使用 Microsoft Entra ID 建置強大身分識別基礎的四個步驟
因為應用程式快速移至雲端,對應用程式和資料的存取管理無法再依賴傳統的網路安全性界限策略 (例如周邊網路和防火牆)。 現今,組織必須仰賴其身分識別解決方案,來控制組織的應用程式和資料可由誰和由何存取。 愈來愈多的組織允許員工自攜裝置工作,以及從可連線至網際網路的任何地方使用其裝置。 在組織選擇實作的身分識別解決方案中,確保這些裝置的相容性和安全性已成為重要考量。 在現今的數位工作場所中,對任何移至雲端的組織而言,身分識別都是主要控制平面。
採用 Microsoft Entra 混合式身分識別解決方案時,組織將得以存取進階功能,而透過自動化、委派、自助服務和單一登入功能來發揮生產力。 如此,員工將可從任何所需的位置存取公司資源以執行工作,且 IT 小組將可確保適當人員在需要時有適當的權限可存取適當的資源,以控管該存取權,進而產生安全的生產力。
據我們所知,這份最佳做法檢查清單可協助您快速部署建議的動作,以在您的組織中建置強大的身分識別基礎:
- 輕鬆連線至應用程式
- 自動為每個使用者建立一個身分識別
- 安全地授權給使用者
- 將您的見解運算化
步驟 1 - 輕鬆連線至應用程式
藉由將您的應用程式與 Microsoft Entra ID 連線,您可以啟用單一登入 (SSO) 以提升使用者生產力和安全性,以及執行自動使用者佈建。 藉由在單一位置 (Microsoft Entra ID) 管理您的應用程式,您可將系統管理額外負荷降到最低,並達成以單點控制安全性和合規性原則的目標。
本節將說明用來管理使用者對應用程式的存取、啟用對內部應用程式的安全遠端存取的選項,以及將您的應用程式遷移至 Microsoft Entra ID 的優點。
讓您的使用者能夠順暢地使用應用程式
Microsoft Entra ID 可讓系統管理員將應用程式新增至 Microsoft Entra 系統管理中心的 Microsoft Entra 應用程式庫。 將應用程式新增至企業應用程式庫,以便您將應用程式設定為使用 Microsoft Entra ID 作為識別提供者。 此外也可讓您使用條件式存取原則來管理使用者對應用程式的存取,並設定對應用程式的單一登入 (SSO),讓使用者無須重複輸入其密碼,而會自動登入內部部署和雲端式應用程式。
應用程式整合至 Microsoft Entra 資料庫後,使用者即可看到指派給他們的應用程式,並視需要搜尋及要求其他應用程式。 Microsoft Entra ID 提供數種方法讓使用者存取其應用程式:
- 「我的應用程式」入口網站
- Microsoft 365 應用程式啟動程式
- 直接登入同盟應用程式
- 直接登入連結
若要深入了解使用者對應用程式的存取權,請參閱步驟 3。
將應用程式從 Active Directory 同盟服務遷移至 Microsoft Entra ID
將單一登入設定從 Active Directory 同盟服務 (ADFS) 遷移至 Microsoft Entra ID,可提供額外的安全功能、更一致的管理性和共同作業。 為了獲得最佳結果,建議您將應用程式從 AD FS 遷移至 Microsoft Entra ID。 將您的應用程式驗證和授權導入 Microsoft Entra ID 中,可提供下列優點:
- 管理成本
- 管理風險
- 提高生產力
- 處理合規性和治理
啟用對應用程式的安全遠端存取
Microsoft Entra 應用程式 Proxy 為組織提供了簡單的解決方案,可將內部部署應用程式發佈至雲端,供需要安全存取內部應用程式的遠端使用者運用。 單一登入 Microsoft Entra ID 後,使用者可以透過外部 URL 或我的應用程式入口網站存取雲端和內部部署應用程式。
