你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
多租户防御组织的零信任配置
本文介绍多租户组织如何在 Microsoft Entra ID 中应用配置,并满足常见的防御零信任要求。 按照这些建议建立正确的多租户标识体系结构,并在环境中实现零信任。
图 1:具有零信任配置的多租户防御体系结构示例。
确定标识体系结构
Microsoft Entra 租户是标识体系结构的基础。 租户是Microsoft Entra ID 中的标识边界。 具有一个Microsoft Entra 租户的组织具有单个租户体系结构。 使用多个Microsoft Entra 租户的组织具有多租户体系结构。
单个租户的优点。 通过运营效率,单个租户更易于管理和降低成本。 它允许你更轻松地配置零信任环境。 单个租户可避免使用多个登录凭据来分散用户体验。 它还有助于防止稍后需要集成的孤立解决方案。 应努力将数据、Microsoft 365 和 Azure 云服务保存在单个租户中。 如果已有多个Microsoft Entra 租户,应考虑将环境合并为使用单个租户。 可以通过将 Azure 订阅从辅助租户转移到主租户来合并租户。 有关详细信息,请参阅 将 Azure 订阅传输到其他Microsoft Entra 目录。
多租户用例。 防御组织使用多租户体系结构有理由。 大型和复杂的防御组织可能需要多个Microsoft Entra 租户才能实现安全性、合规性和协作(请参阅表 1)。
表 1. 拥有或创建多个租户的原因。
| 原因 | 示例 |
|---|---|
| 隐私或安全性需要更深入的数据分离 | 督察总组织办公室必须具有独立性。 |
| 管理委派和分段 | 一个组织无法管理另一个组织。 |
| 数据主权和/或所有权 | 一个组织没有管理另一个组织数据的法律权限。 |
| 网络和 IT 组织 | 不可能也不会有利于将多个大型企业 IT 体系结构折叠成单个企业体系结构。 |
| SOC 监视和事件响应 | SOC 需要单独的租户来管理其角色和职责。 |
如果需要多个Microsoft Entra 租户,则应使用 Microsoft Entra 外部 ID (B2B) 和 Azure Lighthouse。 这些功能有助于支持多租户防御环境。 有关详细信息,请参阅 多租户解决方案的租赁模型。
标识租户类型
多租户防御组织可以将他们用作主要实例或辅助实例Microsoft条目实例进行分类。 每个组织应标识并指定一个租户作为主租户。 所有其他租户都是辅助租户。 图 1 显示了具有主租户和 n 个辅助租户(显示的两个辅助租户)的防御组织。
标识主租户。 大多数防御组织在注册 Microsoft 365 时创建主租户。 主租户包含(1)所有用户标识和Microsoft 365 个许可证、(2)设备和(3)应用程序(见图 1)。 防御组织通常使用 Microsoft Entra Connect 将标识从本地 Active Directory 同步到主Microsoft Entra 租户。
一些防御组织在由外部机构拥有和运营的共享租户中使用Microsoft 365。 此代理充当 Microsoft 365 的共享服务提供商。 组织可能不管理或控制共享租户,但它包含用户可能用于 Office 365 和其他应用程序的许可Microsoft Entra 标识。 在此方案中,共享服务提供商租户是主租户。
标识所有辅助租户(如果多租户)。 组织管理的所有其他租户都是辅助租户。 如果在建立 企业规模的 Azure 登陆区域之前将应用程序迁移到云,则可能具有辅助租户。 通常使用辅助租户管理 (4) Azure 工作负荷与外部用户(B2B 来宾)或(5)仅限云帐户(见图 1)。
使用决策树。 查找主租户的最简单方法是考虑在 Microsoft Entra ID 中拥有的标识许可证。
Microsoft 365 个许可证的租户是主租户(请参阅图 2)。 主租户可能不是组织创建的第一个租户,但它应该是拥有所有用户的主租户,Microsoft 365 个许可证。
如果组织不使用 Microsoft 365,则具有 企业移动性和安全性(EMS) 许可证的任何Microsoft Entra 租户都是主租户。 此租户是添加并验证组织的 域名的位置。 租户通常使用混合标识或与人力资源(HR)系统集成(见图 2)。
图 2. 用于确定Microsoft Entra 主租户和辅助租户的决策树。
