面中的每個建議,能提升您的分數並允許您追蹤自己的進度,並能協助您與業界其他類似規模的組織比較彼此的實作情況。

Azure 入口網站視窗,顯示身分識別安全分數和一些建議。

注意

此處建議的部分功能可供所有客戶使用,有些則需要訂閱 Microsoft Entra ID P1 或 P2。 如需詳細資訊,請參閱 Microsoft Entra 定價Microsoft Entra 部署檢查清單

開始之前:使用 MFA 保護特殊權限帳戶

在開始進行此檢查清單之前,請確定您不會在閱讀此檢查清單時遭到入侵。 在Microsoft Entra 中,我們每天觀察到 5000 萬個密碼攻擊,但只有少數用戶和系統管理員使用強身份驗證,例如多重要素驗證 (MFA)。 這些統計資料是以 2021 年 8 月的資料為基礎。 在 Microsoft Entra ID 中,具有特殊權限角色的使用者 (例如系統管理員) 是建置和管理環境其餘部分的信任根。 實作下列做法,以將入侵的影響降至最低。

攻擊者若掌控了使用權限的帳戶,將會造成極大破壞,因此請務必於繼續前先保護這些帳戶。 使用 Microsoft Entra 安全性預設值條件式存取,為組織中的所有管理員啟用並要求 Microsoft Entra 多重要素驗證 (MFA)。 這相當重要。

全都準備好了嗎? 那就開始進行此檢查清單吧。

步驟 1:強化認證

雖然其他類型攻擊皆為新興攻擊,包括非人類身分識別的同意網路釣魚和攻擊,但使用者身分識別的密碼型攻擊仍為最普遍常見的身分識別入侵媒介。 針對未實作多重要素驗證 (MFA),或其他防範此類常見手法之保護措施的組織,攻擊者所建立的魚叉式網路釣魚和密碼噴灑活動,持續成功對抗。

作為一個組織,您必須確定其身分識別在任何地方都經過多重要素驗證及保護。 在 2020 年,聯邦調查局 (FBI) 網際網路犯罪投訴中心 (IC3) 報告將網路釣魚識別為受害者投訴的首要犯罪類型。 相較於前一年,報表數目加倍。 網路釣魚對企業和個人皆造成重大威脅,而去年多數最具傷害性的攻擊皆使用認證網路釣魚。 Microsoft Entra 多重要素驗證 (MFA) 可協助保護對資料和應用程式的存取,並使用第二種形式驗證來提供另一層安全性。 組織可以透過條件式存取來啟用多重要素驗證,來調整至其特定需求的解決方案。 請參閱此部署指南,了解如何規劃、實作及推出 AMicrosoft Entra 多重要素驗證

確定組織使用的是強式驗證

如果要輕鬆啟用基本層級的身分識別安全性,建議一選啟用與 Microsoft Entra 安全性預設值搭配使用。 安全性預設設定為對租用戶中的所有使用者強制執行 Microsoft Entra 多重要素驗證,並封鎖來自舊版通訊協定租用戶端的登入。

如果您的組織有 Microsoft Entra P1 或 P2 授權,則也可以使用條件式存取深入解析和報告活頁簿來協助您探索設定和涵蓋範圍中的差距。 從這些建議中,您可以使用新的條件式存取範本體驗來建立原則,輕鬆縮小差距。 條件式存取範本 設計目的為提供簡易方法來部署與 Microsoft 建議最佳做法一致的新原則,使得您能輕鬆地部署一般原則來保護您的身分識別和裝置。

開始禁用常常受到攻擊的密碼,並關閉傳統的複雜性規則及到期規則。

許多組織使用傳統的複雜性規則和密碼到期規則。 Microsoft 的研究表示,並且國家標準暨技術研究院 (NIST) 特別出版物 800-63B 數位身分指導方針指出,這些原則會導致使用者選擇更加容易猜測的密碼。 建議您使用 Microsoft Entra 密碼保護,動態禁用密碼讓使用目前的攻擊者行為,來防止使用者設定容易猜到的密碼。 此功能先前在雲端中建立使用者時便已持續開啟,但現在也可供混合式組織在部署適用於 Windows Server Active Directory 的 Microsoft Entra 密碼保護時使用。 此外,建議您移除到期原則。 密碼變更並無任何內含項目權益,因為網路犯罪者幾乎總是在認證遭入侵時,立即使用認證。 請參閱下列文章,設定貴組織的密碼到期原則

