設計租用戶設定
Microsoft Entra ID 中的設定是在每個租用戶內完成。 組態設定可控制您的安全性和存取原則。 記錄您的安全性和存取原則,以確保在適用的情況下跨租使用者保持一致性。
跨租用戶的設定一致性
在您擁有管理中心小組的大型EDU環境中,確保租用戶之間的大多數設定都一致:
簡化管理,讓您的中央IT小組更有效率。
讓您更輕鬆地找出問題並進行疑難解答。
讓您更輕鬆地跨租用戶開發、測試和部署軟體。
讓租用戶之間的用戶體驗更加一致且直覺化。
簡化將使用者從一個租使用者移轉到另一個租用戶的程式。
建立原則,讓您的中央IT小組能夠針對哪些租用戶設定進行標準和管理,並由租使用者特定的IT小組進行調整。 租使用者特定系統管理小組可能需要彈性的某些區域包括:
允許外部合作夥伴存取租使用者。 雖然貴組織可能有只允許其其他租使用者存取的原則,但特定區域可能需要特定區域的廠商才能存取 Microsoft Entra B2B 共同作業允許清單。
調整必要的存取原則,例如要求受控裝置符合租用戶或區域特定的安全性需求,或考慮受控裝置的可用性。
試驗新功能,例如嘗試 使用 MyStaff 讓學校主管涵蓋該學校員工特定 IT 工作的區域。
設定外部身分識別
外部身分識別代表來自 Microsoft Entra 租使用者外部的使用者,例如EDU組織中其他租用戶的使用者。 在橫跨多個租使用者的大型EDU組織中,您可以使用 Microsoft Entra企業對企業 (B2B) 共同作業來提供跨這些租使用者的存取權。 Microsoft Entra B2B 可讓您安全地與來自另一個組織的來賓共用組織的應用程式和服務,同時維持對您自己數據的控制。
控制外部共同作業
外部共同作業設定 可讓您開啟或關閉組織中不同類型用戶的來賓邀請。 您也可以指派允許他們邀請來賓的角色,將邀請委派給個別使用者。 外部共同作業設定是在 Microsoft Entra ID 下的 Microsoft Entra 系統管理中心 中管理。
讓來賓出現在全域通訊清單中
您可以在 GAL) 的全域通訊清單) 顯示來賓 ( (外部使用者) :
使用 Microsoft Entra B2B 邀請使用者作為來賓 (建議)
不建議使用 GAL 同步 ()
注意事項
GAL 同步處理不會建立用戶帳戶。 相反地,它所建立的每個聯繫人都是根據租使用者中的物件限制計算的物件。
安全性和存取原則
由於身分識別相關攻擊非常普遍,因此管理安全性可能很困難。 安全性預設值和存取原則可讓您更輕鬆地協助保護貴組織免於遭受密碼噴水、重新執行和網路釣魚等攻擊。
安全性預設
安全性預設值 提供我們代表貴組織管理的安全設定,以確保您的安全,直到您準備好管理自己的身分識別安全性案例為止。 啟用安全性預設值時,我們可以使用下列預先設定的原則設定來協助您保護您的組織:
要求所有用戶註冊 Azure Multi-Factor Authentication
要求系統管理員執行多重要素驗證
封鎖舊版驗證通訊協定
要求使用者在必要時執行多重要素驗證
保護特殊許可權的活動,例如存取 Azure 入口網站
如果您的組織想要立即提高安全性狀態,而且您尚未設定健全的安全性,建議您啟用安全性預設值。 如果您是具有 Microsoft Entra ID P1 或 P2 授權的組織,且目前使用條件式存取原則來強制執行組織原則,則安全性預設值可能不適合您。
在 Azure 入口網站 中啟用安全性預設值,如下圖所示。
適用於 IT 和員工的受控裝置
若要保護租使用者中的資源,請防止具有未知保護層級的裝置存取。 實作裝置管理解決方案,讓使用者只能使用組織所管理的裝置來存取資源。
在 Microsoft Entra ID 中,將裝置視為受控的最低需求是在向 Microsoft Entra ID 註冊時。 系統管理員可以選擇在 Microsoft Entra ID 中實作下列類型的裝置管理:
已加入混合式網域。 由組織擁有並同時加入 內部部署的 Active Directory 和 Microsoft Entra ID的裝置。 一般而言,裝置是由組織購買及管理,並由 System Center Configuration Manager 管理。
Microsoft Entra 網域已加入。 由組織擁有並加入組織 Microsoft Entra 租用戶的裝置。 通常是由組織購買和管理、加入 Microsoft Entra ID,以及由 Microsoft Intune 等服務管理的裝置。
Microsoft Entra 已註冊。 組織所擁有的裝置,或個人裝置,用來存取公司資源。 通常是用來存取公司資源的個人裝置。 組織可能需要透過行動裝置 裝置管理 (MDM) 註冊裝置,或透過行動應用程式管理 (MAM) 強制執行,而不需要註冊即可存取資源。 這項功能可由服務提供,例如 Microsoft Intune。
若要深入瞭解,請 參閱選擇整合方法。
若要進一步增強安全性,我們也建議您為IT和員工建立 Microsoft Entra條件式存取原則。 使用條件式存取,您可以建立授與存取權的單一原則:
選取的雲端應用程式。
針對選取的使用者和群組。
需要受控裝置。
針對系統管理員使用 MFA
指派提高許可權的帳戶是攻擊者的重要目標。 若要將特殊許可權帳戶入侵的風險降到最低,請使用 Azure Multi-Factor Authentication (MFA) 等強式驗證認證,布建具有更高許可權的所有帳戶。
我們建議您至少 建立條件式存取原則,以要求 下列系統管理角色使用 MFA:
計費管理員
條件式存取系統管理員
Exchange 系統管理員
全域管理員
技術服務人員 (密碼) 系統管理員
安全性系統管理員
SharePoint 系統管理員
使用者系統管理員
如果使用者有多重要素驗證方法可供他們使用,請針對可存取學生記錄等敏感性資訊的使用者強制執行 MFA。
風險原則
透過 Microsoft Entra ID,系統管理員可以建立原則來防範特定類型的風險:
登入風險。 識別擁有者未授權給定驗證要求的機率。
使用者風險。 提供身分識別或帳戶遭到入侵的機率。
登入風險原則和用戶風險原則會自動回應您環境中的風險偵測,並允許使用者自行補救風險。
具有 Microsoft 365 A5 授權 (或 Microsoft Entra ID P2 授權的教育組織) 可以使用 Microsoft Entra ID Protection 來保護其帳戶。 您也可以建立 登入風險型條件式存取原則 和 以用戶風險為基礎的條件式存取原則。
設定用戶風險原則,讓 高風險用戶 必須在登入后變更其密碼。
最佳做法
定義條件式存取原則,以強制執行身分識別安全性狀態,並將登入風險和用戶風險降至最低。 這應該包含 MFA 和裝置型控件的控制項,以便只透過受管理的裝置和預期的位置啟用存取。
所有應用程式都應該套用明確的條件式存取原則。
套用至具有相同需求的多個應用程式,以將條件式存取原則的數目降至最低。
設定 緊急存取帳戶 以減輕意外鎖定的影響,以規劃中斷。
在 僅限報表模式中設定條件式存取原則。
如需個別環境條件式存取原則的一般指引,請參閱 CA 最佳做法和 Microsoft Entra 作業指南:
應用程式註冊。
只有具有較高許可權的使用者可以執行工作,例如將應用程式新增至應用連結庫,或將應用程式設定為使用 應用程式 Proxy。 不過,根據預設,您目錄中的所有用戶都能夠註冊應用程式和服務主體物件。 他們也可以自行決定哪些應用程式可以透過使用者同意來存取其組織數據。
建議您 停用使用者同意 ,讓非特殊許可權的帳戶無法在租使用者中建立應用程式和服務主體物件。 請 改為委派小組成員應用程式管理角色 ,例如應用程式管理員、應用程式開發人員或雲端應用程式管理員角色。 使用角色會集中決策程式,以同意貴組織的安全性和身分識別小組。
