建立及執行安全的應用程式

良好的安全性可保護您的系統，因此您的組織不會遭到意外和刻意的損害。 它確保只有正確的人員可以存取您的資源，並盡量減少他們可能會造成意外傷害的可能性。 它也警告您有危險、違規和其他重要安全性事件。

本文討論Microsoft雲端可協助您保護系統的方式。

• 針對統一身分識別和存取管理解決方案使用Microsoft Entra標識符
• 使用 Microsoft Sentinel 監視和管理應用程式的安全性

針對統一身分識別和存取管理解決方案使用Microsoft Entra標識符

在我們的雲端式世界中，員工和客戶可以從許多不同位置的許多裝置存取您的自定義應用程式。 授與正確人員的存取權，具有正確的限制，基本上取決於身分識別。 良好的安全性要求每個使用者在存取系統之前先證明其身分識別，而且他們只會存取執行其工作所需的資源。

建置軟體以執行這項操作是很難的。 它需要專家，需要時間才能正確，所以你絕對不想自行建置。 同樣重要的是，身分識別應該盡可能簡單地用於您的使用者和開發人員。 在理想情況下，您想要以統一的方式管理整個環境的身分識別。

這就是 Microsoft Cloud 提供 Microsoft Entra 標識碼，這是世界上最大的雲端身分識別服務。 如果您的組織目前使用 Microsoft Cloud 的任何元件，例如 Azure、Power Platform、Microsoft 365 或 Dynamics 365，表示您已經使用 Microsoft Entra ID。 它會在整個 Microsoft Cloud 中使用，為您的使用者提供其所有元件的單一身分識別。

建置在 Microsoft Cloud 上的自定義應用程式也應該使用 Microsoft Entra 識別符。 圖 9 顯示此範例應用程式的外觀。

圖 9：Microsoft Entra ID 和 Azure Active Directory B2C 為建置在 Microsoft 雲端上的應用程式提供通用身分識別服務。

如圖所示，自定義應用程式可以使用兩個相關的身分識別服務：

• Microsoft Entra 識別符，它會在 Microsoft Cloud 內提供身分識別。 存取自定義應用程式的員工通常會使用 Entra ID 登入，並建立用來存取所有雲端服務Microsoft身分識別。
• Microsoft為外部使用者提供身分識別的 Entra ID B2C。 此服務可讓客戶建立自己的帳戶，或使用來自Microsoft、Google、Facebook和其他帳戶的現有公用帳戶。

針對身分識別使用 Microsoft Entra ID 會帶來數個優點：

• 在 Microsoft Cloud 中擁有相同的身分識別，可讓應用程式的開發人員和使用者都更容易使用。 在圖 9 所示的範例中，員工可以從登入組織的 Microsoft Entra ID 環境開始，稱為租使用者。 完成此動作之後，他們就可以存取使用Power Apps所建立之應用程式的員工面向元件。 此應用程式可以使用相同的身分識別呼叫 Azure API 管理、Dynamics 365 和 Microsoft Graph，因此員工不需要再次登入。
• 您的開發人員可以在他們建立的應用程式中使用 Microsoft 身分識別平台。 連結庫和管理工具可讓開發人員更輕鬆地建置應用程式，以使用來自 Microsoft Entra ID 和其他地方的身分識別。 為了協助這樣做，Microsoft 身分識別平台 實作 OAuth 2.0 和 OpenID Connect 等業界標準。
• 使用 Microsoft Entra 識別碼和 Microsoft 身分識別平台 可讓您控制使用身分識別的方式。 例如，您可以藉由變更單一設定，在使用 Microsoft 身分識別平台 建置的多個應用程式中開啟多重要素驗證的支援。 Microsoft Entra ID 也與Microsoft的安全性工具整合，以監視身分識別型安全性威脅和攻擊。

取得身分識別和存取權是做好安全性的基本部分。 使用 Microsoft Entra ID 在 Microsoft Cloud 上建置應用程式，可讓此目標更容易達成。

使用 Microsoft Sentinel 監視和管理應用程式的安全性

現今建置應用程式的每個人都應該假設其軟體是攻擊者的目標。 鑒於此情況，貴組織必須持續監視及管理應用程式及其執行環境的安全性。 Microsoft Cloud 提供數個工具來執行這項操作。

其中最重要的一項是 Microsoft Sentinel。 Microsoft Sentinel 提供安全性資訊和事件管理 （SIEM），可讓您擷取和分析各種安全性相關數據。 它也可以自動回應威脅，提供安全性協調流程、自動化和回應 （SOAR）。 Microsoft Sentinel 可協助您的組織更有效率地找出並修正安全性問題。

Microsoft Sentinel 的廣泛影響力包括透過一組大型連接器Microsoft雲端和超越。 這些連接器可讓 Microsoft Sentinel 與其他許多服務和技術互動。 其中最重要的一項是 Microsoft Defender 工具，包括：

• 適用於雲端的 Microsoft Defender，可協助您的組織瞭解和改善 Azure 應用程式的安全性。 它也可以保護特定的雲端服務，例如 Azure 儲存體。
• Microsoft 365 Defender，其提供下列元件：
  • 適用於 Office 365 的 Microsoft Defender，可保護 Exchange 和其他 Office 365 層面。
  • 適用於身分識別的 Microsoft Defender，它會監視 Active Directory 以偵測遭入侵的身分識別和其他威脅。
  • 適用於雲端的 Microsoft Defender Apps，其可作為組織使用者與其使用之雲端資源之間的雲端存取安全性代理程式。 它可協助您進一步瞭解您在 Microsoft Cloud 和其他地方使用哪些應用程式，以及誰正在使用它們。

Microsoft Sentinel 也可以匯入 Microsoft Cloud 內的 Office 365 稽核記錄、Azure 活動記錄和其他安全性相關信息。 Microsoft Sentinel 也可以從各種廠商所提供的許多其他來源存取安全性相關信息。 將Microsoft Sentinel 連線到資訊來源之後，您可以分析數據以了解安全性事件並加以回應。

安全性不是簡單的主題。 因此，Microsoft提供Microsoft Sentinel 和其他安全性供應專案來解決此領域。 所有這些技術都會一起運作，以改善在 Microsoft Cloud 上執行的應用程式安全性。

下一步

請參閱在 Microsoft 雲端上建置應用程式的摘要，並瞭解如何深入瞭解如何以企業應用程式開發領導者身分成功。