編輯

共用方式為

條件式存取設計原則和相依性

Microsoft Entra ID
Microsoft 端點管理員

在本文中,您將瞭解以 零信任 為基礎的條件式存取案例的設計原則和相依性。

設計原則

我們將從一些設計原則開始。

條件式存取作為零信任原則引擎

Microsoft 零信任做法包括以條件式存取作為主要原則引擎。 以下是這套做法的概觀:

Diagram that provides an overview of the Zero Trust model.

下載此架構的 SVG 檔案

條件式存取是當作零信任架構 (涵蓋了原則定義和原則實施) 的原則引擎使用。 根據各種訊號或條件,條件式存取可以封鎖或提供資源的有限存取權,如下所示:

Diagram that provides an overview of the Conditional Access signal, decision, enforcement path.

以下更進一步檢視條件式存取元素及其涵蓋專案:

Diagram that shows a more detailed view of Conditional Access.

此圖表顯示條件式存取和相關元素,可協助保護使用者對資源的存取,而不是非互動式或非人為存取。 下圖說明這兩種類型的身分識別。

Diagram that describes Conditional Access identity types.

條件式存取主要著重於保護從互動式人類到資源的存取。 隨著非人類身分識別的數目增加,也必須考慮從這些身分存取。 Microsoft 提供兩項與保護工作負載身分識別存取和存取相關的功能。

  • 保護無法選取在 Microsoft Entra 條件式存取入口網站中,工作負載身分識別所代表之應用程式的存取。 使用安全性屬性支援此選項。 將安全性屬性指派給工作負載身分識別,並在 Microsoft Entra 條件式存取入口網站中選取這些屬性是 Microsoft Entra ID P1 授權的一部分。
  • 保護工作負載身分識別所起始之資源的存取權(服務主體)。 支援此案例的個別授權中提供新功能「Microsoft Entra Workload Identities」。 其中包含工作負載身分識別的生命週期管理,包括使用條件式存取保護資源的存取。

企業存取模型

Microsoft 先前已根據階層處理模型提供存取內部部署資源的指引和原則:

  • 第 0 層:域控制器、公鑰基礎結構 (PKI)、Active Directory 同盟服務 (AD FS) 伺服器和管理這些伺服器的管理解決方案
  • 第 1 層:裝載應用程式的伺服器
  • 第2層:客戶端裝置

此模型仍與內部部署資源相關。 為了協助保護雲端中資源的存取權,Microsoft 建議下列訪問控制策略:

  • 是全面且一致的。
  • 嚴格地在整個技術堆疊中套用安全策略。
  • 彈性足以符合貴組織的需求。

根據這些原則,Microsoft 建立了下列企業存取模型:

Diagram that outlines the enterprise access model.

企業存取模型會取代舊版層模型,其著重於在內部部署 Windows Server Active Directory 環境中包含未經授權的許可權提升。 在新的模型中,第 0 層會擴充為成為控制平面,第 1 層包含管理和數據平面,第 2 層涵蓋使用者和應用程式存取。

Microsoft 建議將控制和管理移至使用條件式存取作為主要控制平面和原則引擎的雲端服務,進而定義並強制執行存取。

您可以將 Microsoft Entra 條件式存取原則引擎延伸至其他原則強制執行點,包括:

  • 新式應用程式:使用新式驗證通訊協議的應用程式。
  • 舊版應用程式:透過 Microsoft Entra 應用程式 Proxy。
  • VPN 和遠端訪問解決方案:Microsoft Always On VPN、Cisco Any 連線、Palo Alto Networks、F5、Fortinet、Citrix 和 Zscaler 等解決方案。
  • 文件、電子郵件和其他檔案:透過 Microsoft 資訊保護。
  • SaaS 應用程式。
  • 在其他雲端中執行的應用程式,例如 AWS 或 Google Cloud(根據同盟)。

零信任原則

Microsoft 所定義的三個主要 零信任 原則似乎可以理解,尤其是安全性部門。 不過,在設計 零信任 解決方案時,有時會忽略可用性的重要性。

可用性應一律視為隱含原則。

條件式存取的原則

根據上述資訊,以下是建議原則的摘要。 Microsoft 建議您根據符合三個主要 Microsoft 零信任原則的條件式存取來建立存取模型:

明確驗證

  • 將控制平面移至雲端。 整合應用程式與 Microsoft Entra ID,並使用條件式存取加以保護。
  • 請將所有客戶端視為外部用戶端。

使用最低權限存取

  • 根據合規性和風險評估存取權,包括用戶風險、登入風險和裝置風險。
  • 使用這些存取優先權:
    • 直接使用條件式存取來保護資源。
    • 使用 Microsoft Entra 應用程式 Proxy 發佈資源的存取權,並使用條件式存取進行保護。
    • 使用條件式存取 -- 型 VPN 來存取資源。 限制對應用程式或 DNS 名稱層級的存取。

假設缺口

  • 區隔網路基礎結構。
  • 將企業 PKI 的使用降至最低。
  • 將單一登錄 (SSO) 從 AD FS 遷移至密碼哈希同步處理 (PHS)。
  • 在 Microsoft Entra 識別符中使用 Kerberos KDC 將 DC 的相依性降至最低。
  • 將管理平面移至雲端。 使用 Microsoft 端點管理員管理裝置。

以下是條件式存取的一些更詳細原則和建議做法:

  • 將零信任原則套用至條件式存取。
  • 將原則放入生產環境之前,請先使用報告專用模式。
  • 測試正面和負面案例。
  • 在條件式存取原則上使用變更和修訂控制項。
  • 使用 Azure DevOps/GitHub 或 Azure Logic Apps 之類的工具來自動化條件式存取原則的管理作業。
  • 只有在您需要的地方時,才使用封鎖模式進行一般存取。
  • 確保所有應用程式和您的平台都受到保護。 條件式存取沒有隱含的「全部拒絕」。
  • 保護所有 Microsoft 365 角色型存取控制 (RBAC) 系統中的特殊權限使用者。
  • 針對高風險使用者和登入要求密碼變更和多重要素驗證 (依登入頻率強制執行)。
  • 限制來自高風險裝置的存取。 在條件式存取中使用 Intune 合規性政策與合規性檢查。
  • 保護特殊權限系統,例如存取適用於 Office 365、Azure、AWS 和 Google Cloud 的系統管理員入口網站。
  • 防止系統管理員和不受信任裝置上的持續性瀏覽器會話。
  • 封鎖舊版驗證。
  • 限制來自未知或不支援裝置平台的存取。
  • 可能的話,要求符合規範的裝置才能存取資源。
  • 限制強式認證註冊。
  • 如果中斷之前已滿足適當的條件,請考慮使用預設會話原則,允許會話在中斷之前繼續。

下圖顯示相依性和相關技術。 有些技術是條件式存取的必要條件。 其他則相依於條件式存取。 本檔所述的設計主要著重於條件式存取,而不是相關技術。

Diagram that shows Conditional Access dependencies.

條件式存取指引

如需詳細資訊,請參閱以 零信任 和角色為基礎的條件式存取設計。

參與者

本文由 Microsoft 維護。 原始投稿人如下。

主體作者:

若要查看非公用LinkedIn配置檔,請登入LinkedIn。

下一步