若要将 Microsoft Entra ID 建立为零信任平台,需要一个填充有用户标识的租户,并已获得基于用户和设备的访问策略的许可。 Microsoft 365 许可捆绑这些零信任功能与 Office 365。 如果不使用 Microsoft 365,请考虑企业移动性 + 安全性 E5 为零信任建立基于云的标识提供者。 有关详细信息,请参阅 选择标识机构。
配置零信任
在 Microsoft Entra ID 中管理标识时,应考虑针对每个租户类型的以下建议。 对于应首先采用的所有租户类型,有一般建议。 实施这些常规建议后,找到特定租户类型(主要或辅助租户)的建议,然后应用这些建议。
若要详细了解如何保护具有零信任的 Microsoft Entra 租户,请参阅零信任快速现代化计划和安全快速现代化计划。
所有租户
应在所有 Microsoft Entra 租户中实现以下建议。
建立紧急访问帐户和过程。 创建两个或多个紧急访问帐户,以避免被锁定Microsoft Entra 租户。 需要向这些帐户分配全局管理员角色。 这些帐户应为仅限云的帐户。 仅限云的帐户使用 *.onmicrosoft.com 域。 有关详细信息,请参阅 管理紧急访问管理员帐户。
重要
Microsoft 建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一个高度特权的角色,应仅限于无法使用现有角色的紧急情况。
保护 Microsoft Entra ID 免受本地攻击。 遵循保护特权访问中概述的最佳做法。 仅将 Microsoft Entra 权限分配给具有防钓鱼凭据(如硬件密码或基于证书的身份验证)的仅限云用户帐户。 不要将联合标识用于管理目的。 有关详细信息,请参阅 保护 Microsoft 365 免受本地攻击。
使用特权标识管理。 使用 Microsoft Entra Privileged Identity Management (PIM) 管理Microsoft Entra ID 和 Azure 角色的角色分配。 还应使用 PIM 来管理特权安全组的合格组成员身份。 为符合条件的管理员和外部用户(B2B 来宾)建立定期 访问评审 。
为所有用户启用基于云的身份验证。 基于云的身份验证方法比联合身份验证更安全。 当与已加入 entra 的 Microsoft 设备结合使用时,它们可提供更好的单一登录体验。 联合身份验证公开Microsoft Entra ID 以本地 Active Directory泄露。
Microsoft基于证书的身份验证(CBA) 使联合Microsoft Entra 域变得没有必要。 Microsoft Entra 身份验证支持以下 无密码身份验证方法:
- 密码(FIDO2 安全密钥)
- 基于证书的身份验证
- Microsoft验证器
- Windows Hello for Business
建立基线条件访问策略。 条件访问基线因组织和要求而异。 为所有Microsoft Entra 租户建立一组核心条件访问策略。 在策略集中使用标识、设备、应用程序和风险条件。 从条件访问策略中排除 紧急访问帐户 。
Microsoft Entra ID 保护可帮助组织检测、调查和修正基于标识的风险。 若要保护有风险的登录和用户,请创建具有风险条件的条件访问策略。 对有风险的用户和有风险的登录使用单独的策略。增加具有每种风险类型的风险级别的应用控制。 若要 将用户工作效率与安全性进行平衡,请避免在基于风险的策略中使用 阻止 控制。
注意
用户可以使用 MFA 自行修正 登录 风险。 若要允许用户自行修正登录风险,请在基于登录风险的条件访问策略中配置 MFA 或身份验证强度授予控制。
用户可以通过更改其密码来自我修正 用户 风险。 若要允许用户自行修正用户风险,请使用“要求密码更改”授予控制配置基于用户风险的条件访问策略。
注意
仅使用基于 Entra 证书的身份验证、密码密钥或Windows Hello 企业版等无密码方法登录的无密码用户,如果无法在 Microsoft Entra ID 中重置密码,则“要求密码更改”授予控制可能会阻止这些用户。
使用示例条件访问策略清单为组织设计条件访问策略(请参阅表 2)。 在部署到生产环境之前,使用 仅报告模式 测试条件访问策略。
表 2:条件访问策略清单示例。
| 策略名称 | 用户 | 应用程序 | 条件 | 授予控制权 |
|---|---|---|---|---|
| 所有用户的 MFA | 所有用户 | 所有应用 | 无 | - 防钓鱼 MFA |