防止認證外洩並新增遇到中斷時的復原能力

要在 Microsoft Entra 中為內部部署目錄物件啟用雲端驗證,最簡易且建議使用的方法為啟用 密碼雜湊同步 (PHS)。 如果您的組織使用搭配傳遞驗證或同盟的混合式身分識別解決方案,則基於下列兩個原因,您應該啟用密碼雜湊同步處理:

  • Microsoft Entra AD 中的認證外洩的使用者報告會針對公開暴露的使用者名稱和密碼組來向您發出警告。 數量驚人的密碼是透過網路釣魚、惡意程式碼,以及在第三方網站上重複使用密碼並於之後遭到入侵而外洩的。 Microsoft 已發現許多此類外洩認證,並會在此報告中告訴您它們是否與您組織的認證相符,但前提是您必須啟用密碼雜湊同步或者擁有僅限雲端的身分識別。
  • 如果發生內部部署中斷 (例如遭遇勒索軟體攻擊),您可以切換成使用採用密碼雜湊同步處理的雲端驗證。此備用驗證方法可讓您繼續存取已設定為使用 Microsoft Entra ID 進行驗證的應用程式,包括 Microsoft 365。 在此情況下,在解決內部部署中斷之前,IT 員工不需要被迫使用個人電子郵件帳戶來共用資料。

密碼永遠都不會以純文字儲存,或在 Microsoft Entra ID 中使用可回復的演算法進行加密。 如需密碼雜湊同步處理實際程序的詳細資訊,請參閱 使用 Azure AD Connect 同步來實作密碼雜湊同步處理

實作 AD FS 外部網路智慧鎖定

智慧鎖定會協助鎖定嘗試猜測使用者密碼或使用暴力方法登入的不良執行者。 此外,智慧鎖定也會辨識來自有效使用者的登入,並將其視為不同於攻擊者和其他不明來源所進行的登入。 攻擊者會遭到鎖定,但您的使用者仍可繼續存取其帳戶並保有生產力。 將應用程式設定為直接向 Microsoft Entra ID 進行驗證的組織,可受益於 Microsoft Entra 智慧鎖定。 使用 AD FS 2016 和 AF FS 2019 的同盟部署,可以啟用 AD FS 外部網路鎖定和外部網路智慧鎖定 來獲得類似的優點。

步驟 2:減少攻擊介面區

由於密碼入侵問題無所不在,所以盡量減少組織的受攻擊面就相當重要。 停用使用較舊、較不安全的通訊協定、限制存取進入點、移至雲端驗證、對資源和採用零信任安全性原則來執行更顯著的管理存取權控制。

使用雲端驗證

認證是一個主要攻擊媒介。 此部落格中的做法可藉由使用雲端驗證、部署 MFA 和使用無密碼驗證方法來縮小受攻擊面。 您可以部署無密碼的方法,例如 Windows Hello 企業版、用「電話」使用 Microsoft Authenticator 應用程式或 FIDO 登入。

封鎖舊式驗證

使用自有舊式方法來向 Microsoft Entra AD 進行驗證和存取公司資料的應用程式,會對組織造成其他風險。 使用舊式驗證的應用程式範例包括 POP3、IMAP4 或 SMTP 用戶端。 舊式驗證應用程式會代表使用者進行驗證,而讓 Microsoft Entra AD 無法進行進階的安全性評估。 作為替代的新式驗證可支援多重要素驗證和條件式存取,所以會減少安全性風險。

我們建議您採取下列動作:

  1. 使用 Microsoft Entra 登入記錄和 Log Analytic 活頁簿探索組織中的舊版驗證。
  2. 將 SharePoint Online 和 Exchange Online 設定為使用新式驗證。
  3. 如果您有 Microsoft Entra ID P1 或 P2 授權,請使用條件式存取原則來封鎖舊版驗證。 針對 Microsoft Entra ID 免費層,請使用 Microsoft Entra 安全性預設值。
  4. 封鎖舊式驗證 (如果您使用 AD FS)。
  5. 使用 Exchange Server 2019 封鎖舊版驗證。
  6. 停用 Exchange Online 中的舊版驗證。

如需詳細資訊,請參閱 封鎖 Microsoft Entra AD 中舊版驗證通訊協定 一文。

封鎖無效的驗證進入點

使用明確驗證準則,您應該降低使用者認證遭入侵時所受的影響。 對於環境中每個應用程式,請考慮有效的使用案例:哪些群組、哪些網路、哪些裝置和其他已授權元素 - 然後將其餘項目封鎖。 透過 Microsoft Entra 條件式存取,即可根據所定義的特定條件,控制獲得授權的使用者要如何存取其應用程式和資源。

