Microsoft Entra ID 控管作業參考指南
Microsoft Entra 作業參考指南的這一節說明您評估和證明存取權授與非特殊權限和特殊權限身分識別、稽核及控制環境變更,應該採取的檢查和動作。
注意
這些建議是發佈時的最新資訊,但日後可能依情況修訂。 由於 Microsoft 的產品和服務會隨著時間而演進,組織應該要持續評估其治理的實務。
重要作業流程
指派各項重要工作的擁有者
管理 Microsoft Entra ID 需要能持續執行重要的操作工作和流程,且可能不屬於專案推出的一部分。 您仍必須將這些工作安排妥當,以最佳化您的環境。 重要工作及其建議的擁有者包括:
| Task | 負責人 |
|---|---|
| 在 SIEM 系統中封存 Microsoft Entra 稽核記錄 | InfoSec 作業小組 |
| 探索管理不符合規範的應用程式 | IAM 作業小組 |
| 定期檢閱應用程式的存取權 | InfoSec 架構小組 |
| 定期檢閱外部身分識別的存取權 | InfoSec 架構小組 |
| 定期檢閱具有特殊權限角色的人員 | InfoSec 架構小組 |
| 定義安全性閘道以啟動特殊權限角色 | InfoSec 架構小組 |
| 定期檢閱同意授權 | InfoSec 架構小組 |
| 根據組織中的員工設計應用程式和資源的目錄和存取套件 | 應用程式擁有者 |
| 定義安全性原則以指派使用者存取套件 | InfoSec 小組 + 應用程式擁有者 |
| 如果原則包含核准工作流程,請定期檢閱工作流程核准 | 應用程式擁有者 |
| 使用存取權檢閱來檢閱安全性原則中的例外狀況,例如條件式存取原則 | InfoSec 作業小組 |
在您檢閱清單時,可能會發現您需要為沒有擁有者的工作指派擁有者,或為擁有者不符合所提供建議的工作調整擁有權。
擁有者的建議閱讀資料
設定變更測試
在測試時,有一些需要特殊考量的變更,從簡單的技術 (例如推出使用者的目標子集) 到在平行測試租用戶中部署變更。 如果您尚未實作測試策略,您應該根據下表中的指導方針來定義測試方法:
| 案例 | 建議 |
|---|---|
| 將驗證類型從同盟變更為 PHS/PTA,反之亦然 | 使用分段推出來測試變更驗證類型的影響。 |
| 推出新的條件式存取原則 | 建立新的條件式存取原則,並指派給測試使用者。 |
| 將應用程式的測試環境上線 | 將應用程式新增到實際執行環境、從 MyApps 面板中隱藏,以及在品質保證 (QA) 階段期間將其指派給測試使用者。 |
| 變更同步處理規則 | 使用目前在實際執行環境中的相同設定在測試 Microsoft Entra Connect 中執行變更 (也稱為暫存模式),並分析匯出結果。 如果滿意,請在準備就緒時切換至實際執行環境。 |
| 商標的變更 | 在個別測試租用戶中測試。 |
| 推出新功能 | 如果此功能支援推出至一組目標使用者,請識別試驗使用者並進行組建。例如,自助式密碼重設和多重要素驗證可以以特定使用者或群組為目標。 |
| 將應用程式從內部部署識別提供者 (IdP) (例如 Active Directory) 移轉至 Microsoft Entra ID | 如果應用程式支援多個 IdP 設定 (例如 Salesforce),請在變更期間設定和測試 Microsoft Entra ID (以防應用程式引進頁面)。 如果應用程式不支援多個 IdP,請在變更控制視窗和程式停機期間排程測試。 |
| 為組動態成員資格群組更新規則 | 使用新規則建立平行動態群組。 針對計算結果進行比較,例如,以相同的條件執行 PowerShell。 如果測試通過,請交換使用舊群組的位置 (如果可行)。 |
| 遷移產品授權 | 請參閱 Microsoft Entra ID 中的變更授權群組中單一使用者的授權。 |
| 變更 AD FS 的規則,例如授權、發行、MFA | 使用群組宣告將目標設為使用者的子集。 |
| 變更 AD FS 驗證體驗或類似的全伺服器陣列變更 | 使用相同的主機名稱建立平行伺服器陣列,實作設定變更,使用主機檔案、NLB 路由規則或類似路由從用戶端進行測試。 如果目標平台不支援主機檔案 (例如行動裝置),則控制變更。 |
存取權檢閱
存取應用程式的檢閱
經過一段時間之後,隨著使用者整個移到不同的小組和位置,可能會累積資源的存取權。 資源擁有者務必定期檢閱應用程式的存取權。 此檢閱流程可能包括移除使用者生命週期中不再需要的權限。 Microsoft Entra ID 存取權檢閱可讓組織有效地管理群組成員資格、對企業應用程式的存取,以及角色指派。 資源擁有者應定期檢閱使用者的存取權,以確保只有適當的人員可以繼續存取。 在理想的情況下,您應該考慮使用 Microsoft Entra 存取權檢閱來進行這項工作。
