設計雲端、混合式和多重雲端存取策略 (包括 Microsoft Entra ID)

5 分鐘

本單元根據雲端採用架構的 Azure 身分識別與存取管理設計區域，摘要說明雲端環境中身分識別與存取管理的相關設計建議。如需所有相關設計討論的詳細討論內容，請參閱下列文章：

比較身分識別解決方案

Active Directory 與 Microsoft Entra ID：使用者管理

概念	Active Directory (AD)	Microsoft Entra ID
使用者
佈建：使用者	組織會手動建立內部使用者，或使用內部或自動化的佈建系統 (例如 Microsoft Identity Manager) 和 HR 系統整合。	現有的 AD 組織會使用 Microsoft Entra Connect 將身分識別和雲端同步。 Microsoft Entra ID 新增從雲端 HR 系統自動建立使用者的支援。 Microsoft Entra ID 可以在啟用 SCIM 的 SaaS 應用程式中佈建身分識別，以自動為應用程式提供必要的詳細資料，讓使用者能夠存取。
佈建：外部身分識別	組織會以一般使用者的身分在專用的外部 AD 樹系中手動建立外部使用者，從而導致管理外部身分識別 (來賓使用者) 的生命週期的系統管理額外負荷	Microsoft Entra ID 會提供特殊的身分識別類別來支援外部身分識別。 Microsoft Entra B2B 會管理外部使用者身分識別的連結，以確認其有效性。
權利管理和群組	系統管理員讓使用者成為群組的成員。然後，應用程式和資源擁有者會將應用程式或資源的存取權授與群組。	Microsoft Entra ID 中也會提供群組，系統管理員也可以使用群組來授與資源的權限。在 Microsoft Entra ID 中，系統管理員可以手動指派成員資格給群組，或使用查詢動態地將使用者納入群組。系統管理員可以使用 Microsoft Entra ID 中的權利管理，讓使用者使用工作流程以及時間型準則 (如有必要) 存取應用程式和資源的集合。
系統管理員管理	組織會在 AD 中使用網域、組織單位和群組的組合，以委派系統管理權限來管理其所控制的目錄和資源。	Microsoft Entra ID 會透過其 Microsoft Entra 角色型存取控制 (Microsoft Entra RBAC) 系統提供內建角色，對建立自訂角色提供有限的支援，以委派對其控制的身分識別系統、應用程式和資源的特權存取。管理角色可透過 Privileged Identity Management (PIM) 增強，以提供對特殊權限角色的 Just-In-Time、有時間限制或工作流程型的存取。
認證管理	Active Directory 中的認證會以密碼、憑證驗證和智慧卡驗證為基礎。密碼的管理會使用根據密碼長度、到期日和複雜度的密碼原則。	Microsoft Entra ID 會使用適用於雲端和內部部署的智慧型密碼保護。保護包括智慧型鎖定，並會封鎖一般和自訂的複雜密碼和替代。 Microsoft Entra ID 會透過多重要素驗證和無密碼技術 (例如 FIDO2) 大幅提高安全性。 Microsoft Entra ID 會提供使用者自助式密碼重設系統，以降低支援成本。

Azure 中的 Active Directory 型服務：AD DS、Microsoft Entra ID 和 Microsoft Entra Domain Services

為了讓應用程式、服務或裝置能夠存取中央識別身分，有三種常見的方式可以使用 Azure 中 Active Directory 型啟用的服務。身分識別解決方案中的這個選擇可讓您彈性地使用最適合組織需求的目錄。例如，如果您大部分管理執行行動裝置的僅限雲端使用者，則建立和執行自己的 Active Directory Domain Services (AD DS) 身分識別解決方案可能沒有意義。可以只使用 Microsoft Entra ID。

雖然「三個 Active Directory 型的身分識別解決方案」共用一般名稱和技術，但其設計訴求是提供符合不同客戶需求的服務。概括地說，這些身分識別解決方案和功能集為：

