委派管理和隔离环境简介

一般情况下,具有委派管理的 Microsoft Entra 单租户体系结构足以隔离环境。 组织可能需要一定程度的隔离,而单个租户无法实现这种隔离。

在本文中,请务必了解:

  • 单租户操作和函数
  • Microsoft Entra ID 中的管理单元 (AU)
  • Azure 资源与 Microsoft Entra 租户之间的关系
  • 驱动器隔离的要求

Microsoft Entra 租户作为安全边界

Microsoft Entra 租户向组织使用的应用程序和资源提供标识和访问管理 (IAM) 功能。

标识是 Directory 对象,可以对其进行身份验证和授予资源访问权限。 存在针对人类和非人类身份的标识对象。 为了区分,人类标识被称为标识,非人类标识被称为工作负载标识。 非人类实体包括应用程序对象、服务主体、托管标识和设备。 一般来说,工作负载标识是软件实体向系统进行身份验证的一种方式。

  • 标识 - 表示人类的对象
  • 工作负载标识 - 工作负载标识是应用程序、服务主体和托管标识。
    • 工作负载标识用于对其他服务和资源进行身份验证和访问

有关详细信息,请了解工作负载标识

Microsoft Entra 租户是管理员控制的标识安全边界。 在此安全边界内,订阅、管理组和资源组的管理可以委派给 Azure 资源的分段管理控制。 这些组依赖于租户范围的策略和设置配置。

Microsoft Entra ID 授予对象对应用程序和 Azure 资源的访问权限。 可以使用 Microsoft Entra ID 管理信任 Microsoft Entra ID 的 Azure 资源和应用程序。 遵循最佳做法,使用测试环境设置环境。

访问使用 Microsoft Entra ID 的应用

向标识授予对应用程序的访问权限:

  • Microsoft 生产力服务,如 Exchange Online、Microsoft Teams 和 SharePoint Online
  • Microsoft IT 服务,如 Azure Sentinel、Microsoft Intune 和 Microsoft Defender XDR 高级威胁防护 (ATP)
  • Microsoft 开发人员工具,如 Azure DevOps 和 Microsoft Graph API
  • SaaS 解决方案,如 Salesforce 和 ServiceNow
  • 与混合访问功能(例如 Microsoft Entra 应用程序代理)集成的本地应用程序
  • 自主开发的应用程序

使用 Microsoft Entra ID 的应用程序需要在受信任的 Microsoft Entra 租户中配置和管理 directory 对象。 Directory 对象的示例包括应用程序注册、服务主体、组和架构属性扩展

对 Azure 资源的访问

向 Microsoft Entra 租户中的用户、组和服务主体对象(工作负载标识)授予角色。 若要了解详细信息,请参阅 Azure 基于角色的访问控制 (RBAC)Azure 基于属性的访问控制 (ABAC)

使用 Azure RBAC,你可以根据安全主体确定的角色、角色定义和范围提供访问权限。 Azure ABAC 根据操作的属性添加角色分配条件。 有关更精细的访问控制,请添加角色分配条件。 使用分配的 RBAC 角色访问 Azure 资源、资源组、订阅和管理组。

支持托管标识的 Azure 资源允许资源对 Microsoft Entra 租户边界内的其他资源进行身份验证、获取访问权限并分配角色。

使用 Microsoft Entra ID 进行登录的应用程序可以使用 Azure 资源,例如计算或存储。 例如,在 Azure 中运行并信任 Microsoft Entra ID 进行身份验证的自定义应用程序具有 Directory 对象和 Azure 资源。 Microsoft Entra 租户中的 Azure 资源会影响租户范围的 Azure 配额和限制

对 Directory 对象的访问权限

标识、资源及其关系在 Microsoft Entra 租户中表示为 directory 对象。 示例包括用户、组、服务主体和应用注册。 在 Microsoft Entra 租户边界内拥有一组 directory 对象,具备以下功能:

  • 可见性:标识可以根据自己的权限发现或枚举资源、用户、组、访问权限使用情况报告和审核日志。 例如,目录成员可以发现目录中具有 Microsoft Entra ID 默认用户权限的用户。

