使用 Microsoft Entra ID 保護貴組織的身分識別
在現今世界試著為員工提供安全身分識別似乎令人卻步,因為您必須快速回應並迅速提供多樣服務的存取權。 本文可協助您提供需執行之動作的簡要清單,協助您根據您擁有的授權類型,識別和設定功能的優先順序。
Microsoft Entra ID 提供多樣功能,並為您的身分識別功能提供多層次安全性,因此瀏覽相關功能有時可能會十分困難。 本文件旨在協助組織快速部署服務,並將安全身分識別作為主要考慮。
每個資料表都提供安全性建議,以保護身分識別免受常見的安全性攻擊,同時將使用者摩擦降至最低。
本指導可協助:
- 以安全且受保護的方式設定存取軟體即服務 (SaaS) 和內部部署應用程式
- 雲端和混合式身分識別
- 遠端或辦公室工作的使用者
必要條件
本指南假設您已在 Microsoft Entra ID 中建立僅限雲端或混合型身分識別。 如需選擇身分識別類型的說明,請參閱後方文章:針對 Microsoft Entra 混合式身分識別解決方案選擇正確的驗證方法 (AuthN)。
Microsoft 建議組織擁有兩個僅限雲端,且永久指派為 全域系統管理員 角色的緊急存取帳戶。 這些帳戶具有高度特殊權限,不會指派給特定個人。 這些帳戶僅限於無法使用一般帳戶或所有其他系統管理員均意外鎖在系統外的緊急狀況或「緊急安全窗口」案例。應遵循 緊急存取帳戶建議 來建立這些帳戶。
引導式逐步解說
如需本文中許多建議的引導式逐步解說,當您登入 Microsoft 365 系統管理中心時,請參閱 設定 Microsoft Entra ID 指南。 若要檢閱最佳做法,而不登入並啟用自動化設定功能,請移至 Microsoft 365 設定入口網站。
Microsoft Entra ID Free、Office 365 或 Microsoft 365 客戶的指導
Microsoft Entra ID Free、Office 365 或 Microsoft 365 應用程式客戶應採取許多建議來保護其使用者身分識別。 下表旨在強調下列授權訂閱的關鍵動作:
- Office 365 (Office 365 E1、E3、E5、F1、A1、A3、A5 版)
- Microsoft 365 (商務基本版、商務版應用程式、商務標準版、商務進階版、A1 版)
- Microsoft Entra ID Free (隨附於 Azure、Dynamics 365、Intune 和 Power Platform)
| 建議的動作 | 詳細資料 |
|---|---|
| 啟用安全性預設值 | 啟用多重要素驗證和封鎖舊版驗證,以保護所有使用者身分識別和應用程式。 |
| 啟用密碼雜湊同步處理 (如使用混合型身分識別) | 提供驗證的備援並改善安全性 (包含智慧鎖定、IP 鎖定和探索已洩漏認證的功能)。 |
| 啟用 AD FS 智慧鎖定 (如適用) | 防止您的使用者體驗到受惡意活動鎖定外部網路帳戶。 |
| 啟用 Microsoft Entra 智慧鎖定 (如使用受控身分識別) | 智慧鎖定會協助鎖定嘗試猜測使用者密碼或使用暴力方法登入的不良執行者。 |
| 停用終端使用者對應用程式的同意 | 管理員同意工作流程可讓管理員以安全的方式,將存取權授與需要管理員核准的應用程式,令終端使用者不會公開公司資料。 Microsoft 建議停用未來的使用者同意作業,以協助減少介面區並降低此風險。 |
| 將資源庫中支援的 SaaS 應用程式與 Microsoft Entra ID 整合,並啟用單一登入 (SSO) | Microsoft Entra ID 有一個資源庫,其中包含數千個預先整合應用程式。 您組織使用的某些應用程式可能就在可從 Azure 入口網站直接存取的資源庫中。 透過改善的使用者體驗 (單一登入 (SSO)),遠端且安全提供公司 SaaS 應用程式的存取權。 |