如需如何為雲端應用程式和使用者動作使用條件式存取的詳細資訊,請參閱條件式存取雲端應用程式、動作和驗證內容

檢閱和治理管理員角色

另一個零信任要素是需要將遭到入侵的帳戶可使用特殊權限角色以進行操作的可能性降到最低。 將最低許可權指派給身分識別,即可完成此控制項。 如果您不熟悉 Microsoft Entra 角色,本文會協助您了解 Microsoft Entra 角色。

Microsoft Entra AD 中的特殊許可權角色應僅限雲端帳戶,以便將它們與任何內部部署環境隔離,且不會使用內部部署密碼保存庫來儲存該認證。

實作 Privilege Access Management

Privileged Identity Management (PIM) 提供以時間為基礎和以核准為基礎的角色啟用,可降低因重要資源上有過多、不必要或誤用的存取權限而帶來的風險。 這些資源包括 Microsoft Entra ID、Azure 與其他 Microsoft Online Services (例如 Microsoft 365 或 Microsoft Intune) 中的資源。

Microsoft Entra Privileged Identity Management (PIM) 可透過下列方式,協助您盡量降低帳戶特殊權限:

  • 識別和管理指派給系統管理角色的使用者。
  • 了解您應該移除的未用或多餘特殊權限角色。
  • 建立規則以確定特殊權限角色會受到多重要素驗證保護。
  • 建立規則以確定所授與的特殊權限角色有效時間僅足以完成特殊權限工作。

啟用 Microsoft Entra PIM,然後檢視已獲派系統管理角色的使用者,並將這些角色中的不必要帳戶移除。 對於其餘特殊權限使用者,則將它們從永久性角色改為合適角色。 最後,請建立適當原則,以確定當使用者需要存取那些特殊權限角色時,可以搭配必要的變更控制安全地進行。

Microsoft Entra 內建和自訂角色的運作概念與 Azure 資源的角色型的存取控制 (Azure 角色) 類似。 這兩個以角色為基礎的存取控制系統之間的差異 是:

  • Microsoft Entra 角色會使用 Microsoft Graph API,控制使用者、群組和應用程式等 Microsoft Entra 資源的存取權
  • Azure 角色可使用 Azure 資源管理來控制 Azure 資源 (例如虛擬機器或儲存體) 的存取權

這兩個系統都包含類似角色定義和角色指派的概念。 不過,Microsoft Entra 角色權限無法在 Azure 自訂角色中使用,反之亦然。 在部署特殊權限帳戶程序時,請遵循最佳做法建立至少兩個緊急帳戶,以確定您自己在遭到鎖定時,仍可存取 Microsoft Entra AD。

如需詳細資訊,請參閱規劃 Privileged Identity Management 部署和保護特殊權限存取文章。

請務必了解各種 Microsoft Entra 應用程式同意體驗、權限和同意的類型,以及其對組織安全性狀態的影響。 雖然允許使用者自行同意確實可以讓使用者輕鬆地取得與 Microsoft 365、Azure 及其他服務整合的實用應用程式,但如果沒有小心地使用和監視,這麼做也可能代表著有風險。

Microsoft 建議您限制使用者同意,讓使用者只同意來自已驗證發行者的應用程式,以及僅同意您所選取的權限。 如果停用使用者同意功能時,先前所授與的同意仍然有效,但是管理員必須執行所有的同意作業。 對於受限制的情況,使用者可以透過整合式管理員同意要求工作流程或透過您自己的支援流程來要求管理員同意。 在停用使用者同意前,請使用我們的建議以在組織中規劃這項變更。 對於您想要允許所有使用者存取的應用程式,請考慮代表所有使用者授與的同意,以確定尚未個別同意的使用者能夠存取該應用程式。 如果您不想讓這些應用程式可在全部案例中供所有使用者使用,請使用應用程式指派和條件式存取,以限制使用者對特定應用程式的存取。

請確定使用者可以要求管理員核准其使用新的應用程式,以減少使用者摩擦、將支援量降到最低,以及防止使用者使用非 Microsoft Entra 認證來註冊應用程式。 一旦您規範同意作業,管理員則應該定期稽核應用程式和自已所同意的權限。

