對應條件式存取和零信任

  • 10 分鐘

我們將從一些設計原則開始。

條件式存取作為零信任原則引擎

Microsoft 零信任做法包括以條件式存取作為主要原則引擎。 以下是這套做法的概觀:

Diagram that provides an overview of the Zero Trust model.

下載此架構的 SVG 檔案

條件式存取是當作零信任架構 (涵蓋了原則定義和原則實施) 的原則引擎使用。 根據各種訊號或條件,條件式存取可以封鎖或提供資源的有限存取權,如下所示:

Diagram that provides an overview of the Conditional Access signal, decision, enforcement path.

以下更進一步檢視條件式存取元素及其涵蓋專案:

Diagram that shows a more detailed view of Conditional Access.

此圖表顯示條件式存取和相關元素,可協助保護使用者對資源的存取,而不是非互動式或非人為存取。 下圖表說明這兩種類型的身分:

Diagram that describes Conditional Access identity types.

資源的非人為存取也必須受到保護。 目前,您無法使用條件式存取來保護對雲端資源的非人為存取。 您需要使用另一種方法,例如授與 OAuth 型存取的控制項。

條件式存取原則與零信任原則

根據上述資訊,以下是建議原則的摘要。 Microsoft 建議您根據符合三個主要 Microsoft 零信任原則的條件式存取來建立存取模型:

零信任原則 條件式存取原則
明確驗證 - 將控制平面移至雲端。 整合應用程式與 Microsoft Entra ID,並使用條件式存取加以保護。
- 將所有用戶端視為外部用戶端。
使用最低權限存取 - 根據合規性和風險評估存取權,包括使用者風險、登入風險和裝置風險。
- 使用這些存取優先順序:
- 使用條件式存取直接存取資源來保護。
- 使用 Microsoft Entra ID 應用程式 proxy,使用條件式存取進行保護,發佈資源的存取權。
- 使用條件式存取型 VPN 來存取資源。 限制對應用程式或 DNS 名稱層級的存取。
假設缺口 - 區段網路基礎結構。
- 最小化企業 PKI 的使用。
- 將單一登入 (SSO) 從 AD FS 移轉至密碼雜湊同步處理 (PHS)。
- 在 Microsoft Entra ID 中使用 Kerberos KDC 將 DC 的相依性降到最低。
- 將管理平面移至雲端。 使用 Microsoft 端點管理員管理裝置。

以下是條件式存取的一些更詳細原則和建議做法:

  • 將零信任原則套用至條件式存取。
  • 將原則放入生產環境之前,請先使用報告專用模式。
  • 測試正面和負面案例。
  • 在條件式存取原則上使用變更和修訂控制項。
  • 使用 Azure DevOps/GitHub 或 Azure Logic Apps 之類的工具來自動化條件式存取原則的管理作業。
  • 只有在您需要的地方時,才使用封鎖模式進行一般存取。
  • 確保所有應用程式和您的平台都受到保護。 條件式存取沒有隱含的「全部拒絕」。
  • 保護所有 Microsoft 365 角色型存取控制 (RBAC) 系統中的特殊權限使用者。
  • 針對高風險使用者和登入要求密碼變更和多重要素驗證 (依登入頻率強制執行)。
  • 限制來自高風險裝置的存取。 在條件式存取中使用 Intune 合規性政策與合規性檢查。
  • 保護特殊權限系統,例如存取適用於 Office 365、Azure、AWS 和 Google Cloud 的系統管理員入口網站。
  • 防止系統管理員和不受信任裝置上的持續性瀏覽器會話。
  • 封鎖舊版驗證。
  • 限制來自未知或不支援裝置平台的存取。
  • 可能的話,要求符合規範的裝置才能存取資源。
  • 限制強式認證註冊。
  • 如果中斷之前已滿足適當的條件,請考慮使用預設會話原則,允許會話在中斷之前繼續。