| 透過 SaaS 應用程式自動化使用者佈建與取消佈建 (如適用) | 在雲端 (SaaS) 應用程式中,自動建立使用者需存取權的使用者身分識別和角色。 除了建立使用者身分識別以外,自動佈建還包括隨著狀態或角色變更,維護和移除使用者身分識別,增加組織的安全性。 |
| 啟用安全混合型存取權:透過現有應用程式傳遞控制站和網路保護舊版應用程式 (如適用) | 透過現有的應用程式傳遞控制站或網路將內部部署和雲端舊版驗證應用程式連線至 Microsoft Entra ID,來發佈和保護這些應用程式。 |
| 啟用自助式密碼重設 (適用於僅限雲端的帳戶) | 使用者無法登入其裝置或應用程式時,此功能可減少技術支援中心呼叫並喪失生產力。 |
| 盡可能使用最低許可權角色 | 僅賦予您的系統管理員存取其所需存取區域的權限。 |
| 啟用 Microsoft 的密碼指引 | 停止要求使用者依照設定的排程變更其密碼,停用複雜性需求,而您的使用者會更容易記住其密碼並維護其安全性。 |
Microsoft Entra ID P1 客戶的指導
下表旨在強調下列授權訂閱的關鍵動作:
- Microsoft Entra ID P1
- Microsoft Enterprise Mobility + Security E3
- Microsoft 365 (E3, A3, F1, F3)
| 建議的動作 | 詳細資料 |
|---|---|
| 啟用 Microsoft Entra 多重要素驗證和 SSPR 的合併式註冊體驗,以簡化使用者的註冊體驗 | 可讓使用者在單一常見體驗中同時註冊 Microsoft Entra 多重要素驗證和自助式密碼重設。 |
| 為您的組織設定多重要素驗證設定 | 確保帳戶受到保護,免於受多重要素驗證的影響。 |
| 啟用自助密碼重設 | 使用者無法登入其裝置或應用程式時,此功能可減少技術支援中心呼叫並喪失生產力。 |
| 執行密碼回寫 (如使用混合型身分識別) | 可讓雲端中的密碼變更回寫至內部部署 Windows Server Active Directory 環境。 |
| 建立並啟用條件式存取原則 | 多重要素驗證可讓系統管理員保護獲派系統管理權限的帳戶。 由於與舊版驗證通訊協定相關的風險增加,因此封鎖舊版驗證通訊協定。 多重要素驗證可讓所有使用者和應用程式針對環境建立平衡的多重要素驗證原則,保護使用者和應用程式。 Azure 管理所需的多重要素驗證,可透過對存取 Azure 資源的所有使用者要求多重要素驗證來保護您的特殊權限資源。 |
| 啟用密碼雜湊同步處理 (如使用混合型身分識別) | 提供驗證的備援並改善安全性 (包含智慧鎖定、IP 鎖定和探索已洩漏認證的功能。) |
| 啟用 AD FS 智慧鎖定 (如適用) | 防止您的使用者體驗到受惡意活動鎖定外部網路帳戶。 |
| 啟用 Microsoft Entra 智慧鎖定 (如使用受控身分識別) | 智慧鎖定會協助鎖定嘗試猜測使用者密碼或使用暴力方法登入的不良執行者。 |
| 停用終端使用者對應用程式的同意 | 管理員同意工作流程可讓管理員以安全的方式,將存取權授與需要管理員核准的應用程式,令終端使用者不會公開公司資料。 Microsoft 建議停用未來的使用者同意作業,以協助減少介面區並降低此風險。 |
| 使用應用程式 Proxy 啟用對內部部署舊版應用程式的遠端存取權 | 啟用 Microsoft Entra 應用程式 Proxy 並與舊版應用程式整合,讓使用者可透過 Microsoft Entra 帳戶登入,並安全存取內部部署應用程式。 |
| 啟用安全混合型存取權:透過現有應用程式傳遞控制站和網路保護舊版應用程式 (如適用)。 | 透過現有的應用程式傳遞控制站或網路將內部部署和雲端舊版驗證應用程式連線至 Microsoft Entra ID,來發佈和保護這些應用程式。 |
