Microsoft Entra 一般作業指南參考
Microsoft Entra 作業參考指南的這一節說明將 Microsoft Entra ID 一般作業最佳化所應採取的檢查和動作。
注意
這些建議是發佈時的最新資訊,但日後可能依情況修訂。 因為 Microsoft 產品和服務會隨著時間演進,所以組織應該持續評估其作業做法。
重要作業流程
指派各項重要工作的擁有者
管理 Microsoft Entra ID 需要能持續執行重要的操作工作和流程,且可能不屬於專案推出的一部分。 您仍必須將這些工作安排妥當,以最佳化您的環境。 重要工作及其建議的擁有者包括:
| Task | 負責人 |
|---|---|
| 驅動身分識別安全分數的改善項目 | InfoSec 作業小組 |
| 維護 Microsoft Entra Connect 伺服器 | IAM 作業小組 |
| 定期執行和分級 IdFix 報告 | IAM 作業小組 |
| 分級適用於同步和 AD FS 的 Microsoft Entra Connect Health 警示 | IAM 作業小組 |
| 如果未使用 Microsoft Entra Connect Health,則客戶具有對等的程序和工具可監視自訂基礎結構 | IAM 作業小組 |
| 如果未使用 AD FS,則客戶具有對等的程序和工具可監視自訂基礎結構 | IAM 作業小組 |
| 監視混合式記錄:Microsoft Entra 私人網路連接器 | IAM 作業小組 |
| 監視混合式記錄:傳遞驗證代理程式 | IAM 作業小組 |
| 監視混合式記錄:密碼回寫服務 | IAM 作業小組 |
| 監視混合式記錄:內部部署密碼保護閘道 | IAM 作業小組 |
| 監視混合式記錄:Microsoft Entra 多重要素驗證 NPS 延伸模組 (如適用) | IAM 作業小組 |
在您檢閱清單時,可能會發現您需要為沒有擁有者的工作指派擁有者,或為擁有者不符合上述建議的工作調整擁有權。
擁有者建議閱讀資料
混合式管理
內部部署元件的最新版本
擁有最新版本的內部部署元件,可為客戶提供所有最新的安全性更新、效能改善,以及有助於進一步簡化環境的功能。 大部分元件都有自動升級設定,可將升級程序自動化。
這些元件包括:
- Microsoft Entra Connect
- Microsoft Entra 私人網路連接器
- Microsoft Entra 傳遞驗證代理程式
- Microsoft Entra Connect Health 代理程式
除非已建立程序,否則您應該定義一個程序來升級這些元件,並盡可能依賴自動升級功能。 如果您找到六個月 (含) 後的元件,則應該盡快升級。
混合式管理建議閱讀資料
Microsoft Entra Connect Health 警示基準
組織應該部署 Microsoft Entra Connect Health,以監視和報告 Microsoft Entra Connect 和 AD FS。 Microsoft Entra Connect 和 AD FS 這兩個關鍵元件可以破壞生命週期管理和驗證,因此導致中斷。 Microsoft Entra Connect Health 有助於監視和深入了解內部部署身分識別基礎結構,因此確保您環境的可靠性。
當您監視環境的健康情況時,必須立即解決任何高嚴重性警示,再接著解決較低嚴重性警示。
Microsoft Entra Connect Health 建議閱讀資料
內部部署代理程式記錄
有些身分識別和存取管理服務需要內部部署代理程式,才能啟用混合式案例。 範例包括密碼重設、傳遞驗證 (PTA)、Microsoft Entra 應用程式 Proxy,以及 Microsoft Entra 多重要素驗證 NPS 延伸模組。 這是作業小組基準以及監視這些元件健康情況的關鍵,而後者的方法是使用 System Center Operations Manager 或 SIEM 這類解決方案來封存和分析元件代理程式記錄。 您的 Infosec 作業小組或技術服務人員也必須了解如何針對錯誤模式進行疑難排解。
內部部署代理程式記錄建議閱讀資料
- 疑難排解應用程式 Proxy
- 自助式密碼重設疑難排解
- 了解 Microsoft Entra 私人網路連接器
- Microsoft Entra Connect:針對傳遞驗證進行疑難排解
- 針對 Microsoft Entra 多重要素驗證 NPS 延伸模組的錯誤程式碼進行疑難排解
內部部署代理程式管理
採用最佳做法有助於進行內部部署代理程式的最佳作業。 考量下列最佳做法:
- 建議每個連接器群組都使用多個 Microsoft Entra 私人網路連接器,透過避免存取 Proxy 應用程式時的單一失敗點,以提供順暢的負載平衡和高可用性。 如果生產環境中可處理應用程式的連接器群組中目前只有一個連接器,則您至少應該部署兩個連接器來進行備援。
- 針對疑難排解案例以及將新的內部部署應用程式上線時,建立和使用私人網路連接器群組來進行偵測十分有用。 也建議您在連接器電腦中安裝 Message Analyzer 和 Fiddler 這類網路工具。
- 建議使用多個傳遞驗證代理程式,透過避免驗證流程期間的單一失敗點,以提供順暢的負載平衡和高可用性。 請務必至少部署兩個傳遞驗證代理程式來進行備援。
內部部署代理程式管理建議閱讀資料
大規模管理
身分識別安全分數
身分識別安全分數提供組織安全性狀態的可量化量值。 這是可持續檢閱和解決所回報結果並努力獲得最高分數的關鍵。 分數可協助您:
- 客觀測量您的身分識別安全性態勢
- 方案身分識別安全性改進項目
- 檢閱您改進項目的成功
如果您的組織目前沒有任何程式可監視身分識別安全分數的變更,則建議您實作方案,並指派擁有者來監視和驅動改善動作。 組織應該盡快補救分數影響高於 30 的改善動作。