Microsoft Entra 應用程式 Proxy 提供下列優點︰
- 將 Microsoft Entra ID 擴充至內部部署資源
- 雲端級別安全性和保護
- 可輕易啟用諸如條件式存取和 Multi-Factor Authentication 等功能
- 周邊網路不需要 VPN 和傳統反向 Proxy 解決方案之類的元件
- 沒有所需的輸入連線
- 在雲端和內部部署環境中跨裝置、資源和應用程式的單一登入 (SSO)
- 讓終端使用者隨時隨地都具有生產力
使用 Microsoft Defender for Cloud Apps 探索影子 IT
現代企業 IT 部門通常不會知道使用者用來執行其工作的所有雲端應用程式。 IT 管理員被問到他們認為員工使用了多少個雲端應用程式時,平均的答案會是 3、40 個。 事實上,一般組織的員工平均會使用超過 1,000 個不同的應用程式。 80% 的員工使用未經任何人檢閱而未獲批准的應用程式,可能不符合您的安全性與合規性原則。
Microsoft Defender for Cloud Apps 可協助您識別受到使用者歡迎的有用的應用程式,這些應用程式可能會獲得批准並整合至 Microsoft Entra ID,讓使用者受益於 SSO 和條件式存取等功能。
「Defender for Cloud Apps 可協助我們確保員工能夠正確使用我們的雲端和 SaaS 應用程式,以支援有助於保護 Accenture 的基本安全性原則。」 --- Accenture 資訊安全管理總監 John Blasi
除了偵測影子 IT 以外,Microsoft Defender for Cloud Apps 也可判斷應用程式的風險層級,防止未經授權者存取公司資料、可能的資料洩漏,以及應用程式既有的其他安全性風險。
步驟 2 - 自動為每個使用者建立一個身分識別
將內部部署和雲端式目錄整合到 Microsoft Entra 混合式身分識別解決方案中,可讓您在雲端中佈建現有的身分識別,以重複使用現有的內部部署 Active Directory 投資。 該解決方案會將內部部署身分識別與 Microsoft Entra ID 同步處理,而 IT 人員讓內部部署 Active Directory 與任何現有的治理解決方案一起執行,作為身分識別的主要真實來源。 Microsoft 的 Microsoft Entra 混合式身分識別解決方案跨越內部部署和雲端式功能,建立一般使用者身分識別,以進行所有資源的驗證及授權,不論其位置為何。
整合您的內部部署目錄與 Microsoft Entra ID,將讓使用者更有生產力。 藉由提供通用身分識別來存取雲端和內部部署資源,防止使用者跨應用程式和服務使用多個帳戶。 使用多個帳戶對終端使用者和 IT 人員而言都是個難題。 從終端使用者的觀點來看,擁有多個帳戶意味著必須記住多個密碼。 為了避免這種情況,許多使用者會對每個帳戶重複使用相同的密碼,但這對安全性的而言十分不利。 從 IT 人員的觀點來看,重複使用常會導致更多的密碼重設和服務台成本,以及更多的使用者抱怨。
Microsoft Entra Connect 是用來將內部部署身分識別同步處理至 Microsoft Entra ID,繼而用來存取整合的應用程式的工具。 身分識別進入 Microsoft Entra ID 後,即可佈建至 SaaS 應用程式 (例如 Salesforce 或 Concur)。
在本節中,我們會列出為雲端提供高可用性、新式驗證,以及降低內部部署使用量的建議。
注意
如果您想要深入了解 Microsoft Entra Connect,請參閱什麼是 Microsoft Entra Connect 同步?
