你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
多租户防御组织的标识概要
以下指南为多租户防御组织提供零信任标识基本信息,并重点介绍 Microsoft Entra ID。 零信任是确保敏感信息完整性和机密性的关键策略。 标识是零信任的基础支柱。 Microsoft Entra ID 是Microsoft云标识服务。 Microsoft Entra ID 是所有 Microsoft云客户都使用的关键零信任组件。
架构师和决策者在构建国防企业战略之前,必须了解 Microsoft Entra ID 的核心功能及其在零信任中的作用。 防御组织可以通过采用 Microsoft Entra ID 来满足许多零信任要求。 许多人已通过现有 Microsoft 365 许可证访问基本Microsoft Entra 功能。
Microsoft Entra 租户
Microsoft Entra ID 的实例称为 Microsoft Entra 租户。 Microsoft Entra 租户是标识平台和边界。 它是组织的标识平台,是你使用的Microsoft云服务的安全标识边界。 因此,它非常适合保护敏感的防御标识数据。
合并Microsoft Entra 租户。 Microsoft建议每个组织一个租户。 单个Microsoft Entra 租户为用户和管理员提供最无缝的标识管理体验。 它提供最全面的零信任功能。 具有多个Microsoft Entra 租户的组织必须管理不同的用户组、组、应用程序和策略,增加成本和增加管理复杂性。 单个租户还可以最大程度地降低许可成本。
应尝试Microsoft 365、Azure 服务、Power Platform、业务线(LOB)应用程序、软件即服务(SaaS)应用程序和其他云服务提供商(CSP)使用单个Microsoft Entra 租户。
Microsoft Entra ID 与 Active Directory。 Microsoft Entra ID 不是Active Directory 域服务(AD DS)的演变。 租户概念类似于 Active Directory 林,但基础体系结构不同。 Microsoft Entra ID 是超大规模、新式和基于云的标识服务。
初始域名和租户 ID。 每个租户都有唯一的初始域名和租户 ID。 例如,名为 Contoso 的组织可能具有Microsoft Entra ID 和 contoso.onmicrosoft.us Microsoft Entra Government 的初始域名contoso.onmicrosoft.com。 租户 ID 是全局唯一标识符(GUID)。 每个租户只有一个初始域和租户 ID。 这两个值都是不可变的,在创建租户后无法更改。
用户使用其用户主体名称(UPN)登录到 Microsoft Entra 帐户。 UPN 是一个Microsoft Entra 用户属性,需要 可路由后缀。 初始域是 默认可路由后缀 (user@contoso.onmicrosoft.com)。 可以添加 自定义域 来创建和使用更友好的 UPN。 友好的 UPN 通常与用户的电子邮件地址(user@contoso.com) 匹配。 Microsoft Entra ID 的 UPN 可能与用户的 AD DS userPrincipalName 不同。 当 AD DS userPrincipalName 值 不可路由 或使用与租户中已验证的自定义域不匹配的后缀时,具有不同的 UPN 和 AD DS userPrincipalName 很常见。
只能全局验证一个Microsoft Entra 租户中的自定义域。 自定义域不是安全或信任边界,如 Active Directory 域服务 (AD DS) 林。 它们是用于标识 Microsoft Entra 用户的主租户的 DNS 命名空间。
Microsoft Entra 体系结构
Microsoft Entra ID 没有域控制器、组织单位、组策略对象、域/林信任或灵活单一主操作(FSMO)角色。 Microsoft Entra ID 是软件即服务标识管理解决方案。 可以通过 RESTful API 访问 Microsoft Entra ID。 使用 新式身份验证 和授权协议访问受Microsoft Entra ID 保护的资源。 目录具有平面结构,并使用 基于 资源的权限。
每个Microsoft Entra 租户都是 标识管理数据的高可用性 数据存储。 它存储标识、策略和配置对象,并跨 Azure 区域复制它们。 Microsoft Entra 租户为关键防御信息提供数据冗余。
标识类型
