共用方式為


在 Microsoft Entra ID 中,於單一租用戶中隔離資源以確保安全

在單一租用戶內可以達成許多區隔案例。 可能的話,建議您委派由單一租用戶內的個別環境來管理,以提供最佳生產力與共同作業體驗。

結果

資源區隔 - 您可以使用 Microsoft Entra 目錄角色、安全性群組、條件式存取原則、Azure 資源群組、Azure 管理群組、管理單位 (AU) 及其他控制措施,只限使用者、群組及服務主體才能存取資源。 啟用個別的管理員來管理資源。 使用個別的使用者、權限及存取需求。

如有下列情況,請在多個租用戶中使用隔離:

  • 需要全租用戶設定的資源集
  • 租用戶成員未經授權存取的風險承受度最低
  • 設定變更會造成不必要的效果

組態區隔 - 在某些情況下,應用程式之類的資源相依於全租用戶的組態,例如驗證方法或具名位置。 隔離資源時,請考量相依性。 全域管理員可以進行資源設定和全租用戶設定而影響資源。

如果一組資源需要獨特的全租用戶設定,或需要不同實體管理租用戶設定,請利用多個租用戶來使用隔離。

管理區隔 - 您可以使用 Microsoft Entra ID 委派的管理來隔離資源管理,例如應用程式與 API、使用者和群組、資源群組,以及條件式存取原則。

全域管理員可以探索並取得信任資源的存取權。 為已驗證管理員對資源所做的變更,設定稽核和警示。

以在 Microsoft Entra ID 中使用管理單位 (AU),以提供管理區隔。 AU 會限制您為組織某部分所定義角色中的權限。 使用 AU 將服務台管理員角色委派給區域支援專家。 他們才能管理所支援區域中的使用者。

管理單位的圖表。

使用 AU 來分隔使用者、群組及裝置物件。 指派具有動態成員資格群組規則的單位。

使用 Privileged Identity Management (PIM),選取人員以核准具高特殊權限角色的要求。 例如,選擇需要驗證系統管理員存取權的系統管理員,才能變更使用者驗證方法。

注意

使用 PIM 時,每位人員都需有 Microsoft Entra ID P2 授權。

若要確認驗證系統管理員無法管理資源,請使用個別的驗證管理員隔離個別租使用者中的資源。 使用此方法進行備份。 如需範例,請參閱多使用者授權指引

一般使用方式

單一租用戶中多個環境最常見的用途之一,就是分隔生產資源與非生產資源。 在單一租用戶中,開發小組與應用程式擁有者會建立和管理個別的環境,其中包含測試應用程式、測試使用者和群組,以及這些物件的測試原則。 同樣地,小組會建立 Azure 資源與受信任應用程式的非生產執行個體。

使用非生產 Azure 資源與 Microsoft Entra 整合式應用程式的非生產執行個體 ,搭配對等的非生產目錄物件。 目錄中的非生產資源是用於測試用途。

注意

避免 Microsoft Entra 租用戶中有多個 Microsoft 365 環境。 不過,Microsoft Entra 租用戶中可以有多個 Dynamics 365 環境。

單一租用戶中的另一個隔離案例是區隔位置、子公司或階層式管理。 請參閱企業存取模型 (部分機器翻譯)。

使用 Azure 角色型存取控制 (Azure RBAC) 指派,進行 Azure 資源的限定範圍管理。 類似於透過多項功能,啟用 Microsoft Entra ID 信任應用程式的 Microsoft Entra ID 管理功能。 範例包括條件式存取、使用者和群組篩選、系統管理單位指派,以及應用程式指派。

若要確保隔離 Microsoft 365 服務,包括組織層級設定暫存,則請選擇多租用戶隔離

Azure 資源的限定範圍管理

使用 Azure RBAC 設計具有精細範圍和介面區域的管理模型。 請看下列範例中的管理階層:

注意

您可以根據組織的個別需求、限制和目標,定義管理階層。 如需詳細資訊,請參閱雲端採用架構指導, 組織 Azure 資源

租用戶中的資源隔離圖。

  • 管理群組 - 將角色指派給管理群組,以免影響其他管理群組。 在上述案例中,HR 小組可以定義 Azure 原則,以稽核跨所有 HR 訂用帳戶部署資源的區域。
  • 訂用帳戶 - 將角色指派給訂用帳戶,以防止影響其他資源群組。 在上述案例中,HR 小組可以將讀者角色指派給權益訂用帳戶,而不需要讀取其他 HR 訂用帳戶,或其他小組的訂用帳戶。
  • 資源群組 - 將角色指派給資源群組,以免影響其他資源群組。 權益工程小組將參與者角色指派給某一人,來管理測試資料庫和測試 Web 應用程式,或新增更多資源。
  • 個別資源 - 將角色指派給資源,以免影響其他資源。 權益工程小組會為 Azure Cosmos DB 資料庫的測試執行個體指派資料分析師 Cosmos DB 帳戶讀取者角色。 這項工作不會干擾測試 Web 應用程式或生產資源。

如需詳細資訊,請參閱 Azure 內建角色什麼是 Azure RBAC?

該結構為階層式。 因此,階層愈高、其範圍、可見度及在低層級的影響就愈廣。 最上層範圍影響 Microsoft Entra 租用戶邊界的 Azure 資源。 您可以在多個等級套用權限。 此動作會造成風險。 在階層的越上方指派角色會在範圍越下方提供多於預期的存取權。 Microsoft Entra 提供可見度和補救,以協助降低風險。

  • 根管理群組定義將套用至訂用帳戶與資源的 Azure 原則及 RBAC 角色指派。
  • 全域管理員可以為訂用帳戶和管理群組 提高存取權

監視最上層範圍。 請務必計劃資源隔離的其他維度,例如網路。 有關 Azure 網路的一般指導,請參閱 網路安全性的 Azure 最佳做法。 基礎結構即服務 (IaaS) 工作負載的情況中,身分識別和資源隔離都必須是整體設計與策略的一部分。

請根據 Azure 登陸區域概念架構,考慮隔離敏感性或測試資源。 例如,將身分識別訂用帳戶指派給單獨的管理群組。 用於沙箱管理群組中開發的單獨訂用帳戶。 您可以在 企業規模文件中找到更多詳細資料。 在 參考結構的管理群組階層中,也考慮了租用戶中測試的區隔。

Microsoft Entra ID 信任應用程式的限定範圍管理

下一節概述 Microsoft Entra ID 信任應用程式的範圍管理模式。

針對具有獨立使用者指派的相同目錄,Microsoft Entra ID 支援設定自訂和 SaaS 應用程式的多個執行個體,但並非大部分的 Microsoft 服務。 上述範例有旅遊應用程式的生產版本與測試版本。 若要達成應用程式特定的設定與原則區隔,請針對公司租用戶部署生產前版本。 此動作可讓工作負載擁有者使用其公司認證來執行測試。 非生產目錄物件 (例如測試使用者和測試群組) 透過這些物件的個別 所有權 ,而與非生產應用程式產生關聯。

有些全租用戶層面會影響 Microsoft Entra 租用戶邊界中的信任應用程式:

  • 全域管理員可以管理所有全租用戶設定。
  • 其他 目錄角色 (例如使用者系統管理員、應用程式系統管理員和條件式存取系統管理員) 可以在角色的範圍內管理全租用戶設定。

組態設定是全租用戶,例如驗證方法、混合式組態、B2B 共同作業的網域允許清單,以及具名位置。

注意

Microsoft Graph API 權限和同意權限不能限定於群組或 AU 成員。 這些權限會在目錄層級指派。 僅資源特定的同意才允許資源層級的範圍,目前僅限於 Microsoft Teams 聊天權限

重要

Microsoft SaaS 服務 (例如 Office 365、Microsoft Dynamics 和 Microsoft Exchange) 的生命週期繫結至 Microsoft Entra 租用戶。 因此,這些服務的多個執行個體需要多個 Microsoft Entra 租用戶。