  • 对应用程序的影响:应用程序可以在其业务逻辑中通过 Microsoft Graph 来操作 directory 对象。 典型示例包括读取或设置用户属性、更新用户日历、代表用户发送电子邮件等。 需要获得许可才能允许应用程序影响租户。 管理员可以同意所有用户。 有关详细信息,请查看 Microsoft 标识平台中的权限和许可

  • 请求限制和服务限制:资源的运行时行为可能会触发请求限制,以防止出现过度使用或服务降级。 请求限制可能在应用程序、租户或整个服务的级别发生。 当应用程序在租户内或不同租户中拥有大量请求时,通常会发生这种情况。 同样,Microsoft Entra 服务限制和约束可能会影响应用程序运行时行为。

    注意

    请谨慎使用应用程序权限。 例如,使用 Exchange Online,将应用程序权限范围设定为邮箱和权限

角色管理的管理单元

管理单元将角色中的权限限制为组织的一部分。 可以使用管理单元将帮助台管理员角色委派给区域支持专家,以便他们仅管理其支持的区域中的用户。 管理单元是一种 Microsoft Entra 资源,可以用作其他 Microsoft Entra 资源的容器。 管理单元可以包含以下内容:

  • 用户
  • 设备

在下图中,AU 根据组织结构对 Microsoft Entra 租户进行细分。 当业务部门或组分配专门的 IT 支持人员时,这种方法很有用。 使用 AU 提供仅限于管理单元的特权权限。

Microsoft Entra 管理单元的关系图。

有关详细信息,请参阅 Microsoft Entra ID 中的管理单元

资源隔离的常见原因

有时,你会出于安全原因将一组资源与其他资源隔离开来,例如具有独特访问要求的资源。 此操作对于 AU 来说是一个很好的用例。 确定用户和安全主体的资源访问权限以及具体角色。 隔离资源的原因:

  • 开发人员团队需要安全地循环访问。 但是,开发和测试写入 Microsoft Entra ID 的应用程序可能会通过写入操作影响 Microsoft Entra 租户:
    • 可以更改 Office 365 内容的新应用程序,例如 SharePoint 网站、OneDrive、Microsoft Teams 等
    • 可以使用 MS Graph 或类似 API 大规模更改用户数据的自定义应用程序。 例如,授予 Directory.ReadWrite.All 权限的应用程序。
    • 更新大量对象的 DevOps 脚本
    • Microsoft Entra 集成应用程序的开发人员需要创建用户对象进行测试。 用户对象无权访问生产资源。
  • 可能会影响其他资源的非生产 Azure 资源和应用程序。 例如,需要将新的 SaaS 应用程序与生产实例和用户对象隔离
  • 要防止管理员发现、枚举或接管的机密资源

租户中的配置

Microsoft Entra ID 中的配置设置可以通过有针对性的或租户范围的管理操作影响 Microsoft Entra 租户中的资源:

  • 外部标识:管理员识别并控制要在租户中配置的外部身份
    • 是否允许租户中出现外部标识
    • 从中添加外部标识的域
    • 用户是否可以邀请来自其他租户的用户
  • 命名位置:管理员创建命名位置的目的是:
    • 阻止从位置登录
    • 触发条件访问策略,例如多重身份验证
    • 绕过安全要求
  • 自助服务选项:管理员设置自助密码重置并在租户级别创建 Microsoft 365 组

如果未被全局策略覆盖,可以对一些租户范围内的配置进行限定:

  • 租户配置允许使用外部标识。 资源管理员可以从访问权限中排除这些标识。
  • 租户配置允许使用个人设备注册。 资源管理员可以从访问权限中排除这些设备。
  • 已配置命名位置。 资源管理员可以配置策略来允许或排除访问权限。

配置隔离的常见原因

由管理员控制的配置会影响资源。 虽然某些租户范围的配置可以通过不适用或部分适用于资源的策略进行范围限制,但其他配置则不能。 如果资源具有唯一配置,请将其隔离在单独的租户中。 示例包括:

  • 要求与租户范围的安全或协作状态相冲突的资源
    • 例如允许的身份验证类型、设备管理策略、自助服务、外部标识的标识证明等。
  • 将认证范围扩大到整个环境的合规性要求
    • 此操作涉及所有资源和 Microsoft Entra 租户,当要求与其他组织资源冲突或不包括其他组织资源时,更应执行此操作
  • 与生产或敏感资源政策相冲突的外部用户访问要求
  • 跨多个国家或地区的组织,以及托管在 Microsoft Entra 租户中的公司。
    • 例如,国家、地区或业务子公司使用的设置和许可证