應用程式整合
可能的話,請使用 Microsoft Entra 應用連結庫來整合支援的 SaaS 應用程式,您可以在其中找到使用 Microsoft Entra ID 的預先設定應用程式。 如果您的應用程式無法在 Microsoft Entra 應用連結庫中使用,您可以在 Microsoft Entra 系統管理中心 中新增未列出的應用程式。
在混合式環境中,您可以使用 Microsoft Entra 應用程式 Proxy 來啟用舊版應用程式的安全遠程訪問。 應用程式 Proxy 可讓使用者使用其 Microsoft Entra 帳戶存取內部部署 Web 應用程式,而不需要 VPN。
或者,如果您目前使用下列任何第三方應用程式傳遞或網路解決方案,則可以保護對舊版應用程式的存取:
設計租用戶安全性
除了上述建議之外,我們也建議您在 Microsoft Entra 系統管理中心 中設定下列設定,進一步鎖定您的租使用者。
使用者設定
| 設定 | 值 | 原因 |
|---|---|---|
| 管理入口網站 | ||
| 限制存取 Microsoft Entra 管理入口網站 | 是 | 此設定會封鎖非特殊許可權帳戶存取 Azure 入口網站 的 Microsoft Entra ID 區段。 |
| LinkedIn帳戶連線 | 否 | 無業務需求 |
| 應用程式註冊。 | ||
| 用戶可以註冊應用程式 | 否 | 針對教育組織,Microsoft 建議防止非特殊許可權帳戶在租使用者中建立應用程式和服務主體物件。 相反地,請將小組成員明確指派給應用程式管理角色,例如應用程式系統管理員、應用程式開發人員或雲端應用程式管理員角色。 |
外部身分識別設定
| 設定 | 值 | 原因 | |
|---|---|---|---|
| 只允許來自相同組織的租使用者 | |||
| 來賓許可權有限 | 否 | 來賓來自已知的租使用者。 | |
| 系統管理員與來賓邀請者角色中的使用者可以邀請 | 是 | 當邀請只允許指定的網域時,可以委派來賓邀請。 | |
| 成員可以邀請,來賓可以邀請 | 否 | 只允許具有來賓邀請者角色的特定系統管理員或系統管理員/用戶邀請來賓,進一步控制受邀進入租用戶的人員。 | |
| 為來賓啟用電子郵件一次性密碼 (預覽) | 否 | 來賓來自已知的租使用者。 | |
| 透過使用者流程啟用來賓自助式註冊 (預覽) | 否 | 只有指定的網域才允許邀請,而用戶帳戶則 Microsoft Entra 其他租使用者中的帳戶。 | |
| 共同作業限制 – 只允許邀請指定的網域 | 限制最嚴格的 | Microsoft 建議針對具有多個租使用者的大型組織,使用 B2B 共同作業功能來提供租用戶之間的存取權, 當您將共同作業設定設定為 [只允許邀請指定的網域 (限制最嚴格的) 時,您會將屬於組織的所有網域包含在 允許清單中,這會自動拒絕任何其他網域的邀請。 或者,如果您的學校與其他組織有合作關係,您可以將邀請新增至允許清單,將邀請限制為僅限這些組織。 |
|
| 允許在組織外部共同作業 | |||
| 來賓許可權有限 | 是 | 來賓可以來自自己的組織外部,此設定會限制來自特定目錄工作,例如列舉使用者、群組或其他目錄物件。 | |
| 系統管理員和來賓邀請者角色中的使用者可邀請 | 否 | 建議您在共同作業限制設定為允許邀請傳送至任何網域時,使用委派的系統管理員群組來控制邀請。 | |
| 成員可以邀請,來賓可以邀請 | 否 | 只允許具有來賓邀請者角色的特定系統管理員或系統管理員/用戶邀請來賓,進一步控制受邀進入租用戶的人員。 | |
| 為來賓啟用電子郵件一次性密碼 (預覽) | 是 | 邀請您組織外部的使用者時,建議使用OTP。 | |