| 需要托管设备 | 所有用户 | 所有应用 | 无 | - 需要Microsoft Entra 混合加入或合规设备 |
| 保护中等风险登录 | 所有用户 | 所有应用 | 中登录风险 | - 防钓鱼 MFA - 需要合规的设备 - 登录频率:1 小时(根据组织 的风险容忍度进行调整) |
| 保护高风险登录 | 所有用户 | 所有应用 | 高登录风险 | - 防钓鱼 MFA - 需要合规的设备 - 登录频率:每次 |
| 保护高风险用户 | 所有用户 | 所有应用 | 高用户风险 | - 防钓鱼 MFA - 需要合规的设备 - 登录频率:每次 |
| 保护 Microsoft Entra 管理 | Microsoft Entra 角色 | 所有应用 | 无 | - 防钓鱼 MFA - 要求使用设备筛选器的合规特权访问工作站 (PAW) |
| 安全云管理 | 所有用户 | Azure 管理 Google Cloud Platform Amazon Web Services |
无 | - 防钓鱼 MFA - 要求使用设备筛选器的合规特权访问工作站 (PAW) |
表 2 中设置的示例策略适用于无密码组织,其中所有用户仅使用受管理设备的防钓鱼 MFA。 特权用户使用 Intune 托管的特权访问工作站(PAW)。 风险用户策略不要求对高风险用户更改密码,而是强制实施身份验证强度和登录频率控制。 这些控制提供了一些保护,但不会在Microsoft Entra ID 保护中修正用户的风险级别。 安全运营团队应 调查 和 修正 高风险用户。
若要了解有关条件访问部署的详细信息,请参阅 计划条件访问部署。
使用主租户标识访问所有应用程序。 用户应能够在主租户中使用其标识访问应用程序。 需要在主租户中注册应用程序。 建立策略以 向主租户注册应用程序 ,而不考虑应用程序基础结构托管位置。
对于不支持新式身份验证协议的旧应用程序,请使用 主租户中的 Microsoft Entra 应用程序代理 服务。 Microsoft Entra 应用程序代理将 Microsoft Entra 零信任功能引入现有旧版应用程序,而无需更改代码。
当共享服务提供商或外部代理控制主租户时,它们应 委托应用程序注册权限。 如果服务提供商不提供此委派,则需要向组织控制的辅助租户注册应用程序。 但是,用户仍应访问这些应用程序,而无需在辅助租户中创建新的标识。 对于此设置,请使用 主租户中用户的外部标识 (B2B 来宾)分配用户访问。 有关详细信息,请参阅 安全应用程序,不信任。
使用 Microsoft Entra ID 管理其他云环境。 Microsoft Entra ID 不仅仅是 Azure 的标识平台,Microsoft 365。 使用 Microsoft Entra ID 获取对其他云环境的访问权限。 这些环境包括常用的软件即服务(SaaS)产品和云平台,如 Amazon Web Services(AWS)和 Google Cloud Platform (GCP)。 有关详细信息,请参阅 Microsoft Entra 应用程序库。
使用安全的云计算体系结构(SCCA)。 每个防御组织都应部署 符合 SCCA 的 登陆区域体系结构。 登陆区域应位于附加到主租户的 Azure 订阅中。
在单个租户中细分 Azure 资源管理。 应对企业规模 Azure 登陆区域中的订阅使用 Azure 角色进行资源和管理隔离。 请考虑 将订阅 从辅助租户转移到主租户。
使用Microsoft Entra 权限管理。 Microsoft Entra 权限管理是Microsoft的云基础结构权利管理(CIEM)解决方案。 应使用Microsoft Entra 权限管理来了解分配给所有标识的权限。 还应使用它来跟踪 跨组织多云环境的权限爬行 。
使用Microsoft Entra ID 治理。 使用Microsoft Entra ID 治理自动执行用户和来宾的访问分配生命周期。 对不再需要云环境的用户执行访问评审,以删除对云环境的访问权限。
保护工作负荷标识。 使用 Microsoft Entra 工作负荷 ID 功能来管理和应用Microsoft Entra ID 中的应用程序标识(服务主体)的自适应零信任策略。
为企业启用 Defender for Cloud。 将 Defender for Cloud 用于多云环境。 请确保 启用增强的安全功能 来监视 Azure 资源并修正配置风险。 Defender for Cloud 保护扩展到 Azure 之外,可帮助保护 混合和多云环境。
