设计云、混合和多云访问策略(包括 Microsoft Entra ID)
本单元基于云采用框架的 Azure 标识和访问管理管理设计区域总结了与云环境中的标识和访问管理相关的设计建议。 有关所有相关设计讨论的更详细信息,请参阅以下文章:
比较标识解决方案
Active Directory 与 Microsoft Entra ID:用户管理
| 概念 | Active Directory (AD) | Microsoft Entra ID |
|---|---|---|
| 用户 | ||
| 预配:用户 | 组织手动创建内部用户,或者使用内部或自动化预配系统(例如 Microsoft Identity Manager)来与 HR 系统集成。 | 现有 AD 组织使用 Microsoft Entra Connect 将标识同步到云。 Microsoft Entra ID 添加了对从云 HR 系统自动创建用户的支持。 Microsoft Entra ID 可以在已启用 SCIM 的 SaaS 应用中预配标识,以自动为应用提供允许用户访问所需的详细信息。 |
| 预配:外部标识 | 组织在专用的外部 AD 林中作为一般用户手动创建外部用户,导致产生管理外部标识(来宾用户)生命周期的管理开销 | Microsoft Entra ID 提供了特殊的标识类来支持外部标识。 Microsoft Entra B2B 会管理指向外部用户标识的链接,以确保它们是有效的。 |
| 权利管理和组 | 管理员使用户成为组的成员。 然后,应用和资源所有者向组授予对应用或资源的访问权限。 | Microsoft Entra ID 中也提供了组,管理员也可以使用组来授予对资源的权限。 在 Microsoft Entra ID 中,管理员可以手动将成员身份分配到组,也可以使用查询动态地将用户包括到组中。 管理员可以通过 Microsoft Entra ID 中的权利管理使用工作流(必要时还会使用基于时间的条件)为用户授予对一系列应用和资源的访问权限。 |
| 管理员管理 | 组织将在 AD 中使用域、组织单位和组的组合来委派管理权限,以管理其控制的目录和资源。 | Microsoft Entra ID 通过其 Microsoft Entra 基于角色的访问控制 (Microsoft Entra RBAC) 系统提供内置角色,对创建自定义角色以委派对其控制的标识系统、应用及其资源的特权访问的支持有限。 可以使用 Privileged Identity Management (PIM) 来增强角色管理,以向特权角色授予实时、限时或基于工作流的访问权限。 |
| 凭据管理 | Active Directory 中的凭据基于密码、证书身份验证和智能卡身份验证。 密码是使用基于密码长度、有效期和复杂性的密码策略管理的。 | Microsoft Entra ID 对云和本地都使用智能密码保护。 保护包括智能锁定,以及阻止通用和自定义密码短语和替换。 Microsoft Entra ID 通过多重身份验证和无密码技术(例如 FIDO2)显著提高了安全性。 Microsoft Entra ID 通过为用户提供自助式密码重置来降低支持成本。 |
Azure 中基于 Active Directory 的服务:AD DS、Microsoft Entra ID 和 Microsoft Entra 域服务
若要为应用程序、服务或设备提供对中心标识的访问权限,可通过三种常用方式使用 Azure 中基于 Active Directory 的服务。 标识解决方案的多样性可让你灵活使用最符合组织需求的目录。 例如,如果主要工作是管理运行移动设备的仅限云的用户,那么生成并运行自己的 Active Directory 域服务 (AD DS) 标识解决方案可能没有意义。 你可以只使用 Microsoft Entra ID。
尽管这三个基于 Active Directory 的标识解决方案采用相同的名称部分和技术,但它们旨在提供满足不同客户需求的服务。 从较高层面讲,这些标识解决方案和功能集包括:
- Active Directory 域服务 (AD DS) - 随时可在企业中部署的轻型目录访问协议 (LDAP) 服务器,提供标识和身份验证、计算机对象管理、组策略和信任等关键功能。
- AD DS 是使用本地 IT 环境的众多组织中的一个中心组件,提供核心用户帐户身份验证和计算机管理功能。
- Microsoft Entra ID - 基于云的标识和移动设备管理,它为 Microsoft 365、Azure 门户或 SaaS 应用程序等资源提供用户帐户和身份验证服务。
- Microsoft Entra ID 可与本地 AD DS 环境同步,以便为原本就在云中工作的用户提供单个标识。
- Microsoft Entra 域服务(Microsoft Entra 域服务)- 为托管域服务提供完全兼容的传统 AD DS 功能的子集,例如域加入、组策略、LDAP 和 Kerberos/NTLM 身份验证。
- Microsoft Entra 域服务与 Microsoft Entra ID 集成,后者本身可与本地 AD DS 环境同步。 此功能通过直接迁移策略将中心标识用例扩展到在 Azure 中运行的传统 Web 应用程序。
有关比较这三个选项的更广泛讨论,请参阅比较自托管 Azure Active Directory 域服务、Microsoft Entra ID 和托管 Microsoft Entra 域服务。
交叉设计建议
- 根据角色和安全要求使用集中和委派的职责来管理登陆区域内的资源。
- 以下类型的特权操作需要特殊权限。 考虑哪些用户将处理此类请求,以及如何充分保护和监视其帐户。
- 创建服务主体对象。
- 在 Microsoft Entra ID 中注册应用程序。
- 采购和处理证书或通配符证书。
- 通过 Microsoft Entra ID,使用 Microsoft Entra 应用程序代理远程访问使用本地身份验证的应用程序。