| 透過使用者流程啟用來賓自助式 (預覽) | 否 | 建議您控制邀請,而不是讓來賓自助註冊租使用者。 | |
| 共同作業限制 – 允許將邀請傳送至任何網域 | 最具包容性 | 當需要與其他多個租使用者共同作業時,例如與合作夥伴、外部顧問、其他教育組織等共同作業時,建議設定。 |
使用者功能預覽設定
| 設定 | 值 | 原因 |
|---|---|---|
| 使用者可以使用預覽功能進行 我的應用程式 | 無/選取/全部 | 設定取決於 我的應用程式 入口網站及其功能的使用和需求。 您可以考慮使用 我的應用程式 入口網站,只將您組織的雲端式應用程式存取權提供給員工或包括學生在內的所有人。 |
| 用戶可以使用合併的安全性資訊註冊體驗 | 全部 | 建議您使用增強的驗證方法,例如無密碼認證,以及條件式存取來保護安全性信息註冊。 |
| 系統管理員可以存取 [我的員工] | 無/選取/全部 | 設定取決於 [我的員工] 的使用和需求。 您可以考慮使用 [我的員工] 將一般技術服務人員工作委派給員工。 [我的員工] 可讓您委派給授權單位,例如學校主管,以確保其教職員能夠存取其 Microsoft Entra 帳戶的許可權。 組織可以委派一般工作,例如重設密碼或將電話號碼變更為學校主管,而不是依賴中央技術服務人員。 使用 [我的員工] 時,無法存取其帳戶的使用者只要選取幾個即可重新取得存取權,而不需要技術服務人員或 IT 人員。 |
群組管理設定
| 設定 | 值 | 原因 | |
|---|---|---|---|
| 自助式群組管理 | |||
| 擁有者可以在 存取面板 中管理群組成員資格要求 | 否 | EDU 租使用者中的群組可能會有敏感性資源存取 (例如,存取應該結構化及控管的學生資訊) 。 不建議針對這些案例使用使用者起始的管理 | |
| 限制使用者存取 存取面板 中群組功能的能力。 不論此設定的值為何, (全域、群組和使用者 管理員) 的系統管理員都可以存取 | 是 | EDU 租使用者中的群組可能會有敏感性資源存取 (例如,存取應該結構化及控管的學生資訊) 。 不建議針對這些案例使用使用者起始的管理 | |
| 安全性群組 | |||
| 用戶可以在 Azure 入口網站中建立安全組 | 否 | EDU 租使用者中的群組可能會有敏感性資源存取 (例如,存取應該結構化及控管的學生資訊) 。 不建議針對這些案例使用使用者起始的管理 | |
| 可在 Azure 入口網站中將成員指派為群組擁有者的擁有者 | 無 | EDU 租使用者中的群組可能會有敏感性資源存取 (例如,存取應該結構化及控管的學生資訊) 。 不建議針對這些案例使用使用者起始的管理 | |
| Office 365 群組 | |||
| 用戶可以在 Azure 入口網站中建立 Office 365 群組 | 否 | EDU 租使用者中的群組可能會有敏感性資源存取 (例如,存取應該結構化及控管的學生資訊) 。 不建議針對這些案例使用使用者起始的管理 | |
| 可在 Azure 入口網站中將成員指派為群組擁有者的擁有者 | 無 | EDU 租使用者中的群組可能會有敏感性資源存取 (例如,存取應該結構化及控管的學生資訊) 。 不建議針對這些案例使用使用者起始的管理 |
企業應用程式設定
| 設定 | 值 | 原因 | |
|---|---|---|---|
| 企業應用程式 | |||
| 用戶可以代表他們同意應用程式存取公司數據 | 否 | 需要同意的應用程式應該透過已定義的程式進行檢閱,並使用 管理員 同意要求工作流程來建立擁有權 | |
| 使用者可以同意應用程式存取他們擁有之群組的公司數據 | 否 | 需要同意的應用程式應該透過已定義的程式進行檢閱,並使用 管理員 同意要求工作流程來建立擁有權 | |
