你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
用于实现零信任的条件访问
本节中的文章提供了一个设计和框架,用于通过使用条件访问来控制对云服务的访问来实现 零信任 原则。 本指南基于多年的经验,可帮助客户控制对其资源的访问。
此处介绍的框架表示一种结构化方法,可用于在安全性和可用性之间取得良好的平衡,同时确保控制用户访问。
本指南建议一种基于用户角色的结构化方法,以帮助确保访问安全。 它还包括建议角色的细分,并定义每个角色的条件访问策略。
预期受众
本指南适用于以下人员:
- 设计安全性和标识解决方案,以控制对 Azure 受保护资源的访问。
- 交付后维护解决方案。
目标受众对 Microsoft Entra ID 有基本的工作知识,并大致了解多重身份验证、条件访问、标识和安全概念。
此外,还建议了解以下方面的知识:
- Microsoft Endpoint Manager
- Microsoft Entra 标识管理
- 来宾用户 (B2B) 的 Microsoft Entra 条件访问和多重身份验证
- Microsoft Entra 安全策略和资源保护
- B2B 邀请过程
要求
每个公司都有不同的要求和安全策略。 创建体系结构并遵循此建议的条件访问框架时,需要考虑到公司的要求。 本指南包括与零信任相关的原则,这些原则可在创建体系结构时用作输入。 然后,可以解决特定的公司要求和策略,并相应地调整体系结构。
例如,公司可能具有以下要求:
- 所有访问都必须受至少两个因素的保护。
- 非托管设备上没有数据。
- 尽可能要求合规设备才能访问资源。
- 来宾用户访问必须通过标识治理,利用访问包和访问评审来进行管理。
- 对云服务的访问必须基于无密码身份验证。
条件访问指南
本部分包含以下文章:
- 条件访问设计原则和依赖项 提供了建议的原则,这些原则与公司的要求一起充当建议的基于角色的体系结构的输入。
- 条件访问体系结构和角色 引入了基于角色的方法来构建条件访问策略。 它还提供建议的角色,你可以将其用作起点。
- 条件访问框架和策略 提供了有关如何构建和命名基于角色的条件访问策略的具体详细信息。
贡献者
本文由Microsoft维护。 它最初由以下参与者编写。
主要作者
- Claus Jespersen | 首席顾问 ID&Sec
若要查看非公共LinkedIn个人资料,请登录LinkedIn。