Microsoft Entra ID 有两种类型的标识。 这两种标识类型是用户和服务主体。
“用户”。 用户是访问Microsoft和联合云服务的个人的标识。 用户可以是Microsoft Entra ID 实例中的成员或来宾。 通常,成员是组织内部成员,来宾属于外部组织,例如任务合作伙伴或防御承包商。 若要详细了解来宾用户和组织之间的协作,请参阅 B2B 协作概述。
服务主体。 服务主体是Microsoft Entra ID 中的非森实体 (NPE)。 服务主体可以表示应用程序、服务/自动化帐户和 Azure 资源。 即使是 非 Azure 资源(例如本地服务器)也可以在 Microsoft Entra ID 中具有服务主体,并与其他 Azure 资源交互。 服务主体可用于自动执行防御工作流和管理对防御操作至关重要的应用程序。 有关详细信息,请参阅 Microsoft Entra ID 中的应用程序对象和服务主体对象。
同步标识。 可以使用 Microsoft Entra Connect Sync 或 Microsoft Entra Connect Cloud Sync 将Active Directory 域服务中的用户、组和计算机(设备)对象与 Microsoft Entra ID 同步。 此配置称为 混合标识。
权限
Microsoft Entra ID 使用不同于传统本地 Active Directory域服务(AD DS)的权限方法。
Microsoft Entra 角色。 使用 Microsoft Entra 目录角色在 Microsoft Entra ID 中分配权限。 这些角色授予对特定 API 和作用域的访问权限。 全局管理员 是Microsoft Entra ID 中特权最高的角色。 对于各种有限的管理员功能,有许多内置角色。 应委托精细权限以减少攻击面区域。
重要
Microsoft 建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一个高度特权的角色,应仅限于无法使用现有角色的紧急情况。
权限分配提升。 为了增强安全性和减少不必要的特权,Microsoft Entra ID 为权限分配提供了两个原则:
实时 (JIT):Microsoft Entra ID 支持 实时访问。 JIT 功能允许在需要时暂时分配权限。 JIT 访问可最大程度地减少不必要的特权的暴露,并减少攻击面。
Just-Enough-Admin (JEA):Microsoft Entra ID 遵循了足够多的管理原则。 内置角色 允许你 委派管理员任务 ,而无需授予过多的权限。 管理单元 可以进一步限制Microsoft Entra 角色的权限范围。
身份验证
与 Active Directory 不同,Microsoft Entra ID 中的用户不限于密码或智能卡身份验证。 Microsoft Entra 用户可以使用密码和其他许多 身份验证和验证方法。 Microsoft Entra ID 使用新式身份验证协议,防范基于令牌的攻击,并检测可疑的登录行为。
身份验证方法。 Microsoft Entra 身份验证方法包括对智能卡证书和派生凭据的本机支持、Microsoft Authenticator 无密码、FIDO2 安全密钥(硬件密码)和设备凭据(如Windows Hello 企业版)。 Microsoft Entra ID 提供无密码、防钓鱼的方法,以支持备忘录 22-09 和 DODCIO 零信任 策略功能。
身份验证协议。 Microsoft Entra ID 不使用 Kerberos、NTLM 或 LDAP。 它使用旨在通过 Internet 使用的新式开放协议,例如 OpenID Connect、 OAuth 2.0、 SAML 2.0 和 SCIM。 虽然 Entra 不使用 Kerberos 进行自己的身份验证,但它可以颁发混合标识的 Kerberos 票证以支持Azure 文件存储并启用对本地资源的无密码登录。 Entra 应用程序代理 允许为仅支持旧协议(如 Kerberos 和基于标头的身份验证)的本地应用程序配置 Entra 单一登录。
针对令牌攻击的保护。 传统的 AD DS 容易受到基于 Kerberos 的攻击。 AD DS 使用具有已知 安全标识符(SID)的安全组,例如 S-1-5-domain-512 域 管理员。 当域管理员执行本地或网络登录时,域控制器会颁发包含域管理员 SID 的 Kerberos 票证,并将其存储在凭据缓存中。 威胁参与者通常使用 横向移动 和 特权提升 技术(如传递哈希和传递票证)来利用此机制。
