權限存取：介面

保護特殊許可權存取的重要元件是零信任原則的應用程式，可確保裝置、帳戶和中繼裝置在提供存取之前符合安全性需求。

此原則可確保起始輸入會話的使用者和裝置已知、受信任，並允許存取資源（透過介面）。原則強制執行是由Microsoft Entra 條件式存取原則引擎執行，以評估指派給特定應用程式介面的原則（例如 Azure 入口網站、Salesforce、Office 365、AWS、Workday 等）。

保護介面來保護資源

本指南會針對介面安全性定義三個安全性層級，以用於具有不同敏感度層級的資產。這些層級是在保護特殊許可權存取快速現代化計劃中設定的，並對應到帳戶和裝置的安全性層級。

輸入會話對接口的安全性需求適用於帳戶和來源裝置，無論是實體裝置的直接連線，還是遠端桌面/跳躍伺服器中繼。中介可以接受來自個人裝置的會話，以提供企業安全等級（在某些情況下），然而，專門的或具有特殊許可的中介不應該允許來自較低層級的連線，因為他們的角色具有安全性敏感的特性。

注意

這些技術為應用程式介面提供強端對端訪問控制，但資源本身也必須從應用程式程式代碼/功能上的頻外攻擊、基礎操作系統或韌體中未修補的弱點或組態錯誤、待用數據或傳輸中、供應鏈或其他方式受到保護。

請務必評估和探索資產本身的風險，以進行完整的保護。 Microsoft 提供工具和指南，以協助您，包括 Microsoft Defender for Cloud、Microsoft Secure Score，以及威脅模型化指引。

介面範例

介面會以不同的形式出現，通常是：

雖然其中一些可以直接透過 Microsoft Entra 條件式存取原則引擎強制執行零信任，但有些則需要通過媒介來發佈，如 Microsoft Entra 應用程式 Proxy 或遠端桌面/跳躍伺服器。

介面安全性的最終目標是確保每個進入接口的連線都是已知、受信任且被允許的：

已知 – 使用者已使用強身份驗證進行驗證，且裝置已驗證（但使用遠端桌面或 VDI 解決方案進行企業存取的個人裝置除外）
已驗證 – 使用零信任政策引擎，對帳戶和裝置的安全性健康狀況進行明確驗證和強制執行
允許 – 存取資源時，會使用控件的組合來遵循最低許可權原則，以確保只能存取它
- 由正確的人使用
- 在適當的時間（即時存取，不是永久存取）
- 使用正確的核准工作流程（視需要）
- 在可接受的風險/信任層級

建立介面安全性保證需要安全性控制的組合，包括：

本指南定義三種安全性層級。如需這些層級的詳細資訊，請參閱保持簡單 - 角色和配置檔。如需實作指引，請參閱快速現代化計劃。

控制特定介面安全性層級的資源存取

企業介面安全性適用於所有企業使用者和生產力案例。企業也可以作為較高敏感度工作負載的起點，您可以累加建置，以達到特殊化和特殊許可權的存取層級保證。

零信任政策強制執行 - 針對輸入會話使用條件式存取，以確保使用者和裝置在企業或更高層級受到保護。
- 為了支援「自攜裝置」（BYOD）案例，如果個人裝置或合作夥伴管理的裝置透過企業中介，如專用的Windows 虛擬桌面（WVD）或類似的遠端桌面／跳躍伺服器解決方案，這些裝置可能被允許連接。
角色型存取控制（RBAC） - 模型應確保應用程式只由特殊或特殊許可權安全性層級的角色管理

特殊化介面的安全性控制應包含

特殊許可權介面的安全性控制應包含