部署 Microsoft 365 的身分識別基礎結構
於 小型企業協助與學習 上查看我們所有小型企業內容。
在 Microsoft 365 企業版中,妥善規劃與執行的身分識別基礎結構造就了強大的安全性,包括限制只有經過驗證的使用者和裝置才能存取生產力工作負載及其資料。 身分識別安全性是零信任部署的重要元素,其中所有存取內部部署和雲端中資源的嘗試都經過驗證與授權。
如需每個企業Microsoft 365 的身分識別功能、Microsoft Entra ID 的角色、內部部署和雲端式元件,以及最常見的驗證組態的相關信息,請參閱身分識別基礎結構海報。
檢閲此雙頁海報,快速了解有關 Microsoft 365 企業版的身分識別概念和組態。
您可以 下載此海報,並以 Letter、Legal 或 Tabloid (11 x 17) 格式列印此海報。
此解決方案是組建 Microsoft 365 零信任部署堆疊的第一個步驟。
如需詳細資訊,請參閱 Microsoft 365 零信任部署計劃。
此解決方案中的內容
此解決方案逐步協助您部署 Microsoft 365 租用戶身分識別基礎結構,為員工提供存取權限,並防止身分識別型攻擊。
以下是此解決方案的步驟:
此解決方案支援 零信任 的重要原則:
- 明確驗證:一律根據所有可用的資料點進行驗證和授權。
- 使用最低權限的存取權:使用 Just-In-Time 和適度存取權限 (JIT/JEA)、風險型調適原則和資料保護來限制使用者存取權限。
- 假設可能遭到入侵:將爆發半徑和區段存取降至最低。 驗證端對端加密並使用分析來取得能見度、推動威脅偵測,並改善防禦能力。
與信任組織防火牆後所有內容的傳統內部網路存取不同,零信任會將每次登入和存取都視為來自不受控制的網路 (無論是在組織防火牆後還是網際網路上)。 零信任需要保護網路、基礎結構、身分識別、端點、應用程式和資料。
Microsoft 365 功能
Microsoft Entra ID 為您的Microsoft 365 租使用者提供一套完整的身分識別管理和安全性功能。
| 功能 | 描述 | 授權 |
|---|---|---|
| MFA) (多重要素驗證 | MFA 要求使用者提供兩種形式的驗證,例如使用者密碼加上 Microsoft Authenticator 應用程式的通知或電話。 MFA 大大降低了遭竊認證被用於存取您環境的風險。 Microsoft 365 會針對 MFA 型登入使用 Microsoft Entra 多重要素驗證服務。 | Microsoft 365 E3 或 E5 |
| 條件式存取 | Microsoft Entra ID 會評估使用者登入的條件,並使用條件式存取原則來判斷允許的存取權。 例如,在本指導中,我們將向您展示如何建立條件式存取原則,以要求裝置符合敏感性資料的存取要求。 這大大降低了駭客使用其自己的裝置和遭竊認證存取您敏感性資料的風險。 它還保護裝置上的敏感性資料,因為裝置必須滿足特定的健康情況和安全性要求。 | Microsoft 365 E3 或 E5 |
| Microsoft Entra 群組 | 條件式存取原則、具有 Intune 的裝置管理,甚至是組織中檔案和網站的許可權,都依賴指派給用戶帳戶或 Microsoft Entra 群組。 建議您建立 Microsoft Entra 群組,這些群組會對應至您所實作的保護層級。 例如,您的主管員工成員可能是駭客的較高價值目標。 因此,將這些員工的用戶帳戶新增至 Microsoft Entra 群組,並將此群組指派給條件式存取原則和其他原則,以強制執行更高層級的存取保護,是合理的。 | Microsoft 365 E3 或 E5 |
| Microsoft Entra ID Protection | 可讓您偵測會影響組織身分識別的潛在弱點,並對低、中、高登入風險和使用者風險設定自動化補救原則。 本指引依賴此風險評估來套用多重要素驗證的條件式存取原則。 本指導還包含條件式存取原則,它要求使用者在偵測到其帳戶存在高風險活動時變更密碼。 | 使用 E5 安全性附加元件、EMS E5 或 Microsoft Entra ID P2 授權 Microsoft 365 E5、Microsoft 365 E3 |
| 自助式密碼重設 (SSPR) | 透過提供系統管理員可控制的多種驗證方法,允許使用者安全地重設密碼,而無需服務台介入。 | Microsoft 365 E3 或 E5 |
| Microsoft Entra 密碼保護 | 偵測並封鎖已知的弱式密碼及其變體,以及貴組織特有的額外弱式詞彙。 默認全域禁用密碼清單會自動套用至 Microsoft Entra 租使用者中的所有使用者。 您可以在自訂禁用密碼清單中定義其他條目。 使用者變更或重設密碼時,系統會檢查這些禁用密碼清單,以強制使用強式密碼。 | Microsoft 365 E3 或 E5 |
後續步驟
使用這些步驟為您的 Microsoft 365 租用戶部署身分識別模型和驗證基礎結構:
- 確定您的雲端身分識別模型。
- 保護您的 Microsoft 365 授權帳戶。
- 保護您的 Microsoft 365 使用者帳戶。
- 部署您的雲端身分識別模型:僅限雲端 或 混合式。
其他 Microsoft 雲端身分識別資源
管理
若要管理您的 Microsoft 雲端身分識別部署,請參閱:
Microsoft 如何為 Microsoft 365 提供身分識別
了解 Microsoft 的 IT 專家如何使用管理身分識別和保護存取。
注意事項
此 IT 展示資源只提供英文版。
Contoso 如何為 Microsoft 365 提供身分識別
關於虛構但有代表性的跨國組織如何為 Microsoft 365 雲端服務部署混合式身分識別基礎結構之案例,請參閱 Contoso Corporation 的身分識別。