為 Microsoft Entra Connect 設定預備伺服器,並將其保持在最新狀態
Microsoft Entra Connect 在佈建的過程中扮演著重要的角色。 如果執行 Microsoft Entra Connect 的伺服器因故離線,則無法將內部部署的變更更新至雲端,且會導致使用者的存取問題。 請務必定義容錯移轉策略,以便系統管理員能在 Microsoft Entra Connect 伺服器離線之後迅速恢復同步處理作業。
若要在您的主要 Microsoft Entra Connect 伺服器離線時提供高可用性,建議您為 Microsoft Entra Connect 部署個別的預備伺服器。 利用預備模式中的伺服器,您可以在啟用伺服器之前變更組態並預覽變更。 它也可以讓您執行完整的匯入和完整的同步處理,以在生產環境中進行這些變更之前,確認所有變更皆如預期。 部署預備伺服器可讓系統管理員藉由簡單的設定參數,將預備伺服器「升階」至生產環境。 將待命伺服器設定於預備模式,也可讓您在解除委任舊的伺服器時導入新的伺服器。
提示
Microsoft Entra Connect 會定期更新。 因此,強烈建議您將預備伺服器保持為最新版本,以充分運用每個新版本所提供的效能改進、錯誤 (bug) 修正及新功能。
啟用雲端驗證
具有內部部署 Active Directory 的組織應使用 Microsoft Entra Connect 將其目錄延伸至 Microsoft Entra AD,並設定適當的驗證方法。 為您的組織選擇正確的驗證方法,是將應用程式移至雲端的第一步。 這個步驟控制了對所有雲端資料和資源的存取,因此至關重要。
要在 Microsoft Entra 中為內部部署目錄物件啟用雲端驗證,最簡易且建議使用的方法為密碼雜湊同步 (PHS)。 或者,有些組織可能會考慮啟用傳遞驗證 (PTA)。
無論您選擇 PHS 或 PTA,都別忘了考慮 SSO ,讓使用者不需持續輸入其使用者名稱和密碼即可存取應用程式。 您可以使用已加入 Microsoft Entra 混合式或已加入 Microsoft Entra 的裝置,同時保留內部部署資源的存取權,來執行 SSO。 對於無法加入 Microsoft Entra 的裝置,無縫單一登入 (無縫 SSO) 可協助提供這些功能。 若沒有單一登入,使用者就必須記住應用程式特定的密碼並登入每個應用程式。 同樣地,IT 人員需為每個應用程式 (如 Microsoft 365、Box 和 Salesforce) 建立及更新使用者帳戶。 使用者需要記住其密碼,還要花費時間登入每個應用程式。 為整個企業提供標準化的單一登入機制,對最佳使用者體驗、降低風險、報告和治理能力都非常重要。
組織若已使用 AD FS 或其他內部部署驗證提供者,改以 Microsoft Entra ID 作為識別提供者,將可降低複雜度並提高可用性。 除非您有使用同盟的特定使用案例,否則建議您從同盟驗證移轉至 PHS 或 PTA。 如此一來,您便能享受降低內部部署使用量的優點,以及雲端提供改善使用體驗的彈性。 如需詳細資訊,請參閱從同盟遷移至 Microsoft Entra ID 的密碼雜湊同步處理。
啟用帳戶的自動取消佈建
為您的應用程式啟用自動化佈建和取消佈建,是在多個系統間控管身分識別生命週期的最佳策略。 Microsoft Entra ID 支援將使用者帳戶根據原則自動佈建至各種常用的 SaaS 應用程式 (例如 ServiceNow 和 Salesforce),也支援取消佈建,以及其他實作 SCIM 2.0 通訊協定的應用程式。 不同於需要自訂程式碼或手動上傳 CSV 檔案的傳統佈建解決方案,佈建服務會裝載於雲端,並具備可使用 Microsoft Entra 系統管理中心來設定及管理的預先整合連接器。 自動取消佈建的主要優點是有助於保護您的組織,具體做法是在使用者離開組織時,立即從關鍵 SaaS 應用程式中移除使用者的身分識別。
如需深入了解自動化使用者佈建,請參閱自動化使用 Microsoft Entra ID 對於 SaaS 應用程式的使用者佈建和解除佈建。
步驟 3 - 安全地授權給使用者
在現今的數位工作場所中,請務必在安全性與生產力之間取得平衡。 不過,終端使用者常會回過頭遷就安全措施,而導致其生產力和應用程式的存取速度降低。 為協助您解決此狀況,Microsoft Entra ID 提供了自助功能,讓使用者能夠在保有生產力的同時將系統管理額外負荷降到最低。
本節列出如何在賦予使用者能力的同時保持警戒,以消除組織內部衝突的建議。
為所有使用者啟用自助式密碼重設