Active Directory Domain Services (AD DS) - 符合企業需求的輕量型目錄存取通訊協定 (LDAP) 伺服器，可提供身分識別及驗證、電腦物件管理、群組原則和信任等主要功能。
- AD DS 是具有內部部署 IT 環境的許多組織的中央元件，並提供核心使用者帳戶驗證和電腦管理功能。
Microsoft Entra ID - 以雲端為基礎的身分識別和行動裝置管理，可為 Microsoft 365、Azure 入口網站或 SaaS 應用程式等資源提供使用者帳戶和驗證服務。
- Microsoft Entra ID 可以與內部部署 AD DS 環境同步，以提供單一身分識別原生在雲端中作業的使用者。
Microsoft Entra Domain Services (Microsoft Entra Domain Services) - 提供受控網域服務，其中有一小部分能與傳統 AD DS 功能完全相容，例如，網域加入、群組原則、LDAP 和 Kerberos / NTLM 驗證等功能。
- Microsoft Entra Domain Services 與 Microsoft Entra ID 整合，其本身可以與內部部署 AD DS 環境同步處理。此能力會將中央身分識別使用案例延伸至在 Azure 中隨著隨即轉移策略執行的傳統 Web 應用程式。

如需比較這三個選項的更廣泛討論，請參閱比較自我管理 Active Directory Domain Services、Microsoft Entra ID 和受控 Microsoft Entra Domain Services。

跨領域設計建議

根據角色和安全性需求，使用集中和委派的責任來管理登陸區域內的資源。
下列特殊權限作業類型需要特殊存取權限。請考慮哪些使用者將處理這類要求，以及如何充分保護和監視其帳戶。
- 正在建立服務主體物件。
- 在 Microsoft Entra ID 中註冊應用程式。
- 取得並處理憑證或萬用字元憑證。
- 若要透過 Microsoft Entra ID 從遠端存取使用內部部署驗證的應用程式，請使用 Microsoft Entra 應用程式 Proxy。
評估 Windows Server 上 Microsoft Entra Domain Services 和 AD DS 的工作負載相容性。
請確保設計網路，以便需要使用 Windows Server 上的 AD DS 進行本機驗證和管理的資源，可以存取其網域控制站。針對 Windows Server 上的 AD DS，可考慮使用共用服務環境，此環境能在較大的整體企業網路中提供本機驗證和主機管理。
當您部署 Microsoft Entra Domain Services 或將內部部署環境整合至 Azure 時，請使用具有可用性區域的位置以提高可用性。
在主要區域中部署 Microsoft Entra Domain Services，因為您只能將此服務投射到一個訂用帳戶。您可以將 Microsoft Entra Domain Services 擴展至具有複本集的進一步區域。
使用受控識別而不是服務主體來向 Azure 服務驗證身分。這種做法可減少認證竊取的風險。

Azure 和內部部署混合式身分識別 - 設計建議

針對裝載基礎結構即服務 (IaaS) 混合式身分識別解決方案，請評估下列建議：

針對部分裝載於內部部署和部分裝載於 Azure 中的應用程式，請根據您的案例確認哪項整合是可行的。如需詳細資訊，請參閱在 Azure 虛擬網路中部署 AD DS。
如果您有 AD FS，請移至雲端以集中管理身分識別並減少營運工作。如果 AD FS 仍是身分識別解決方案的一部分，請安裝並使用 Microsoft Entra Connect。

Azure 平台資源的身分識別 - 設計建議

集中式身分識別會使用雲端中的單一位置，以及整合 Active Directory 服務、控制存取、驗證和應用程式。這種方法可為 IT 小組提供更好的管理方式。針對集中式目錄服務，最佳做法是只有一個 Microsoft Entra 租用戶。

