保護所有租戶及其資源（安全未來計劃）

支柱名稱：保護租用戶並隔離生產系統
模式名稱：保護所有租用戶及其資源

為了降低未追蹤租用戶的安全性風險和缺乏可見性，Microsoft 已實作 保護所有租用戶及其資源模式。 這確保了所有租戶的全面治理和安全性，符合零信任原則。

內容和問題

租戶安全性的第一步是發現。 如果沒有完整的清單，安全性和治理就無法成功。 許多組織缺乏對於活動租戶、遺留租戶和隱藏租戶的監控，使得未追蹤的環境容易成為攻擊目標。

Microsoft 已投入巨資來識別和編目其環境中的所有租用戶。 這包括生產、生產力/測試和暫時租用戶。 如果沒有強大的發現和生命週期治理，即使是看似低風險的租戶也可能成為影子基礎設施——不受監控、未修補且可作為攻擊者的關鍵點。

主要風險包括：

• 從非生產環境租戶到生產環境租戶的橫向移動。
• 沒有安全性基準或生命週期控制的過時或非作用中租用戶。
• 共享機密和錯誤配置導致憑證在不同租戶間重複使用。

Solution

作為安全未來計劃 （SFI） 的一部分，Microsoft 通過強制執行租用戶基準、管理生命週期管理以及標準化其雲環境中的保護來實現保護所有租用戶及其資源目標。

• 標準化安全日誌庫： 確保跨服務的數據捕獲一致，減少可觀察性差距。
• 集中式日誌收集：專門的調查員帳戶提供對跨服務日誌的統一訪問，簡化關聯並加快調查速度。
• 延長日誌保留：稽核日誌會在 Microsoft 各項服務中保留長達兩年，以支持針對長期攻擊模式的取證調查。
• 高級檢測分析： 機器學習和 AI 驅動模型的整合改進了對複雜攻擊技術的檢測並減少誤報。
• 擴展的客戶日誌記錄：Microsoft 將 Microsoft 365 客戶的標準審核日誌保留期增加到 180 天，並提供更長保留時間的選項。

Microsoft 的方法包括：

• 安全性基準：預先設定的租用戶安全性範本，以確保一致性並加速強化。
• 租用戶分類和生命週期治理：依用途 （生產、生產力、輔助、暫時） 分類租用戶，並據以套用預設控制項。 
• 條件式存取強制執行：大規模控管驗證和授權，包括暫時租用戶和未受控帳戶。
• 安全管理工作站 （SAW）：將特權存取與生產力存取分開的硬體隔離裝置。
• 監控和分析： 透過稽核記錄、Microsoft 安全分數和 Defender 整合集中式安全性資料。
• 秘密管理和認證隔離：防止租用戶之間共用秘密並強制執行防網路釣魚 MFA。
• 橫向移動預防： 透過隔離生產租戶與非生產租戶來防止橫向移動。
• 舊系統和非作用中租戶： 透過生命週期審核退役舊系統和非作用中的租戶。
• 姿勢可見性： 使用租戶群組的安全分數來改善姿勢可見性。
• 租戶蔓延： 減少租戶蔓延，並對新租戶創建實施嚴格控制。

這些步驟可確保所有租戶（無論其目的或來源如何）都根據零信任原則可見、治理和保護。

指導

組織可以使用下列可操作的做法來採用類似的模式：

用例	建議的動作	Resource
基線安全控制	在所有租用戶中套用 Microsoft 安全性預設值，然後使用 Microsoft 365 Lighthouse 基準進行擴充，以進行企業級強化。	設定 Microsoft Entra ID 的安全性預設值 使用 Microsoft 365 Lighthouse 基準部署標準租戶配置的概述 建立安全性基準的架構策略
條件式存取	部署基準條件式存取 （CA） 原則：封鎖舊版驗證、要求所有使用者使用 MFA，以及強制執行特殊許可權角色的裝置合規性。 透過風險型和位置感知政策進行擴展。	條件式存取原則範本 – Microsoft Entra ID 規劃您的 Microsoft Entra 條件式存取部署 使用 Microsoft Entra ID 保護的最佳做法
特權存取管理	使用 Privileged Identity Management （PIM） 進行 Just-In-Time （JIT） 和 just-enough-access （JEA） ，以將常設系統管理員許可權降到最低。	規劃 Privileged Identity Management 部署 在 PIM 中啟用 Microsoft Entra 角色 – Microsoft Entra ID 控管
租用戶隔離	將生產和非生產租用戶分開。 消除跨環境的共用管理員帳戶和應用程式註冊。 套用每個租用戶類型的不同條件式存取基準。	使用多個租用戶進行資源隔離，以透過 Microsoft Entra ID 保護資源 限制跨租戶輸入與輸出訪問 – Power Platform
監視與威脅偵測	結合 Microsoft Defender for Identity（內部部署 AD 訊號）與 Microsoft Entra ID Protection（雲端式風險訊號）。 集中監控以偵測橫向移動、令牌竊取和異常登入行為。	適用於身分識別的 Microsoft Defender 部署概觀 什麼是 Microsoft Entra ID Protection？ 什麼是風險偵測？ – Microsoft Entra ID 保護

優點

• 標準化硬化： 安全性基準可確保所有租用戶都符合最低保護閾值。
• 減少攻擊面： 舊租戶、影子租戶和未使用的租戶會系統地淘汰。
• 改善治理： 中央清單和分類支援持續的合規性和監督。
• 受控存取： 條件式存取、角色型存取控制 （RBAC） 和多重要素驗證 （MFA） 可保護身分識別並限制外部共用風險。
• 增強的偵測和回應： 整合的安全資料和日誌提供所有租戶的可見性。

權衡

實作此方法需要：

• 建立租戶生命週期政策的集中所有權。 
• 對自動化的投資（默認政策應用、到期工作流程）。
• 存取模型的可能重新架構（例如，分離生產/非生產）。 SAW 的採用引入了初始設備的複雜性和成本。
• 需要進行訓練和強制執行，以消除影子租用戶和認證重複使用。

關鍵成功因素

若要追蹤成功，請測量下列項目：

• 具有強制執行安全性基準的租用戶百分比
• 已退役的傳統或陰影租戶數量
• 涵蓋集中庫存和合規報告
• 啟用 MFA 的身分識別的百分比
• 提升 Microsoft 安全分數指標中的安全分數
• 封鎖的舊版驗證嘗試或未經授權的共用事件數量

總結

保護所有租用戶及其資源是 Microsoft SFI 支柱的基礎： 設計安全、預設安全和安全作業。

透過基準政策、生命週期治理和持續監督，組織可以降低風險、實施一致的保護並防止影子基礎設施破壞安全性。 在大規模情況下，這可確保每個身分、存取點和租戶都透過設計受到保護。