- 评估适用于 Microsoft Entra 域服务和 Windows Server AD DS 的工作负载的兼容性。
- 确保设计你的网络,以便那些需要 Windows Server 上的 AD DS 进行本地身份验证和管理的资源可以访问其域控制器。 对于 Windows Server AD DS,请考虑在较大的企业范围网络环境中可提供本地身份验证和主机管理的共享服务环境。
- 部署 Microsoft Entra 域服务或将本地环境集成到 Azure 中时,请使用具有可用性区域的位置以提高可用性。
- 在主区域内部署 Microsoft Entra 域服务,因为只能将该服务投射到一个订阅中。 可以将 Microsoft Entra 域服务扩展到具有副本集的更多区域。
- 使用托管标识而不是服务主体来对 Azure 服务进行身份验证。 此方法可降低凭据被盗的风险。
Azure 和本地混合标识 - 设计建议
若要托管基础结构即服务 (IaaS) 混合标识解决方案,请评估以下建议:
- 对于部分托管在本地和 Azure 中的应用程序,请根据方案验证集成是否有意义。 有关详细信息,请参阅在 Azure 虚拟网络中部署 AD DS。
- 如果有 AD FS,请迁移到云以集中标识并减少操作工作量。 如果 AD FS 仍是标识解决方案的一部分,请安装和使用 Microsoft Entra Connect。
Azure 平台资源的标识 - 设计建议
集中式标识使用云中的单个位置以及 Active Directory 服务集成、控制访问、身份验证和应用程序。 此方法可为 IT 团队提供更好的管理。 对于集中式目录服务,最佳做法是只有一个 Microsoft Entra 租户。
授予对资源的访问权限时,请对 Azure 控制平面资源和 Microsoft Entra Privileged Identity Management 使用仅限 Microsoft Entra 的组。 如果已有组管理系统,请将本地组添加到仅 Microsoft Entra 组。 请注意,仅限 Microsoft Entra 也称为仅限云。
通过使用仅限 Microsoft Entra 的组,可以使用 Microsoft Entra Connect 添加从本地同步的用户和组。 还可以将仅限 Microsoft Entra 的用户和组添加到单个仅限 Microsoft Entra 的组,包括来宾用户。
从本地同步的组只能通过标识可信源(即本地 Active Directory)进行管理和更新。 这些组只能包含来自同一身份源的成员,这无法提供仅限 Microsoft Entra 的组所提供的灵活性。
将 Microsoft Entra 日志与以平台为中心的 Log Analytics 工作区集成。 此方法允许在 Azure 中提供关于日志和监视数据的单一可信源。 此源可为组织提供云原生选项来满足有关日志收集和保留的要求。
自定义用户策略可以强制实施组织的任何数据主权要求。
如果标识保护用作标识解决方案的一部分,请务必排除 break-glass 管理员帐户。
设计建议 - 登陆区域的 Azure 标识和访问
为有权访问 Azure 环境的用户部署 Microsoft Entra 条件访问策略。 条件访问提供了另一种机制,有助于防止受控的 Azure 环境受到未经授权的访问。
对有权访问 Azure 环境的用户强制实施多重身份验证 (MFA)。 许多合规性框架需要强制实施多重身份验证。 多重身份验证大大降低了凭据被盗和受到未经授权的访问的风险。
请考虑对非交互式资源登录使用服务主体,因此多重身份验证和令牌刷新不会影响操作。
对 Azure 资源使用 Microsoft Entra 托管标识,以避免基于凭据的身份验证。 公有云资源的许多安全漏洞是代码或其他文本中嵌入的凭据被盗导致的。 对编程访问强制使用托管标识可大大减少凭据被盗的风险。
使用 Microsoft Defender for Cloud 对所有基础结构即服务 (IaaS) 资源进行即时访问。 使用 Defender for Cloud,你可以针对用户临时访问 IaaS 虚拟机的情况实现网络级保护。
Privileged Identity Management (PIM)
使用 Microsoft Entra Privileged Identity Management (PIM) 建立零信任和最小特权访问。 将组织的角色映射到所需的最低访问级别。 Microsoft Entra PIM 可以使用 Azure 本机工具、扩展当前工具和流程,或者可以根据需要同时使用当前工具和本机工具。
使用 Microsoft Entra PIM 访问评审定期验证资源权利。 访问评审是许多合规性框架的一部分,因此许多组织已有访问评审过程。
对需要提升访问权限的自动化 Runbook 使用特权标识。 使用工具和策略来治理访问关键安全边界的自动化工作流,就像那些用于治理具有同等特权的用户的工具和策略一样。
RBAC 建议
使用 Azure RBAC 管理对资源的数据平面访问(如果可能)。 数据平面终结点的示例包括 Azure Key Vault、存储帐户或 SQL 数据库。
请勿直接将用户添加到 Azure 资源作用域。 直接进行用户分配绕过了集中式管理,更难防止对受限数据的未经授权访问。 请改将用户添加到定义的角色,并将角色分配到资源范围。
使用 Microsoft Entra 内置角色管理以下标识设置:
| 角色 | 使用情况 | 注意 |
|---|---|---|
| 全局管理员 | 不要将 5 个以上的人员分配到此角色。 | |
| 混合环境 | 混合标识管理员 | |
| 身份验证 | 安全管理员 | |
| 企业应用程序或应用程序代理 | 应用程序管理员 | 未经全局管理员同意。 |
如果 Azure 内置角色不满足组织的特定需求,你可以创建自己的自定义角色。