但是,Microsoft Entra ID 并不容易受到 Kerberos 攻击。 云等效项是中间的攻击者(AiTM)技术,例如会话劫持和会话重播,以窃取会话令牌(登录令牌)。 客户端应用程序、 Web 帐户管理器(WAM)或用户的 Web 浏览器(会话 Cookie)存储这些会话令牌。 为了防止令牌被盗攻击,Microsoft Entra ID 记录令牌用于防止重播,并且可能需要将令牌 加密绑定到 用户的设备。
若要了解有关令牌盗窃的详细信息,请参阅 令牌盗窃操作手册。
检测可疑登录行为。Microsoft Entra ID 保护使用实时和脱机检测的组合来识别有风险的用户和登录事件。 可以在 Entra 条件访问中使用风险条件来动态控制或阻止对应用程序的访问。 持续访问评估(CAE) 允许客户端应用检测用户会话中的更改,以近乎实时地强制实施访问策略。
应用程序
Microsoft Entra ID 不仅适用于Microsoft应用程序和服务。 Microsoft Entra ID 可以是使用相同协议的任何应用程序、云服务提供商、SaaS 提供程序或标识系统的标识提供者。 它可以轻松地支持与盟军和承包商的互操作性。
策略强制点(PEP)和策略决策点(PDP)。 Microsoft Entra ID 是零信任体系结构中的常见 策略强制点(PEP) 和 策略决策点(PDP )。 它强制实施应用程序的安全策略和访问控制。
Microsoft Entra ID 治理。 Microsoft Entra ID 治理是一项Microsoft Entra 功能。 它可帮助你管理用户访问并自动执行访问生命周期。 它可确保用户对应用程序和资源具有适当的及时访问权限。
条件访问。 条件访问允许使用属性对应用程序进行精细授权。 可以根据各种因素定义访问策略。 这些因素包括用户属性、凭据强度、应用程序属性、用户和登录风险、设备运行状况和位置。 有关详细信息,请参阅 零信任安全性。
设备
Microsoft Entra ID 通过设备管理提供对Microsoft 服务的安全无缝访问。 你可以管理和将 Windows 设备加入 Microsoft Entra,这与Active Directory 域服务类似。
已注册的设备。 当用户使用 Entra 帐户登录到应用程序时,设备会注册到 Entra 租户。 Entra 设备注册与设备注册或 Entra 联接不同。 用户使用本地帐户或Microsoft帐户登录到已注册的设备。 已注册的设备通常包括“自带设备”(BYOD),例如用户的家用电脑或个人手机。
Microsoft Entra 联接设备。 当用户登录到已加入 Microsoft Entra 的设备时,将使用 PIN 或手势解锁设备绑定密钥。 验证后,Microsoft Entra ID 向设备颁发主刷新令牌(PRT)。 此 PRT 有助于单一登录访问 Microsoft Entra ID 保护的服务,例如 Microsoft Teams。
Microsoft在 Microsoft Endpoint Manager(Intune)中注册的已加入 Entra 的设备可以使用设备符合性作为条件访问中的授权控制。
Microsoft已加入混合设备的 Entra。Microsoft Entra 混合联接允许 Windows 设备同时连接到Active Directory 域服务和Microsoft Entra ID。 这些设备首先针对 Active Directory 对用户进行身份验证,然后从 Microsoft Entra ID 检索主刷新令牌。
Intune 管理的设备和应用程序。Microsoft Intune 有助于注册和注册设备进行管理。 Intune 允许你为用户设备定义合规和安全状态,使用 Microsoft Defender for Endpoint 保护设备,并要求用户使用 合规的设备 来访问企业资源。
Microsoft 365 和 Azure
Microsoft Entra ID 是Microsoft标识平台。 它同时提供 Microsoft 365 和 Azure 服务。 Microsoft 365 个订阅创建和使用 Microsoft Entra 租户。 Azure 服务还依赖于 Microsoft Entra 租户。
Microsoft 365 标识。 Microsoft Entra ID 是 Microsoft 365 内所有标识操作不可或缺的一部分。 它处理用户登录、协作、共享和权限分配。 它支持 Office 365、Intune 和 Microsoft Defender XDR 服务的标识管理。 用户每次登录 Word 或 Outlook 等Office 应用数据时使用 Microsoft Entra、使用 OneDrive 共享文档、邀请外部用户加入 SharePoint 网站或在 Microsoft Teams 中创建新团队。