當您授與資源的存取權時，請針對 Azure 控制平面資源和 Microsoft Entra Privileged Identity Management 使用僅限 Microsoft Entra 的群組。如果已有群組管理系統，則將內部部署群組新增至僅限 Microsoft Entra 的群組。請注意，僅限 Microsoft Entra 也稱為僅限雲端。

使用僅限 Microsoft Entra 的群組，您可以透過 Microsoft Entra Connect，新增內部部署中進行同步處理的使用者和群組。您也可將僅限 Microsoft Entra 的使用者和群組，新增至僅限 Microsoft Entra 的單一群組，包括來賓使用者。

從內部部署同步處理的群組只能從真實身分識別來源 (即內部部署 Active Directory) 進行管理和更新。這些群組可以只包含來自相同身分識別來源的成員，而該來源無法提供與僅限 Microsoft Entra 的群組相同的彈性。

整合 Microsoft Entra 記錄與平台中心的 Log Analytics 工作區。這種方法可讓您在 Azure 中記錄並監視資料的單一真實來源。此來源提供組織雲端原生選項，滿足記錄收集與保留的需求。

自訂使用者原則可以強制執行組織的任何資料主權要求。

若您使用身分識別保護作為身分識別解決方案的一部分，請務必排除緊急系統管理員帳戶。

設計建議 - 登陸區域的 Azure 身分識別與存取

針對具有 Azure 環境權限的使用者，部署 Microsoft Entra 條件式存取原則。條件式存取可提供另一種機制，協助保護受控制的 Azure 環境不受未經授權的存取。

針對具有 Azure 環境存取權限的使用者，強制執行多重要素驗證 (MFA)。許多合規性架構要求強制執行多重要素驗證。多重要素驗證可大幅降低認證竊取和未經授權存取的風險。

請考慮針對非互動式資源登入使用服務主體，如此多重要素驗證和權杖重新整理便不會影響作業。

針對 Azure 資源使用 Microsoft Entra 受控識別，以避免認證型驗證。公用雲端資源的許多安全性缺口，源自內嵌於程式碼或其他文字的認證竊取。強制受控識別進行程式設計存取作業，可大幅降低認證竊取的風險。

針對所有基礎結構即服務 (IaaS) 資源，使用適用於雲端的 Microsoft Defender Just-In-Time 存取。適用於雲端的 Defender 可讓您針對 IaaS 虛擬機器的暫時性使用者存取權，啟用網路層級保護作業。

Privileged Identity Management (PIM)

使用 Microsoft Entra Privileged Identity Management (PIM) 來建立零信任和最低權限存取權。將貴組織的角色對應至所需的最低存取層級。 Microsoft Entra PIM 可以使用 Azure 原生工具、擴充現有工具和流程，或視需要同時使用現有和原生工具。

使用 Microsoft Entra PIM 存取權檢閱定期驗證資源權利。存取權檢閱是眾多合規性架構的一部分，因此許多組織已經制定存取權檢閱流程。

針對需要較高存取權限的自動化 Runbook，使用特殊權限的身分識別。針對存取重要安全性界限的自動化工作流程，請使用您控管對等權限使用者所使用的工具和原則加以控管。

RBAC 建議

盡可能使用 Azure RBAC 管理資源的資料平面存取。資料平面端點的範例包括 Azure Key Vault、儲存體帳戶或 SQL Database。

不要將使用者直接新增至 Azure 資源範圍。直接使用者指派會規避集中式管理，使得阻止未經授權存取受限制資料更加困難。請將使用者新增至已定義的角色，並將角色指派給資源範圍。

使用 Microsoft Entra 內建角色來管理下列身分識別設定：

角色	使用方式	注意
全域管理員		請勿指派超過五人至該角色。
混合式環境	混合式身分識別管理員
驗證	安全性系統管理員
企業應用程式或應用程式 Proxy	應用程式系統管理員	沒有同意全域管理員。

如果 Azure 內建角色無法滿足組織的特定需求，您可以建立自己的自訂角色。

繼續