| 將資源庫中支援的 SaaS 應用程式與 Microsoft Entra ID 整合,並啟用單一登入 | Microsoft Entra ID 有一個資源庫,其中包含數千個預先整合應用程式。 您組織使用的某些應用程式可能就在可從 Azure 入口網站直接存取的資源庫中。 透過改善的使用者體驗 (SSO),遠端且安全提供公司 SaaS 應用程式的存取權。 |
| 透過 SaaS 應用程式自動化使用者佈建與取消佈建 (如適用) | 在雲端 (SaaS) 應用程式中,自動建立使用者需存取權的使用者身分識別和角色。 除了建立使用者身分識別以外,自動佈建還包括隨著狀態或角色變更,維護和移除使用者身分識別,增加組織的安全性。 |
| 啟用條件式存取 – 裝置型 | 使用裝置型條件式存取來改善安全性與使用者體驗。 此步驟可確保使用者僅透過符合安全性與合規性標準的裝置進行存取。 這些裝置也稱為受控裝置。 受控裝置可為符合 Intune 規範或 Microsoft Entra 混合式聯結裝置。 |
| 啟用密碼保護 | 防止使用者使用弱且易於猜到的密碼。 |
| 盡可能使用最低許可權角色 | 僅賦予您的系統管理員存取其所需存取區域的權限。 |
| 啟用 Microsoft 的密碼指引 | 停止要求使用者依照設定的排程變更其密碼,停用複雜性需求,而您的使用者會更容易記住其密碼並維護其安全性。 |
| 建立組織專屬的自訂禁用密碼清單 | 防止使用者從您的組織或區域建立包含常見字組或片語的密碼。 |
| 針對您的使用者部署無密碼驗證方法 | 為您的使用者提供便利的無密碼驗證方法。 |
| 建立來賓使用者存取權的計劃 | 讓來賓使用者使用自己的公司、學校或社交身分識別登入您的應用程式與服務,藉此與他們共同作業。 |
Microsoft Entra ID P2 客戶的指導
下表旨在強調下列授權訂閱的關鍵動作:
- Microsoft Entra ID P2
- Microsoft Enterprise Mobility + Security E5
- Microsoft 365 (E5, A5)
| 建議的動作 | 詳細資料 |
|---|---|
| 啟用 Microsoft Entra 多重要素驗證和 SSPR 的合併式註冊體驗,以簡化使用者的註冊體驗 | 可讓使用者在單一常見體驗中同時註冊 Microsoft Entra 多重要素驗證和自助式密碼重設。 |
| 為您的組織設定多重要素驗證設定 | 確保帳戶受到保護,免於受多重要素驗證的影響。 |
| 啟用自助密碼重設 | 使用者無法登入其裝置或應用程式時,此功能可減少技術支援中心呼叫並喪失生產力。 |
| 執行密碼回寫 (如使用混合型身分識別) | 可讓雲端中的密碼變更回寫至內部部署 Windows Server Active Directory 環境。 |
| 啟用 Identity Protection 原則來強制執行多重要素驗證註冊 | 管理推出 Microsoft Entra 多重要素驗證。 |
| 啟用 Identity Protection 使用者並登入風險原則 | 啟用 Identity Protection 使用者並登入風險原則。 建議的登入原則以中度風險登入方式為目標,且需要多重要素驗證。 而對於使用者原則,則應鎖定需要密碼變更動作的高風險使用者。 |
| 建立並啟用條件式存取原則 | 多重要素驗證可讓系統管理員保護獲派系統管理權限的帳戶。 由於與舊版驗證通訊協定相關的風險增加,因此封鎖舊版驗證通訊協定。 Azure 管理所需的多重要素驗證,可透過對存取 Azure 資源的所有使用者要求多重要素驗證來保護您的特殊權限資源。 |
| 啟用密碼雜湊同步處理 (如使用混合型身分識別) | 提供驗證的備援並改善安全性 (包含智慧鎖定、IP 鎖定和探索已洩漏認證的功能。) |
| 啟用 AD FS 智慧鎖定 (如適用) | 防止您的使用者體驗到受惡意活動鎖定外部網路帳戶。 |