Azure 标识。 在 Azure 中,每个资源都与 Azure 订阅相关联,订阅 链接到 单个Microsoft Entra 租户。 可以通过将 Azure 角色分配给用户、安全组或服务主体来委托管理 Azure 资源的权限。
托管标识在使 Azure 资源能够与其他资源安全交互方面发挥关键作用。 这些托管标识是 Microsoft Entra 租户中的安全主体。 你以最低特权授予他们的权限。 可以授权托管标识访问受 Microsoft Entra ID 保护的 API,例如 Microsoft Graph。 当 Azure 资源使用托管标识时,托管标识是 服务主体对象。 服务主体对象与与资源关联的订阅位于同一Microsoft Entra 租户中。
Microsoft Graph
Microsoft Microsoft Entra、Azure 和 Microsoft 365 的 Web 门户提供用于Microsoft Entra ID 的图形界面。 可以使用名为 Microsoft Graph 的 RESTful API 自动访问读取和更新 Microsoft Entra 对象和配置策略。 Microsoft Graph 支持各种语言的客户端。 支持的语言包括 PowerShell、Go、Python、Java、.NET、Ruby 等。 浏览 GitHub 上的 Microsoft Graph 存储库 。
Azure 政府云
Microsoft Entra 服务防御组织有两个单独的版本可在公共(连接 Internet)网络上使用:Microsoft Entra Global 和 Microsoft Entra Government。
Microsoft Entra Global。 Microsoft Entra Global 适用于商业Microsoft 365 和 Azure,Microsoft 365 GCC Moderate。 Microsoft Entra Global 的登录服务 login.microsoftonline.com。
Microsoft政府。 Microsoft条目政府Azure 政府(IL4)、DoD(IL5)、Microsoft 365 GCC High、Microsoft 365 DoD(IL5)。 Microsoft Entra Government 的登录服务 login.microsoftonline.us。
服务 URL。 不同的Microsoft Entra 服务使用不同的登录 URL。 因此,需要使用单独的 Web 门户。 还需要提供环境开关,以便与 Microsoft Graph 客户端和 PowerShell 模块连接,以便管理 Azure 和 Microsoft 365(请参阅表 1)。
表 1. Azure 政府终结点。
| 终结点 | 全局 | GCC High | DoD 影响级别 5 (IL5) |
|---|---|---|---|
| Microsoft Entra 管理中心 | entra.microsoft.com | entra.microsoft.us | entra.microsoft.us |
| Azure 门户 | portal.azure.com | portal.azure.us | portal.azure.us |
| Defender 管理中心 | security.microsoft.com | security.microsoft.us | security.apps.mil |
| MS Graph PowerShell | Connect-MgGraph<br>-Environment Global |
Connect-MgGraph<br>-Environment USGov |
Connect-MgGraph<br>-Environment USGovDoD |
| Az PowerShell 模块 | Connect-AzAccount<br>-Environment AzureCloud |
Connect-AzAccount<br>-Environment AzureUSGovernment |
Connect-AzAccount<br>-Environment AzureUSGovernment |
| Azure CLI | az cloud set --name AzureCloud |
az cloud set --name AzureUSGovernment |
az cloud set --name AzureUSGovernment |