部署 Sentinel 并连接所有可用的数据源。 聚合 SIEM 中的安全信号,例如 Microsoft Sentinel。 通过配置 数据连接器部署 Sentinel 并连接所有安全信号数据源。
主要租户
应仅在主租户中实现以下建议。
最终用户在 Entra ID 中只有一个标识。将本地 Active Directory域服务与主Microsoft Entra 租户同步。 同步使用组织的用户、组和设备填充Microsoft Entra ID。 外部 B2B 来宾可能存在于辅助租户中,但用户只需要记住所有应用程序和服务的一个用户名。 使用主租户中的标识进行 Windows 登录和应用程序访问时,用户体验和零信任结果最佳。
使用主租户加入和管理设备。 主Microsoft Entra 租户包含组织中的所有用户和设备。 Microsoft Entra 联接(或Microsoft Entra 混合加入)Windows 设备到主租户,并使用 Microsoft Intune 进行管理。 使用 Intune 策略部署 Microsoft Defender for Endpoint ,以实现扩展检测和响应(XDR)功能。
委托应用程序注册权限。 企业应用(包括在任何 Azure 订阅中运行的应用程序代码)将主Microsoft Entra ID 租户用于用户标识。 使开发人员有资格使用 Privileged Identity Management Microsoft Entra 角色 或 自定义应用注册角色 。 此配置允许开发人员在辅助租户中生成应用程序,以将其注册到用于标识的主租户。
附加需要最终用户标识的平台即服务(PaaS)服务。 某些 PaaS 服务(如 Azure 文件存储 和 Azure 虚拟桌面)依赖于混合标识配置或许可证权利。 必须将这些服务部署到主租户中的 Azure 订阅。
辅助租户
应在辅助租户中实现以下建议。
采购Microsoft Entra 管理所需的许可证。 需要许可证才能在辅助租户中启用高级安全功能。 考虑用户、工作负载和设备所需的许可证。
用户标识。 需要为租户管理员和紧急访问帐户Microsoft Entra ID Premium P2 许可证。 如果使用外部标识(B2B 来宾)管理模型,则必须将至少一个Microsoft Entra ID Premium P2 许可证分配给租户中的本地用户。 此设置允许启用条件访问和标识保护等高级功能。 有关详细信息,请参阅 多租户用户管理的常见注意事项。
工作负载标识。 应使用 工作负荷标识高级 版来保护工作负荷标识,并有权访问主租户中的资源,例如 MS Graph API。
设备管理。 可能需要在辅助租户中使用 Microsoft Intune 来管理设备。 如果是这样,则需要购买 企业移动性和安全性(EMS) 许可证。
配置跨租户访问策略(XTAP)。 Microsoft Entra 外部 ID(Microsoft Entra B2B 协作)跨租户访问设置允许辅助租户信任主租户的某些声明。 将主Microsoft Entra 租户添加为组织,并更新 入站信任设置 以包括:
- 从 Microsoft Entra 租户信任多重身份验证 (MFA)
- 信任合规设备
- 信任Microsoft已加入混合设备的 Entra 混合设备
- 可选:使用租户自动兑换邀请
使用主租户中的标识管理辅助租户。 通过使用主租户中的外部用户(B2B 来宾)来管理辅助租户和 Azure 资源,从而减少管理开销和成本。 使用 Microsoft Microsoft Entra Privileged Identity Management Microsoft 任务,根据最低特权Microsoft Entra 角色分配 Entra 角色。 使用 最终用户发起的访问 或 跨租户同步 来减少在辅助租户中载入外部标识的管理开销。
使用 Azure Lighthouse 促进从主租户进行 Sentinel 访问。Azure Lighthouse 提供了另一种跨租户管理 Azure 的方法。 Azure Lighthouse 使用 Azure 资源管理器 (ARM) 模板将 Azure 角色分配给外部租户中的标识。 此方法不使用 B2B 来宾用户对象。 当管理员登录到门户以管理 Azure 时,他们会看到所有租户中的所有资源。 此合并视图包括具有 Azure Lighthouse 分配权限的订阅。 由于没有 B2B 来宾对象,管理员无需切换目录。 使用 Azure Lighthouse 促进 跨租户管理 Microsoft Sentinel。