Azure 的自助式密碼重設 (SSPR) 為 IT 管理員提供了簡單的機制,讓使用者能夠直接重設及解除鎖定其密碼或帳戶,而無需系統管理員介入。 系統包含詳細的報告,可追蹤使用者何時存取系統與通知來警示您誤用或濫用。
根據預設,Microsoft Entra ID 會在執行密碼重設時解除鎖定帳戶。 但是,當您啟用 Microsoft Entra Connect 內部部署整合時,您也可以選擇區隔這兩項作業,而讓使用者能夠解除鎖定其帳戶而無須重設密碼。
確定所有使用者都已註冊 MFA 和 SSPR
Azure 提供了相關報表,可供組織用來確定使用者已註冊 MFA 和 SSPR。 尚未註冊的使用者可能需要了解該程序。
MFA 登入報表包含 MFA 使用方式的相關資訊,並可讓您深入了解 MFA 在您組織中的運作方式。 擁有 Microsoft Entra ID 的登入活動 (以及稽核和風險偵測) 的存取權,對於疑難排解、使用情況分析和鑑識調查而言很重要。
同樣地,自助式密碼管理報表可用來判斷誰已經 (或尚未) 註冊 SSPR。
自助應用程式管理
對於您想要允許使用者自行探索和要求存取的任何應用程式,您必須啟用自助應用程式存取,使用者才能從存取面板自行探索應用程式。 要求可以選擇性地要求核准,再授與存取權。
自助式群組管理
將使用者指派給應用程式的最好方法,是使用群組進行對應,因為群組可有更大的彈性和大規模管理的能力:
- 動態成員資格群組
- 委派給應用程式擁有者
Microsoft Entra ID 可讓您使用安全性群組和 Microsoft 365 群組來管理資源的存取權。 這些群組可由群組擁有者管理,該擁有者可以核准或拒絕成員資格要求,以及委派屬性型組動態成員資格群組的控制權。 自助群組管理可讓未獲得系統管理角色的群組擁有者建立和管理群組,而無須依賴系統管理員來處理其要求,達到省時的效益。
步驟 4 - 將您的見解運算化
安全性相關事件和相關警示的稽核與記錄是有效原則不可或缺的元件,可確保使用者保有生產力以及組織安全無虞。 安全性記錄和報表有助於回答如下的問題:
- 您使用的是您支付費用的服務嗎?
- 我的租用戶中是否有任何可疑或惡意的情況?
- 在安全性事件期間,誰受到了影響?
安全性記錄和報告會提供活動的電子記錄,並協助您偵測可能指出嘗試或成功攻擊的模式。 您可以使用稽核來監視使用者活動、文件合規性、執行鑑識分析等等。 警示會提供安全性事件通知。
為作業指派最低特殊權限的管理員角色
當您考量作業的方法時,必須考量若干層級的管理。 第一個層級會對混合式身分識別管理員產生管理負擔。 一律使用混合式身分識別管理員角色,可能適用於規模較小的公司。 但對於有技術支援中心人員和系統管理員負責處理特定工作的較大型組織而言,指派混合式身分識別管理員角色可能會構成安全性風險,因為這些人員將因此獲得過高的能力,而能夠管理超出其實際負責範圍的工作。
在此情況下,您應考慮下一個層級的管理。 您可以使用 Microsoft Entra ID 將終端使用者指定為「受限的系統管理員」,使其以較低特殊權限的角色管理工作。 例如,您可以將安全性讀者角色指派給技術支援中心人員,讓他們能夠以唯讀存取權管理安全性相關功能。 或者,可將驗證管理員角色指派給個人,讓他們能夠重設非密碼認證,或讀取及設定 Azure 服務健康狀態。
如需詳細資訊,請參閱 Microsoft Entra ID 中的管理員角色權限。
使用 Microsoft Entra Connect Health 監視混合式元件 (Microsoft Entra Connect Sync,AD FS)
Microsoft Entra Connect 和 AD FS 是有可能破壞生命週期管理和驗證,且最後導致中斷的關鍵元件。 因此,您應部署 Microsoft Entra Connect,以監視和報告這些元件。
若要深入了解,請參閱使用 Microsoft Entra Connect 監視 AD FS。
使用 Azure 監視器收集資料記錄以進行分析
Azure 監視器是適用於所有 Microsoft Entra 記錄的統一監視入口網站,可提供深入解析、進階分析和智能機器學習。 透過 Azure 監視器,您可以使用入口網站中的計量和記錄,也可以透過 API 深入檢視資源的狀態和效能。 它在入口網站中實現了單一窗口體驗,同時透過 API 和資料匯出選項啟用多種不同的產品整合,支援傳統的第三方 SIEM 系統。 Azure 監視器也可讓您設定警示規則,以取得通知,或針對影響到資源的問題採取自動化動作。
為您的領導和日常工作建立自訂儀表板
