身分識別和存取管理設計區域

身分識別和存取管理設計區域提供最佳做法，可讓您用來建立安全且完全相容公用雲端架構的基礎。

企業可以擁有複雜和異質的技術格局，因此安全性至關重要。 強固的身分識別和存取管理可藉由在公用雲端中建立安全性周邊，形成新式保護的基礎。 授權和訪問控制可確保只有已驗證裝置的已驗證使用者才能存取和管理應用程式和資源。 它可確保正確的個人可以在正確的時間存取正確的資源，並基於正確的原因。 它也提供可靠的稽核記錄，以及使用者或工作負載身分識別動作的不可否認性。 您應該提供一致的 企業訪問控制，包括使用者存取、控制與管理層面、外部存取和特權存取，以提升生產力，並降低未經授權的權限提升或資料外洩的風險。

Azure 提供一組完整的服務、工具和參考架構，可協助貴組織建立高度安全且具操作效率的環境。 有數個選項可用來管理雲端環境中的身分識別。 每個選項都會因成本和複雜度而異。 根據您需要將雲端式身分識別服務與現有的內部部署身分識別基礎結構整合多少，來決定您的雲端式身分識別服務。 如需詳細資訊，請參閱 身分識別決策指南。

Azure 登陸區域中的身分識別和存取管理

身分識別和存取管理是平臺和應用程式登陸區域中的核心考慮。 在 訂用帳戶民主化的設計原則下，應用程式擁有者應該擁有自主權，以最少的平臺小組介入來管理自己的應用程式和資源。 登陸區域是一個安全性界限，身分識別和存取管理提供一種方式來控制一個登陸區域與另一個登陸區域的分離，以及網路和 Azure 原則等元件。 套用健全的身分識別和存取管理設計，以協助實現應用程式登陸區域隔離。

平台小組負責身分識別和存取管理的基礎，包括部署和管理集中式目錄服務，例如Microsoft Entra ID、Microsoft Entra Domain Services 和 Active Directory Domain Services （AD DS）。 存取應用程式的應用程式登陸區域系統管理員和使用者會取用這些服務。

應用程式小組負責其應用程式的身分識別和存取管理，包括保護使用者對應用程式的存取權，以及應用程式元件之間的存取權，例如 Azure SQL Database、虛擬機和 Azure 記憶體。 在實作良好的登陸區域架構中，應用程式小組可以毫不費力地取用平臺小組所提供的服務。

身分識別和存取管理的許多基本概念在平臺和應用程式登陸區域中都相同，例如角色型訪問控制（RBAC）和最低許可權原則。

設計區域審查

函式： 身分識別和存取管理需要支援下列一或多個函式。 執行這些功能的角色有助於協助制定和執行決策。

• 雲端平臺功能
• 雲端卓越功能中心
• 雲端安全性團隊職能

範圍： 此設計區域的目標是協助您評估身分識別和存取基礎的選項。 當您設計身分識別策略時，應該執行下列工作：

• 驗證使用者和工作負載身分識別。
• 指派資源的存取權限。
• 確定分隔職責所需的核心要求。
• 使用 Microsoft Entra ID 同步混合式身分識別。

範圍外： 身分識別和存取管理構成適當的訪問控制基礎，但未涵蓋更進階的層面，例如：

• 零信任模型。
• 提高許可權的操作管理。
• 自動化護欄以防止常見的身分識別和存取錯誤。

安全性 和 治理 合規性設計領域可解決範圍外層面。 如需身分識別和存取管理的完整建議，請參閱 Azure 身分識別管理和存取控制安全性最佳做法。

設計區域概觀

身分識別提供各種安全性保證的基礎。 它會根據雲端服務中的身分識別驗證和授權控制來授與存取權。 訪問控制可保護數據和資源，並協助判斷應允許哪些要求。

身分識別和存取管理可協助保護公用雲端環境的內部和外部界限。 它是任何安全且完全相容的公用雲端架構的基礎。

下列文章會檢查雲端環境中身分識別和存取管理的設計考慮和建議：

• 使用 Active Directory 和 Microsoft Entra 識別碼的混合式身分識別
• 登陸區域身分識別和存取管理
• 應用程式身分識別和存取管理

如需使用已建立模式和作法在 Azure 上設計解決方案的指引，請參閱 身分識別架構設計。

提示

如果您有多個 Microsoft Entra ID 租戶，請參閱 Azure 登陸區域和多個 Microsoft Entra 租戶。

後續步驟

使用 Active Directory 和 Microsoft Entra 識別碼 混合式身分識別