如需詳細資訊,請參閱文章 Microsoft Entra 同意架構

步驟 3:將威脅回應自動化

Microsoft Entra ID 有許多會自動攔截攻擊的功能,可讓偵測與回應之間沒有延遲。 若能減少罪犯可供用來將自身埋藏到您環境的時間,您就能降低成本和風險。 您可以採取的具體步驟如下。

如需詳細資訊,請參閱操作說明:設定和啟用風險原則

實作登入風險原則

登入風險表示身分識別擁有者未授權身分驗證要求的機率。 您可以透過將登入風險條件新增至條件式存取原則,以實作登入風險型原則,並評估特定使用者或群組的風險等級。 根據風險層級 (高/中/低),原則可以設定為封鎖存取,也可以設定為強制使用多重要素驗證。 建議您針對中等以上風險的登入,強制使用多重要素驗證。

需要 MFA 以進行中高風險登入的條件式存取原則。

實作使用者風險安全性原則

使用者風險可指出使用者身分識別已遭到入侵的可能性,並會根據與使用者身分識別相關聯的使用者風險偵測來算出。 您可以透過將使用者風險條件新增至條件式存取原則,實作使用者風險型原則,並評估特定使用者的風險等級。 根據低、中、高風險層級,原則可以設定為封鎖存取,也可以設定為必須使用多重要素驗證來進行安全密碼變更。 Microsoft 會建議您要求高風險使用者必須進行安全密碼變更。

需要對高風險使用者進行密碼變更的條件式存取原則。

其中包含在使用者風險偵測中,為檢查使用者的認證是否符合網路犯罪洩漏的認證。 如果要以最佳方式運作,請務必實作與 Microsoft Entra Connect 同步的密碼雜湊同步處理。

整合 Microsoft Defender XDR 與 Microsoft Entra ID Protection

如果要讓 Identity Protection 能夠盡可能執行最佳的風險偵測,則需要盡可能地取得更多的訊號。 因此,請務必整合完整 Microsoft Defender XDR 的服務套件:

  • 適用於端點的 Microsoft Defender
  • 適用於 Office 365 的 Microsoft Defender
  • 適用於身分識別的 Microsoft Defender
  • Microsoft Defender for Cloud Apps

在下列影片中,將深入瞭解 Microsoft Threat Protection 和整合不同網域的重要性。

設定監視和警示

監視和稽核您的記錄對於偵測可疑的行為很重要。 Azure 入口網站有多種方式能將 Microsoft Entra 記錄與其他工具整合,例如 Microsoft Sentinel、Azure 監視器和其他 SIEM 工具。 如需詳細資訊,請參閱 Microsoft Entra 安全性作業指南

步驟 4:利用雲端智慧

安全性相關事件的稽核和記錄及相關警示是有效保護策略的重要元件。 安全性記錄和報告會提供可疑活動的電子記錄,並協助您偵測可能指出從外部嘗試或成功滲透網路以及內部攻擊的模式。 您可以使用稽核來監視使用者活動、文件合規性、執行鑑識分析等等。 警示會提供安全性事件通知。 藉由匯出至 Azure 監視器或 SIEM 工具,確定您已備妥登入記錄和稽核記錄,並以 Microsoft Entra ID 記錄。

監視 Microsoft Entra ID

Microsoft Azure 服務和功能提供可設定的安全性稽核和記錄選項,以協助您識別安全性原則和機制間的差距,並解決這些差距以協助防止破壞。 您可以使用 Azure 記錄與稽核以及使用 Microsoft Entra 系統管理中心中的稽核活動報告。 如需監視使用者帳戶、特殊許可權帳戶、應用程式和裝置的詳細資訊,請參閱 Microsoft Entra 安全性作業指南

在混合式環境中監視 Microsoft Entra Connect Health

使用 Microsoft Entra Connect Health 監視 AD FS 可針對您的 AD FS 基礎結構,在潛在問題及攻擊的可見性上,為您提供更加深入的見解。 您現在可以檢視 ADFS 登入,提供更深入的監視。 Microsoft Entra Connect Health 會提供警示與詳細資料、解決步驟,以及相關文件的連結;提供數個驗證流量相關計量的使用情況分析;提供效能監控和報告。 利用 適用於 ADFS 的具風險 IP 活頁簿,協助您識別其環境規範,並在發生變更時發出警示。 所有混合式基礎結構都應該作為第 0 層資產進行監控。 如需這些資產的詳細監視指導,請參閱基礎結構的安全性作業指南

監視 Microsoft Entra ID Protection 功能

Microsoft Entra ID Protection 能提供兩個您應該每天監視的重要報告:

  1. 風險性登入報告會顯示您應該調查的使用者登入活動是否為合法使用者執行登入。
  2. 風險性使用者報告會顯示可能被入侵的使用者帳戶,例如偵測到外洩的認證,或是當使用者從兩個不可能在該時間範圍內於它們之間移動的不同位置登入時。

Azure 入口網站中身分識別保護活動的概觀圖表。

稽核應用程式和已同意的權限

使用者可能會遭到誘騙而瀏覽至被入侵的網站或應用程式,並使其取得使用者的設定檔資訊和使用者資料 (例如其電子郵件)。 惡意的執行者可以使用其所接收到的已同意權限來對使用者的信箱內容進行加密,並要求使用者支付贖金以重新存取其信箱資料。 系統管理員應該檢閱並稽核 \(英文\) 使用者所提供的權限。 除了稽核使用者所提供的權限之外,您還可以在進階環境中找出有風險或不想要的 OAuth 應用程式

步驟 5:啟用終端使用者自助服務

請盡可能地在安全性與生產力之間取得平衡。 和運用打下長遠安全性基礎的心態來著手處理旅程圖的思路相同,您可以藉由既讓使用者獲得能力同時又保持警覺的方式,移除組織中的分歧意見。

實作自助密碼重設

Microsoft Entra ID 的 自助式密碼重設 (SSPR) 提供簡易方法,讓 IT 管理員允許使用者重設或解除鎖定其密碼或帳戶,而不必由服務台或管理員介入處理。 系統包含詳細的報告以供追蹤使用者何時重設其密碼,並有通知可針對誤用或濫用的情形向您發出警示。

實作自助式的群組和應用程式存取

Microsoft Entra ID 可讓非管理員得以使用安全性群組、Microsoft 365 群組、應用程式角色和存取套件目錄來管理資源存取。 自助群組管理可讓群組擁有者管理自己的群組,而不需要指派系統管理角色。 使用者也可以建立及管理 Microsoft 365 群組,而不需要依賴管理員來處理其要求,未使用的群組也會自動到期。 Microsoft Entra 權利管理可透過完整的存取要求工作流程和自動到期功能,進一步實現委派和可見度。 您可以向非管理員委派能力,讓其能夠為所擁有的群組、小組、應用程式和 SharePoint Online 網站設定自己的存取套件,方法是為需要核准存取權的人員自訂原則,包括將員工的經理和商業夥伴贊助商設定為核准者。

實作 Microsoft Entra 存取權檢閱

透過 Microsoft Entra 存取權檢閱,您可以管理存取套件和群組成員資格、企業應用程式的存取權以及特殊權限角色指派,以確保您能夠維持安全性標準。 使用者本身、資源擁有者和其他檢閱者的定期監督,可確保使用者不會在不再需要時還繼續保有存取權。

實作自動的使用者佈建

佈建和取消佈建是確保數位身分識別在多個系統上保持一致的程序。 這些程序通常會當作身分識別生命週期管理的一部分來加以應用。

佈建是根據特定條件在目標系統中建立身分識別的程序。 取消佈建是在不再符合條件時,從目標系統移除身分識別的程序。 同步處理是讓已佈建的物件保持最新狀態的程序,以便使來源物件與目標物件相似。

Microsoft Entra ID 目前提供三個自動化佈建區域。 畫面如下:

  • 透過 HR 驅動佈建,從外部非目錄權威記錄系統佈建到 Microsoft Entra ID
  • 透過應用程式佈建,從 Microsoft Entra ID 佈建至應用程式
  • 透過目錄間佈建,在 Microsoft Entra ID 與 Active Directory 網域服務之間佈建

深入了解:何謂使用 Microsoft Entra ID 進行佈建?

摘要

安全的身分識別基礎結構涉及許多層面,但這份有五個步驟的檢查清單會協助您快速完成更安全可靠的身分識別基礎結構:

  • 強化認證
  • 縮小受攻擊面區域
  • 將威脅回應自動化
  • 利用雲端智慧
  • 啟用終端使用者自助服務

我們非常感謝您如此嚴肅地看待安全性,希望這份文件為讓貴組織達成更安全狀態的實用藍圖。

下一步

如果您需要協助來規劃和部署各項建議,請參閱 Microsoft Entra ID 專案部署方案中的說明。

如果您確信所有這些步驟都已完成,請使用 Microsoft 的身分識別安全分數,以隨時掌握最新的最佳做法和安全性威脅。