通知
Microsoft 會將電子郵件通訊傳送給管理員,以通知服務的各種變更、需要的設定更新,以及需要管理員介入的錯誤。 客戶必須設定通知電子郵件地址,以將通知傳送給適當的小組成員,而這些成員可以確認並處理所有通知。 建議您將多個收件者新增至訊息中心,並要求將通知 (包括 Microsoft Entra Connect Health 通知) 傳送至通訊群組清單或共用信箱。 如果您只有一個具有電子郵件地址的全域管理員帳戶,則請務必至少設定兩個具備電子郵件功能的帳戶。
Microsoft Entra ID 使用兩個「寄件者」地址:o365mc@email2.microsoft.com (傳送訊息中心通知) 和 azure-noreply@microsoft.com (傳送與下列有關的通知):
- Microsoft Entra 存取權檢閱
- Microsoft Entra Connect Health
- Microsoft Entra ID Protection
- Microsoft Entra Privileged Identity Management
- 企業應用程式過期憑證通知
- 企業應用程式佈建服務通知
請參閱下表,以了解所傳送的通知類型以及要檢查的位置:
| 通知來源 | 傳送內容 | 檢查的位置 |
|---|---|---|
| 技術連絡人 | 同步錯誤 | Azure 入口網站 - 屬性刀鋒視窗 |
| 訊息中心 | 身分識別服務和 Microsoft 365 後端服務的事件和降低通知 | Office 入口網站 |
| Identity Protection 每週訊息摘要 | Identity Protection 訊息摘要 | Microsoft Entra ID Protection 窗格 |
| Microsoft Entra Connect Health | 警示通知 | Azure 入口網站 - Microsoft Entra Connect Health 窗格 |
| 企業應用程式通知 | 憑證即將到期和佈建錯誤時的通知 | Azure 入口網站 - 企業應用程式刀鋒視窗 (每個應用程式都會有自己的電子郵件地址設定) |
通知建議閱讀資料
操作介面區
AD FS 鎖定
將應用程式設定為直接向 Microsoft Entra ID 進行驗證的組織,可受益於 Microsoft Entra 智慧鎖定。 如果您是在 Windows Server 2012 R2 中使用 AD FS,則請實作 AD FS 外部網路鎖定保護。 如果您是在 Windows Server 2016 或更新版本上使用 AD FS,則請實作外部網路智慧鎖定。 建議您至少啟用外部網路鎖定,以包含對內部部署 Active Directory 進行暴力密碼破解攻擊的風險。 不過,如果您的 AD FS 在 Windows 2016 或更高版本上,則您也應該啟用外部網路智慧鎖定,以協助降低密碼噴灑攻擊。
如果 AD FS 只用於 Microsoft Entra 同盟,則可關閉一些端點,以將攻擊面區域降至最低。 例如,如果 AD FS 只用於 Microsoft Entra ID,則您應該停用 WS-Trust 的端點,而不是針對 usernamemixed 和 windowstransport 啟用的端點。
具有內部部署身分識別元件之電腦的存取
組織應該使用與內部部署網域相同的方式,來鎖定具有內部部署混合式元件的電腦存取權。 例如,備份操作員或 Hyper-V 管理員應該無法登入 Microsoft Entra Connect 伺服器來變更規則。
Active Directory 管理層模型的設計目的,是在下列兩者之間使用一組緩衝區區域來保護身分識別系統:環境的完整控制 (第 0 層) 與攻擊者經常入侵的高風險工作站資產。
階層模型是由三個層級所組成,而且只包括管理帳戶,並不包括標準使用者帳戶。
- 第 0 層 - 直接控制環境中的企業身分識別。 第 0 層包括可直接或間接對 Active Directory 樹系、網域或網域控制站進行系統管理控制的帳戶、群組和其他資產及其上的所有資產。 所有第 0 層資產的安全性敏感度是對等的,因為它們都有效地相互控制。
- 第 1 層 - 控制企業伺服器與應用程式。 第 1 層資產包括伺服器作業系統、雲端服務和企業應用程式。 第 1 層系統管理員帳戶對於這些資產上裝載的大量商業價值具有系統管理控制權。 常見的範例角色是伺服器系統管理員,其可利用會影響所有企業服務的能力來維護這些作業系統。
- 第 2 層 - 控制使用者工作站和裝置。 第 2 層系統管理員帳戶對於使用者工作站和裝上裝載的大量商業價值具有系統管理控制權。 範例包括技術支援中心及電腦支援系統管理員,因為他們會影響到幾乎所有使用者資料的完整性。
鎖定對 Microsoft Entra Connect、AD FS 和 SQL 服務這類內部部署身分識別元件的存取,而其方法與網域控制站相同。
摘要
安全身分識別基礎結構有七個層面。 此清單將協助您找出 Microsoft Entra ID 作業最佳化所應採取的動作。
- 指派各項重要工作的擁有者。
- 將內部部署混合式元件的升級程序自動化。
- 部署 Microsoft Entra Connect Health,以監視和報告 Microsoft Entra Connect 和 AD FS。
- 使用 System Center Operations Manager 或 SIEM 解決方案來封存和分析元件代理程式記錄,以監視內部部署混合式元件的健康情況。
- 使用身分識別安全分數來測量安全性狀態,以實作安全性改善。
- 鎖定 AD FS。
- 使用對具有內部部署身分識別元件之電腦的存取。
下一步
請參閱 Microsoft Entra 部署計畫,以實作任何您尚未部署之功能的詳細資料。