租户管理

Microsoft Entra 租户中具有特权角色的标识具有执行前面部分所述配置任务的可见性和权限。 管理包括用户、群组和设备等标识对象的所有权。 它还包括身份验证、授权等租户范围配置的范围实现。

directory 对象管理

管理员管理标识对象如何访问资源以及在什么情况下访问资源。 他们还会根据自己的特权禁用、删除或修改 directory 对象。 标识对象包括:

  • 组织标识,由用户对象表示,例如
    • 管理员
    • 组织用户
    • 组织开发人员
    • 服务帐户
    • 测试用户
  • 外部标识,表示组织外部的用户
    • 预配了组织环境中的帐户的合作伙伴、提供商或供应商
    • 预配了 Azure B2B 协作的合作伙伴、供应商或供应商
  • 组,由对象表示
  • 设备,由对象表示
    • Microsoft Entra 混合联接设备。 从本地同步的本地计算机。
    • Microsoft Entra 联接设备
    • 员工用来访问工作区应用程序的 Microsoft Entra 注册移动设备
    • 已注册 Microsoft Entra 的下层设备(旧)。 例如,Windows 2012 R2。
  • 工作负载标识
    • 托管标识
    • 服务主体
    • 应用程序

在混合环境中,系统通常使用 Microsoft Entra Connect 从本地环境同步标识。

标识服务管理

具有特定权限的管理员管理如何为资源组、安全组或应用程序实施租户范围的策略。 在考虑资源管理时,请记住对资源进行分组或隔离的以下原因。

  • 全局管理员控制链接到租户的 Azure 订阅
  • 获配身份验证管理员角色的标识需要非管理员重新注册多重身份验证或快速在线 (FIDO) 身份验证。
  • 条件访问管理员从组织拥有的设备为用户登录应用创建条件访问策略。 这些管理员会确定配置的范围。 例如,即使租户中允许外部标识,也可以排除这些标识对资源的访问。
  • 云应用程序管理员可以代表用户同意应用程序权限

管理隔离的常见原因

谁应该管理环境及其资源? 有时,一个环境的管理员无权访问另一个环境:

  • 分离租户范围管理责任,以降低影响关键资源的安全和操作错误的风险
  • 根据国籍、居住国、许可级别等限制可以管理环境的法规的对象

设计和操作注意事项

鉴于 Microsoft Entra 租户与其资源之间的相互依赖关系,务必要了解泄露或错误的安全和操作风险。 如果要在具有同步帐户的联合环境中运行,则本地泄露可能会导致 Microsoft Entra ID 泄露。

  • 标识泄露:在租户边界内,如果提供访问权限的管理员具有足够的权限,则可以为标识分配任何角色。 虽然在很大程度上遏制了泄露的非特权标识的影响,但泄露的管理员可能会造成广泛的影响。 例如,如果一个高权限帐户遭到入侵,Azure 资源可能会受到威胁。 若要降低标识泄露或恶意行为者的风险,请实施分层管理并遵循 Microsoft Entra 管理员角色的最低权限原则。 创建条件访问策略,排除测试帐户和测试服务主体对测试应用程序之外的资源的访问。 有关特权访问策略的详细信息,请参阅特权访问:策略
  • 联合环境泄露
  • 信任资源泄露:根据租户和资源级别的权限,Microsoft Entra 租户的任何泄露组件都会影响信任资源。 资源的特权决定了已泄露组件的影响。 集成用于执行写入操作的资源可能会影响整个租户。 遵循零信任指南有助于限制泄露的影响。
  • 应用程序开发:在应用程序开发生命周期的早期阶段,对 Microsoft Entra ID 授予写入权限存在风险。 错误可能会无意中将更改写入 Microsoft Entra 对象。 若要了解详细信息,请参阅 Microsoft 标识平台最佳做法
  • 操作错误:不良行为者以及租户管理员或资源所有者的操作错误会引发安全事故。 这些风险发生在任何体系结构中。 使用职责分离、分层管理、最低特权原则并遵循最佳实践。 避免使用单独的租户。

零信任原则

将零信任原则纳入 Microsoft Entra ID 设计策略以指导安全设计。 你可以通过零信任实现主动安全性

后续步骤