| 用戶可以將資源庫應用程式新增至其 存取面板 | 否 | EDU 租使用者中的群組可能會有敏感性資源存取 (例如,存取應該結構化及控管的學生資訊) 。 不建議針對這些案例使用使用者起始的管理 | |
| 管理員 預覽) (同意要求 | |||
| 用戶可以要求系統管理員同意他們無法同意的應用程式 | 否 | 啟用此設定可讓租使用者中的所有使用者要求同意,這可能會導致許多同意要求傳送給系統管理員。 如果系統管理員無法或不想管理要求,使用者可能會混淆。 | |
| 選取要檢閱系統管理員同意要求的使用者 | 不適用 | 只有在啟用 管理員 同意要求功能時才適用 | |
| 選取的使用者會收到要求的電子郵件通知 | 不適用 | 只有在啟用 管理員 同意要求功能時才適用 | |
| 選取的使用者將會收到要求到期提醒 | 不適用 | 只有在啟用 管理員 同意要求功能時才適用 | |
| 同意要求會在 (天后到期) | 不適用 | 只有在啟用 管理員 同意要求功能時才適用 | |
| Office 365 設定 | |||
| 使用者只能在 Office 365 入口網站中看到 Office 365 應用程式 | 否 | 使用 我的應用程式 入口網站時,如果您想要 Office 365 應用程式顯示在 我的應用程式 中,此設定應該設定為 [否]。 我的應用程式 入口網站概觀應用程式/access-panel-deployment-plan |
身分識別控管設定
藉由指定失去最後一個存取套件指派時會發生什麼情況,以管理透過存取套件新增之外部使用者的生命週期。
| 設定 | 值 | 原因 |
|---|---|---|
| 封鎖外部使用者登入此目錄 | 是 | 當外部使用者失去最後指派給您應該封鎖的任何存取套件時,請從租用戶中移除它們。 |
| 拿掉外部使用者 | 是 | 當外部使用者失去最後指派給您應該封鎖的任何存取套件時,請從租用戶中移除它們。 |
| 從此目錄移除外部使用者之前的天數 | 30 | 當外部使用者失去對任何存取套件的最後指派時,您應該封鎖,然後從租用戶中移除它們 |
密碼重設設定
| 設定 | 值 | 原因 | |
|---|---|---|---|
| 屬性 | |||
| 已啟用自助式密碼重設 | 選取使用者 | 我們建議所有可以使用行動電話進行文字使用的使用者使用自助式密碼重設,並可安裝和設定 Microsoft Authenticator 應用程式。 | |
| 驗證方法 | |||
| 重設所需的方法數目 | 2 | 兩種方法可在可用性與安全性之間提供平衡。 | |
| 可供使用者使用的方法 | 行動裝置應用程式通知、行動應用程式程式代碼、電子郵件和行動電話 (僅限 SMS) | 行動應用程式提供最現代化且安全的密碼編譯方法。 然後,您可以使用電子郵件或簡訊做為另一個選項。 強烈建議您將無密碼驗證方法部署至EDU租使用者中的帳戶。 這可改善用戶體驗。 |
|
| 註冊 | |||
| 用戶在登入時需要註冊嗎? | 是 | 使用此值時,帳戶將會中斷,以便在第一次登入時向 SSPR 提供註冊。 這有助於讓具有一致基準的帳戶上線。 | |
| 要求使用者重新確認其驗證資訊之前的天數 | 180 | ||
| 通知 | |||
| 在密碼重設時通知使用者? | 是 | 通知會提供此敏感性認證管理作業的可見度。 | |
| 當其他系統管理員重設其密碼時,通知所有系統管理員? | 是 | 通知會提供此敏感性認證管理作業的可見度。 |
安全性設定
| 設定 | 值 | 原因 | |
|---|---|---|---|
| 驗證方法原則 | |||
| FIDO2 安全性金鑰 | 是 – 選取使用者 | ||
| Microsoft Authenticator 無密碼登入 | 是 – 選取使用者 | ||
| 短信 | 否 | 電話號碼必須指派給所有需要使用此功能的使用者。 如果沒有此功能的強式使用案例,則不保證新增電話號碼的額外負荷。 |