建立身分識別與存取權管理 (IAM) 基準

  • 5 分鐘

身分識別與存取權管理 (IAM) 是授與存取權並強化公司資產安全性的關鍵。 如果要保護並控制以雲端為基礎的資產,請務必管理您的 Azure 系統管理員、應用程式開發人員,以及應用程式使用者的身分識別及存取權。

IAM 安全性建議

下列各節會介紹 CIS Microsoft Azure Foundations Security Benchmark v. 1.3.0. 中的 IAM 建議。 每個建議都會包括可在 Azure 入口網站中完成的基本步驟。 建議對您自己的訂閱完成所述步驟,並使用自己的資源來驗證每項安全性建議。 請記住,[層級 2] 選項可能會限制一些功能或活動,因此請仔細考慮您要強制執行哪一些安全性選項。

重要

您必須是 Microsoft Entra 執行個體的系統管理員,才能完成其中一些步驟。

限制對 Microsoft Entra 管理入口網站的存取 - 層級 1

不具系統管理員身分的使用者,不得存取 Microsoft Entra 管理入口網站,因為資料具敏感性,且受最低特殊權限的規則約束。

  1. 登入 Azure 入口網站。 搜尋並選取 [Microsoft Entra ID]

  2. 請在左側功能表的 [管理] 底下,選取 [使用者]

  3. 請在左側功能表中,選取 [使用者設定]

  4. 在 [使用者設定] 中,請確定 [系統管理入口網站] 下的 [Microsoft Entra 管理入口網站的存取限制] 設定為 [是]。 將此值設定為 [是] 能阻止所有非系統管理員存取 Microsoft Entra 管理入口網站中的任何資料。 此設定不限制於使用 PowerShell 或其他用戶端的存取 (例如 Visual Studio)。

  5. 如果要變更任何設定,請在功能表列中選取 [儲存]

Screenshot of the Azure portal that shows the Restrict access to Microsoft Entra administration portal option set to Yes.

為 Microsoft Entra 使用者啟用多重要素驗證

  • 為 Microsoft Entra ID 特殊權限使用者啟用多重要素驗證 - 層級 1
  • 啟用適用於 Microsoft Entra 非特殊權限使用者的多重要素驗證 - 層級 2

為所有 Microsoft Entra 使用者啟用多重要素驗證。

  1. 登入 Azure 入口網站。 搜尋並選取 [Microsoft Entra ID]

  2. 請在左側功能表的 [管理] 底下,選取 [使用者]

  3. 請在 [所有使用者] 功能表列中,選取 [個別使用者 MFA]

    Screenshot that shows the multifactor authentication option in the Microsoft Entra pane of the Azure portal.

  4. 在 [多重要素驗證] 視窗中,確定所有使用者的 [多重要素驗證狀態] 皆設定為 [啟用]。 請選取使用者來啟用多重要素驗證。 在 [快速步驟] 底下,選取 [啟用]>[啟用多重要素驗證]

    Screenshot that shows how to turn on multifactor authentication for a user by using the quick steps link.

不記得受信任裝置上的多重要素驗證 - 層級 2

適用於使用者信任裝置和瀏覽器的 [記住多重要素驗證] 功能,為可供所有多重要素驗證使用者免費使用的功能。 使用者在使用多重要素驗證成功登入裝置後,可以在指定天數內略過後續驗證。

如果帳戶或裝置遭入侵,在受信任裝置上記住多重要素驗證,可能會對安全性造成負面影響。 安全性建議會推薦將受信任裝置的記住多重要素驗證功能關閉。

  1. 登入 Azure 入口網站。 搜尋並選取 [Microsoft Entra ID]

  2. 請在左側功能表的 [管理] 底下,選取 [使用者]

  3. 請在 [所有使用者] 功能表列中,選取 [個別使用者 MFA]

  4. 請在 [多重要素驗證] 視窗中,選取使用者。 請在 [快速步驟] 底下,選取 [管理使用者設定]

    Screenshot that shows the Microsoft Entra multifactor authentication users window and the manage user settings link.

  5. 選取 [在所有記住的裝置上還原多重要素驗證] 核取方塊,然後選取 [儲存]

    Screenshot that shows the Restore multifactor authentication on all remembered devices option selected.

無存取權或限制存取權的來賓使用者 - 層級 1

確定無任何來賓使用者,或者如果公司要求使用來賓使用者,請務必限制來賓的存取權限。

  1. 登入 Azure 入口網站。 搜尋並選取 [Microsoft Entra ID]

  2. 請在左側功能表的 [管理] 底下,選取 [使用者]

  3. 選取 [新增篩選條件] 按鈕。

  4. 選取 [篩選條件] 的 [使用者類型]。 選取 [值] 的 [來賓]。 選取 [套用] 以確認無任何來賓使用者。

    Screenshot of the Azure portal that shows Microsoft Entra ID filtering for guest users.