注意
與存取權檢閱互動的每個使用者都必須有付費的 Microsoft Entra ID P2 授權。
外部身分識別的存取權檢閱
在需要的期間內,請務必將外部身分識別的存取權限制在僅限需要的資源。 使用 Microsoft Entra 存取權檢閱為所有外部身分識別和應用程式存取權,建立定期自動化存取權檢閱程序。 如果程序已經存在於內部部署環境,請考慮使用 Microsoft Entra 存取權檢閱。 一旦應用程式已淘汰或不再使用,請移除具有應用程式存取權的所有外部身分識別。
注意
與存取權檢閱互動的每個使用者都必須有付費的 Microsoft Entra ID P2 授權。
特殊權限帳戶管理
特殊權限帳戶使用方式
駭客通常會以系統管理員帳戶和其他特殊權限存取權元素作為目標,以快速取得敏感性資料和系統的存取權。 由於具有特殊權限角色的使用者通常會隨著時間累積,因此請務必定期檢閱並管理系統管理員存取權,並提供 Microsoft Entra ID 和 Azure 資源的 Just-In-Time 特殊權限存取權。
如果您的組織中沒有可管理特殊權限帳戶的流程,或您目前有系統管理員使用他們的一般使用者帳戶來管理服務和資源,您應該立即開始使用不同的帳戶。 例如,一個用於一般日常活動,另一個用於特殊權限存取,並使用 MFA 進行設定。 更好的是,如果您的組織有 Microsoft Entra ID P2 訂用帳戶,則您應該立即部署 Microsoft Entra Privileged Identity Management (PIM)。 在相同權杖中,您也應該檢閱這些特殊權限帳戶並且指派較低特殊權限角色 (如果適用)。
應實作的特殊權限帳戶管理的另一個層面,是定義這些帳戶的存取權檢閱,不論是手動或透過 PIM 自動化。
特殊權限帳戶管理建議閱讀資料
緊急存取帳戶
Microsoft 建議組織擁有兩個僅限雲端,且永久指派為全域系統管理員角色的緊急存取帳戶。 這些帳戶具有高度特殊權限,不會指派給特定個人。 帳戶僅限用於無法使用一般帳戶或所有其他系統管理員意外遭到鎖定的緊急或「急用」狀況。請務必遵循緊急存取帳戶建議建立這些帳戶。
Azure EA 入口網站的特殊權限存取權
Azure Enterprise 合約 (Azure EA) 入口網站 可讓您針對主要 Enterprise 合約建立 Azure 訂用帳戶,這是企業內的強大角色。 通常在 Microsoft Entra ID 就位之前,就啟動程序建立此入口網站。 在此案例中,必須使用 Microsoft Entra 身分識別將其鎖定、從入口網站移除個人帳戶、確保適當的委派就位,並減輕鎖定的風險。
明確地來說,如果 EA 入口網站授權層級目前設定為「混合模式」,您必須從 EA 入口網站中的所有特殊權限存取權移除任何 Microsoft 帳戶,並設定 EA 入口網站僅使用 Microsoft Entra 帳戶。 如果未設定 EA 入口網站委派的角色,您也應該尋找並實作部門與帳戶的委派角色。
特殊權限存取權的建議閱讀資料
權利管理
權利管理 (EM) 可讓應用程式擁有者組合資源,並將其指派給組織中的特定角色 (內部與外部)。 EM 允許對企業擁有者進行自助服務註冊和委派,同時保留治理原則來授與存取權、設定存取持續時間,以及允許核准工作流程。
注意
Microsoft Entra 權利管理需要 Microsoft Entra ID P2 授權。
摘要
安全身分識別治理有八個層面。 這份清單可協助您找出評估與證明授與非特殊權限和特殊權限身分識別、稽核及控制環境變更的存取權時,應採取的動作。
- 指派各項重要工作的擁有者。
- 實作測試策略。
- 使用 Microsoft Entra 存取權檢閱,有效地管理群組成員資格、對企業應用程式的存取,以及角色指派。
- 為所有類型的外部身分識別和應用程式存取權,建立定期自動化存取權檢閱程序。
- 建立存取權檢閱流程以定期檢閱及管理系統管理員存取權,並提供 Microsoft Entra ID 和 Azure 資源的 Just-In-Time 特殊權限存取權。
- 佈建緊急帳戶以準備在非預期中斷時管理 Microsoft Entra ID。
- 鎖定 Azure EA 入口網站的存取權。
- 實作權利管理,以提供資源集合的控管存取權。
下一步
開始使用 Microsoft Entra 操作檢查和動作。