| 啟用 Microsoft Entra 智慧鎖定 (如使用受控身分識別) | 智慧鎖定會協助鎖定嘗試猜測使用者密碼或使用暴力方法登入的不良執行者。 |
| 停用終端使用者對應用程式的同意 | 管理員同意工作流程可讓管理員以安全的方式,將存取權授與需要管理員核准的應用程式,令終端使用者不會公開公司資料。 Microsoft 建議停用未來的使用者同意作業,以協助減少介面區並降低此風險。 |
| 使用應用程式 Proxy 啟用對內部部署舊版應用程式的遠端存取權 | 啟用 Microsoft Entra 應用程式 Proxy 並與舊版應用程式整合,讓使用者可透過 Microsoft Entra 帳戶登入,並安全存取內部部署應用程式。 |
| 啟用安全混合型存取權:透過現有應用程式傳遞控制站和網路保護舊版應用程式 (如適用)。 | 透過現有的應用程式傳遞控制站或網路將內部部署和雲端舊版驗證應用程式連線至 Microsoft Entra ID,來發佈和保護這些應用程式。 |
| 將資源庫中支援的 SaaS 應用程式與 Microsoft Entra ID 整合,並啟用單一登入 | Microsoft Entra ID 有一個資源庫,其中包含數千個預先整合應用程式。 您組織使用的某些應用程式可能就在可從 Azure 入口網站直接存取的資源庫中。 透過改善的使用者體驗 (SSO),遠端且安全提供公司 SaaS 應用程式的存取權。 |
| 透過 SaaS 應用程式自動化使用者佈建與取消佈建 (如適用) | 在雲端 (SaaS) 應用程式中,自動建立使用者需存取權的使用者身分識別和角色。 除了建立使用者身分識別以外,自動佈建還包括隨著狀態或角色變更,維護和移除使用者身分識別,增加組織的安全性。 |
| 啟用條件式存取 – 裝置型 | 使用裝置型條件式存取來改善安全性與使用者體驗。 此步驟可確保使用者僅透過符合安全性與合規性標準的裝置進行存取。 這些裝置也稱為受控裝置。 受控裝置可為符合 Intune 規範或 Microsoft Entra 混合式聯結裝置。 |
| 啟用密碼保護 | 防止使用者使用弱且易於猜到的密碼。 |
| 盡可能使用最低許可權角色 | 僅賦予您的系統管理員存取其所需存取區域的權限。 |
| 啟用 Microsoft 的密碼指引 | 停止要求使用者依照設定的排程變更其密碼,停用複雜性需求,而您的使用者會更容易記住其密碼並維護其安全性。 |
| 建立組織專屬的自訂禁用密碼清單 | 防止使用者從您的組織或區域建立包含常見字組或片語的密碼。 |
| 針對您的使用者部署無密碼驗證方法 | 為您的使用者提供便利的無密碼驗證方法 |
| 建立來賓使用者存取權的計劃 | 讓來賓使用者使用自己的公司、學校或社交身分識別登入您的應用程式與服務,藉此與他們共同作業。 |
| 啟用 Privileged Identity Management (PIM) | 可讓您管理、控制合監視組織中重要資源的存取權,確保管理員僅在需要且受核准的狀況下取得存取權。 |
| 在 PIM 中完成 Microsoft Entra 目錄角色的存取權檢閱 | 與您的安全性和領導小組合作,一起建立存取權檢閱原則,以根據貴組織原則來檢閱系統管理存取權。 |
零信任
這項功能可協助組織將其 身分識別 與零信任架構的三個指導原則保持一致:
- 明確驗證
- 使用最低權限
- 假設缺口
若要深入了解零信任和其他讓組織與指導原則保持一致的方式,請參閱 零信任指導中心。
下一步
- 如需 Microsoft Entra ID 個別功能的詳細部署指南,請參閱 Microsoft Entra ID 專案部署方案。
- 組織可以使用 身分識別安全分數 來追蹤其進度與其他 Microsoft 建議。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應