  5. 如果要變更任何設定,請在功能表列中選取 [儲存]

密碼選項

  • 在密碼重設時通知使用者 - 層級 1
  • 是否要在其他系統管理員重設他們的密碼時,通知所有的系統管理員 - 層級 2
  • 要求兩種方法來重設密碼 - 層級 1

在設定多重要素驗證的情況下,攻擊者必須入侵兩種身分識別的形式,才能惡意重設使用者的密碼。 請確定密碼重設需要兩種形式的身分識別驗證。

  1. 登入 Azure 入口網站。 搜尋並選取 [Microsoft Entra ID]

  2. 請在左側功能表的 [管理] 底下,選取 [使用者]

  3. 請在左側功能表中,選取 [密碼重設]

  4. 請在左側功能表的 [管理] 底下,選取 [驗證方法]

  5. 將 [需要重設的方法數] 設定為 2

  6. 如果要變更任何設定,請在功能表列中選取 [儲存]

Screenshot of the Azure portal that shows the Microsoft Entra password reset authentication methods pane with number of methods required to reset set to 2.

建立重新確認使用者驗證方法的間隔 - 層級 1

如果關閉了驗證重新確認功能,系統不會出現提示要求已註冊的使用者重新確認驗證資訊。 依設定間隔來開啟重新確認驗證功能,會是比較安全的選擇。

  1. 登入 Azure 入口網站。 搜尋並選取 [Microsoft Entra ID]

  2. 請在左側功能表的 [管理] 底下,選取 [使用者]

  3. 在左側功能表窗格中,選取 [密碼重設]

  4. 請在左側功能表的 [管理] 底下,選取 [註冊]

  5. 確定 [要求使用者重新確認其驗證資訊之前所等候的天數] 並未設定為 [0]。 預設值為 180 天。

  6. 如果要變更任何設定,請在功能表列中選取 [儲存]

Screenshot of the Azure portal that shows the form for number of days to reconfirm authentication information.

來賓邀請設定 - 層級 2

唯有系統管理員才能邀請來賓使用者。 僅限系統管理員得以邀請來賓,可確保只有獲得授權的帳戶可存取 Azure 資源。

  1. 登入 Azure 入口網站。 搜尋並選取 [Microsoft Entra ID]

  2. 請在左側功能表的 [管理] 底下,選取 [使用者]

  3. 請在左側功能表中,選取 [使用者設定]

  4. 請在 [使用者設定] 窗格中,選取 [外部使用者] 底下的 [管理外部共同作業設定]

  5. 請在 [外部共同作業設定] 的 [來賓邀請設定] 底下,選取 [只有指派給特定系統管理員角色的使用者可以邀請來賓使用者]

    Screenshot that shows the Guest invite settings with Only users assigned to specific admin roles can invite guest users selected.

  6. 如果要變更任何設定,請在功能表列中選取 [儲存]

使用者可建立與管理安全性群組 - 層級 2

在啟用此功能後,Microsoft Entra ID 中的所有使用者皆能建立新的安全性群組。 安全性群組的建立應該僅限系統管理員進行。

  1. 登入 Azure 入口網站。 搜尋並選取 [Microsoft Entra ID]

  2. 請在左側功能表的 [管理] 底下,選取 [群組]

  3. 請在 [所有群組] 窗格的左側功能表中,選取 [設定] 底下的 [一般]

  4. 針對 [安全性群組],請確定 [使用者可在 Azure 入口網站、API 或 PowerShell 中建立安全性群組] 設定為 [否]

    Screenshot that shows the Groups General settings pane, with the Users can create security groups option set to No.

  5. 如果要變更任何設定,請在功能表列中選取 [儲存]

已啟用自助群組管理 - 層級 2

除非您的公司需要將自助群組管理委派給不同使用者,否則安全性建議是停用此功能。

  1. 登入 Azure 入口網站。 搜尋並選取 [Microsoft Entra ID]

  2. 請在左側功能表的 [管理] 底下,選取 [群組]

  3. 請在 [所有群組] 窗格的左側功能表中,選取 [設定] 底下的 [一般]

  4. 確定 [自助群組管理] 底下的所有選項皆設定為 [否]

  5. 如果要變更任何設定,請在功能表列中選取 [儲存]

Screenshot that shows Microsoft Entra self-service group options set to No.

應用程式選項 - 允許使用者註冊應用程式 - 層級 2

請要求系統管理員註冊自訂應用程式。

  1. 登入 Azure 入口網站。 搜尋並選取 [Microsoft Entra ID]

  2. 請在左側功能表的 [管理] 底下,選取 [使用者]

  3. 請在左側功能表中,選取 [使用者設定]

  4. 請在 [使用者設定] 窗格中,確定 [應用程式註冊] 設定為 [否]

  5. 如果要變更任何設定,請在功能表列中選取 [儲存]

Screenshot that shows Microsoft Entra users with app registrations set to No.