沒有 SIEM 解決方案的組織可以使用 適用於 Microsoft Entra ID 的 Azure 監視器活頁簿。 整合包含預建活頁簿和範本,可協助您了解使用者如何採用和使用 Microsoft Entra 功能,進而深入了解您目錄中的所有活動。 您也可以自行建立活頁簿,並與領導小組共用以報告日常活動。 活頁簿很適合用來監視您的業務,以及快速檢視您最重要的各項計量。
了解驅使支援通話的因素
當您依照本文所述的方式實作混合式身分識別解決方案時,您應該會察覺到支援通話的減少。 藉由實作 Azure 的自助式密碼重設,忘記密碼和帳戶鎖定等常見問題得以減少,同時,啟用自助應用程式存取可讓使用者自行探索和要求存取應用程式,而無須依賴您的 IT 人員。
如果您觀察到支援通話減少,建議您分析支援通話的導因,以嘗試確認 SSPR 或自助應用程式存取是否已正確設定,或是否有任何其他可有系統地解決的新問題。
「在數位轉型旅程中,我們需要可靠的身分識別和存取管理提供者,以在我方、合作夥伴與雲端服務提供者之間促成順暢且安全的整合,而形成有效的生態系統;Microsoft Entra ID 是為我們提供所需功能和可見度的最佳選項,讓我們能夠偵測及因應風險。」 --- Aramex 全球資訊安全總監 Yazan Almasri
監視應用程式使用情形以產生見解
除了探索影子 IT 以外,使用 Microsoft Defender for Cloud Apps 監視您整個組織的應用程式使用情形,可在您的組織大力改採雲端應用程式的功能時予以協助。 除了可協助您透過對活動的深入可見度來掌控資產,還可強化跨雲端應用程式的重要資料保護。 使用 Defender for Cloud Apps 監視您組織中的應用程式使用情形,可協助您回答下列問題:
- 員工使用哪些待批准的應用程式來儲存資料?
- 敏感性資料何時會儲存在雲端中?位置為何?
- 誰會存取雲端中的敏感性資料?
「透過 Defender for Cloud Apps,我們可以快速找出異常狀況並採取行動。」 --- Accenture 資訊安全資深經理 Eric LePenske
摘要
混合式身分識別解決方案可從許多層面來實作,但上述的四步驟檢查清單可協助您快速完成身分識別基礎結構,讓使用者能提高生產力和安全性。
- 輕鬆連線至應用程式
- 自動為每個使用者建立一個身分識別
- 安全地授權給使用者
- 將您的見解運算化
我們希望此文件可作為有用的藍圖,讓您為組織建立強大的身分識別基礎。
身分識別檢查清單
當您開始著手在組織中建立更穩固的身分識別基礎時,建議您列印下列檢查清單以供參考。
Today
| 完成了嗎? | 項目 |
|---|---|
| 對群組試驗自助式密碼重設 (SSPR) | |
| 使用 Microsoft Entra ID 監視混合式元件 | |
| 為作業指派最低特殊權限的管理員角色 | |
| 使用 Microsoft Defender for Cloud Apps 探索影子 IT | |
| 使用 Azure 監視器收集資料記錄以進行分析 |
接下來兩週
| 完成了嗎? | 項目 |
|---|---|
| 讓您的使用者可以使用應用程式 | |
| 對選擇的 SaaS 應用程式試驗 Microsoft Entra 佈建 | |
| 為 Microsoft Entra Connect 設定預備伺服器,並將其保持在最新狀態 | |
| 開始將應用程式從 ADFS 遷移至 Microsoft Entra ID | |
| 為您的領導和日常工作建立自訂儀表板 |
下個月
| 完成了嗎? | 項目 |
|---|---|
| 監視應用程式使用情形以產生見解 | |
| 試驗對應用程式的安全遠端存取 | |
| 確定所有使用者都已註冊 MFA 和 SSPR | |
| 啟用雲端驗證 |
接下來三個月
| 完成了嗎? | 項目 |
|---|---|
| 啟用自助應用程式管理 | |
| 啟用自助群組管理 | |
| 監視應用程式使用情形以產生見解 | |
| 了解驅使支援通話的因素 |
下一步
了解如何使用 Microsoft Entra ID 的功能和這份五步驟的檢查清單,來提升您的安全狀態 - 保護身分識別基礎結構的五個步驟。
了解 Microsoft Entra ID 中的身分識別功能如何藉由提供相關解決方案和功能,讓組織能夠快速採用,並將其更多身分識別管理工作從傳統的內部部署系統移轉至 Microsoft Entra ID,以協助您加速轉換至雲端控管的管理 - Microsoft Entra ID 如何提供內部部署工作負載的雲端治理管理。