Microsoft Entra 角色的最佳做法
本文章說明使用 Microsoft Entra 角色型存取控制 (Microsoft Entra RBAC) 的一些最佳做法。 這些最佳做法衍生自我們的 Microsoft Entra RBAC 經驗和客戶的經驗。 我們建議您也閱讀保護 Microsoft Entra ID 中混合式和雲端部署的權限存取中的詳細安全性指導。
1.套用最低權限原則
規劃存取控制策略時,最佳做法是以最低權限管理。 最低權限表示您只授與管理員完成其工作所需的權限。 將角色指派給管理員時,有三個層面需考慮:一組具體權限、涵蓋具體範圍、適用具體期間。 即便一開始操作可能較方便,仍應避免以較廣泛的範圍指派較廣泛的角色。 藉由限制角色和範圍,萬一安全性主體遭到入侵,承受風險的資源仍可得到控制。 Microsoft Entra RBAC 支援超過 65 個內建角色。 有 Microsoft Entra 角色可管理目錄物件,例如使用者、群組與應用程式等,也可以管理 Microsoft 365 的服務,例如 Exchange、SharePoint 和 Intune。 若要進一步了解 Microsoft Entra 內建角色,請參閱了解 Microsoft Entra ID 中的角色。 如果沒有符合您需求的內建角色,您可以建立自己的自訂角色。
尋找正確的角色
請遵循下列步驟來協助您找到正確的角色。
瀏覽至 [身分識別] > [角色與系統管理員] > [角色與系統管理員]。
使用 [服務] 篩選器來縮小角色清單的範圍。
請參閱 Microsoft Entra 內建角色文件。 系統會列出與每個角色相關的權限,以提供更好的可讀性。 若要了解角色權限的結構和意義,請參閱如何了解角色權限。
請參閱依任務而定最低特殊權限角色之文件。
2.使用 Privileged Identity Management 授與 Just-In-Time 存取權
最低權限的其中一個準則,是應該僅在需要時授與存取權。 Microsoft Entra Privileged Identity Management (PIM) 可讓您將 Just-In-Time 存取授與您的管理員。 Microsoft 建議您在 Microsoft Entra ID 中使用 PIM。 使用 PIM 時,使用者可以成為 Microsoft Entra 角色的合格成員,並在其需要時,於有限的時間內啟用角色。 超過時間範圍時,系統會自動移除特殊權限存取權。 您也可以設定 PIM 設定,以便在使用者啟用其角色指派或其他角色設定時,要求核准或接收通知電子郵件。 有新使用者新增至高度特殊權限角色時,通知會提供警示。 如需更多資訊,請參閱在 Privileged Identity Management 中設定 Microsoft Entra 角色設定。
3. 開啟所有系統管理員帳戶的多重要素驗證
根據我們的研究顯示,如果使用多重要素驗證 (MFA),則帳戶遭到入侵的機率可降低 99.9%。
您可以使用兩種方法在 Microsoft Entra 角色上啟用 MFA:
4. 設定週期性存取權檢閱,以撤銷一段時間內不需要的權限
存取權檢閱可讓組織定期檢閱系統管理員的存取權,以確保只有適當的人員可以繼續存取。 定期審核管理員極為重要,原因如下:
- 惡意執行者可能會危害帳戶。
- 公司內小組人員調動。 如果沒有進行稽核,一段時間後可能會積累不必要的存取權。
Microsoft 建議您使用存取權檢閱來尋找及移除不再需要的角色指派。 這可協助您降低未經授權或過度存取權的風險,並維護您的合規性標準。
如需角色存取權檢閱的詳細資訊,請參閱在 PIM 中建立 Azure 資源和 Microsoft Entra 角色的存取權檢閱。 如需已指派角色群組的存取權檢閱詳細資訊,請參閱在 Microsoft Entra ID 中建立群組與應用程式的存取權檢閱。
5.限制全域管理員的數目為小於 5
Microsoft 建議的最佳做法是將全域管理員角色指派給組織中的五人以下。 全域系統管理員基本上擁有不受限制的存取權,讓受攻擊面降低才符合您的最佳利益。 如先前所述,所有這些帳戶都應透過多重要素驗證保護。
如果您有 5 個以上的特殊權限全域系統管理員角色指派,全域系統管理員警示卡會顯示在 Microsoft Entra [概觀] 頁面上,以協助您監視全域系統管理員角色指派。
根據預設,當使用者註冊 Microsoft 雲端服務時,會建立 Microsoft Entra 租用戶,且使用者會獲指派全域系統管理員角色。 獲指派全域系統管理員角色的使用者,可以讀取及修改 Microsoft Entra 組織中幾乎所有的系統管理設定。 但也有幾個例外,如全域管理員也可以讀取並修改您 Microsoft 365 組織中的所有設定。 全域管理員也能夠提升其存取權,以利讀取資料。
Microsoft 建議組織擁有兩個僅限雲端,且永久指派為全域系統管理員角色的緊急存取帳戶。 這些帳戶具有高度特殊權限,不會指派給特定個人。 這些帳戶僅限於無法使用一般帳戶或所有其他系統管理員均意外鎖在系統外的緊急狀況或「緊急安全窗口」案例。這些帳戶應遵循緊急存取帳戶建議來建立。
6.將特殊權限角色指派的數目限制為小於 10
某些角色包含特殊權限,例如更新認證的能力。 由於這些角色可能會導致提高權限,因此您應該在組織中將這些特殊權限角色指派的使用限制為少於 10 個。 如果您超過 10 個特殊權限角色指派,則會在 [角色和系統管理員] 頁面上顯示警告。
您可以尋找 PRIVILEGED 標籤,以識別具有特殊權限的角色、權限和角色指派。 如需詳細資訊,請參閱 Microsoft Entra ID 中的特殊權限角色和權限。
7.針對 Microsoft Entra 角色指派使用群組,並委派角色指派
如果您有利用群組的外部治理系統,則應該考慮將角色指派給 Microsoft Entra 群組,而非個別使用者。 您也可以在 PIM 中管理可指派角色的群組,確保這些特殊權限群組中沒有任何永久擁有者或成員。 如需詳細資訊,請參閱適用於群組的 Privileged Identity Management (PIM)。
您可以將擁有者指派給角色可指派的群組。 該擁有者可決定要在群組中新增或移除的人,因此間接決定了誰取得角色指派。 如此一來,特殊許可權角色管理員就可以使用群組來委派每個角色的角色管理。 如需詳細資訊,請參閱使用 Microsoft Entra 群組來管理角色指派。
8.使用適用於群組的 PIM,同時啟用多個角色
透過 PIM,個人或許會有五或六個符合資格的指派至 Microsoft Entra 角色。 他們將必須個別啟用每個角色,這麼做可能會降低生產力。 更糟的是,他們也可能獲得數十或數百個 Azure 資源指派,使得問題更加惡化。
在此案例中,您應該使用適用於群組的 Privileged Identity Management (PIM)。 建立適用於群組的 PIM,並為其授與對多個角色的永久存取 (Microsoft Entra ID 和/或 Azure)。 讓該使用者成為此群組的合格成員或擁有者。 只要啟用一次,就可以存取所有已連結的資源。
9.使用 Microsoft Entra 角色的雲端原生帳戶
避免針對 Microsoft Entra 角色指派使用內部部署同步的帳戶。 如果您的內部部署帳戶遭到入侵,它也可能會危害您的 Microsoft Entra 資源。