多租用戶防禦組織的身分識別基本概念
下列指南提供多租使用者防禦組織的零信任身分識別基本概念,並著重於Microsoft Entra ID。 零信任是確保敏感性資訊完整性和機密性的重要策略。 身分識別是零信任的基礎支柱。 Microsoft Entra 識別碼是雲端身分識別服務Microsoft。 Microsoft Entra ID 是所有 Microsoft雲端客戶都使用的重要零信任元件。
架構設計人員和決策者必須先瞭解Microsoft Entra ID的核心功能,以及其在零信任中的角色,才能建立防禦企業策略。 防禦組織可以採用Microsoft Entra ID,以滿足許多零信任需求。 許多人已經可以透過其現有的Microsoft 365 授權存取基本Microsoft Entra 功能。
Microsoft Entra 租用戶
Microsoft Entra 標識符的實例稱為 Microsoft Entra 租使用者。 Microsoft Entra 租使用者是身分識別平臺和界限。 它是您組織的身分識別平臺,以及您所使用的Microsoft雲端服務的安全身分識別界限。 因此,它非常適合用來保護敏感性防禦身分識別數據。
合併Microsoft Entra 租使用者。 Microsoft建議每個組織一個租使用者。 單一Microsoft Entra 租使用者可為用戶和系統管理員提供最順暢的身分識別管理體驗。 它提供最全面的零信任功能。 具有多個Microsoft Entra 租使用者的組織必須管理不同的使用者、群組、應用程式和原則集,增加成本並增加系統管理複雜度。 單一租使用者也會將授權成本降至最低。
您應該嘗試讓 Microsoft 365、Azure 服務、Power Platform、企業營運 (LOB) 應用程式、軟體即服務 (SaaS) 應用程式和其他雲端服務提供者 (CSP) 使用單一Microsoft Entra 租使用者。
Microsoft Entra 識別碼與 Active Directory。 Microsoft Entra ID 不是 Active Directory 網域服務 (AD DS) 的演進。 租使用者概念就像Active Directory樹系,但基礎架構不同。 Microsoft Entra 識別碼是超大規模、現代化和雲端式身分識別服務。
初始功能變數名稱和租用戶標識碼。 每個租使用者都有唯一的初始功能變數名稱和租使用者標識碼。 例如,名為 Contoso 的組織可能具有Microsoft Entra ID 的初始功能變數名稱 contoso.onmicrosoft.com ,以及 contoso.onmicrosoft.us Microsoft Entra Government。 租用戶標識碼是全域唯一標識碼(GUID)。 每個租使用者只有一個初始網域和租用戶標識碼。 這兩個值都是固定的,在租使用者建立之後無法變更。
使用者使用其用戶主體名稱(UPN)登入Microsoft Entra 帳戶。 UPN 是Microsoft Entra 用戶屬性,而且需要 可路由的後綴。 初始網域是 預設可路由後綴 (user@contoso.onmicrosoft.com)。 您可以新增 自訂網域 來建立及使用更易記的 UPN。 易記 UPN 通常符合使用者的電子郵件位址 (user@contoso.com)。 Microsoft Entra ID 的 UPN 可能與使用者的 AD DS userPrincipalName 不同。 當 AD DS userPrincipalName 值不可 路由 傳送時,具有不同的 UPN 和 AD DS userPrincipalName 是常見的,或是使用不符合租使用者中已驗證自定義網域的後綴。
您只能在全域Microsoft Entra 租用戶中驗證自定義網域。 自定義網域不是安全性或信任界限,例如 Active Directory 網域服務 (AD DS) 樹系。 它們是用來識別Microsoft Entra 使用者主租使用者的 DNS 命名空間。
Microsoft Entra 架構
Microsoft Entra ID 沒有域控制器、組織單位、組策略對象、網域/樹系信任或彈性單一主機作業 (FSMO) 角色。 Microsoft Entra ID 是軟體即服務、身分識別管理解決方案。 您可以透過 RESTful API 存取Microsoft Entra ID。 您可以使用 新式驗證 和授權通訊協定來存取受Microsoft Entra識別符保護的資源。 目錄具有一般結構,並使用 以資源為基礎的 許可權。
每個Microsoft Entra 租使用者都是 身分識別管理數據的高可用性 數據存放區。 它會儲存身分識別、原則和設定物件,並跨 Azure 區域復寫它們。 Microsoft Entra 租使用者提供重要防禦信息的數據備援。
身分識別類型
Microsoft Entra ID 有兩種類型的身分識別。 這兩種身分識別類型是用戶和服務主體。
使用者。 用戶是個人存取Microsoft和同盟雲端服務的身分識別。 用戶可以是Microsoft Entra標識符實例中的成員或來賓。 成員通常是貴組織內部成員,而來賓屬於外部組織,例如任務夥伴或防禦承包商。 若要深入瞭解來賓用戶與組織之間的共同作業,請參閱 B2B 共同作業概觀。
服務主體。 服務主體是Microsoft Entra ID 中的非人員實體 (NPE)。 服務主體可以代表應用程式、服務/自動化帳戶和 Azure 資源。 即使是 非 Azure 資源,例如內部部署伺服器,也可以有Microsoft Entra ID 中的服務主體,並與其他 Azure 資源互動。 服務主體有助於自動化防禦工作流程,以及管理對防禦作業至關重要的應用程式。 如需詳細資訊,請參閱 Microsoft Entra ID 中的應用程式和服務主體物件。
同步處理身分識別。 您可以使用 Microsoft Entra Connect Sync 或 Microsoft Entra Connect Cloud Sync,以使用 Microsoft Entra ID 同步處理 Active Directory 網域服務 中的使用者、群組和計算機(裝置)物件。 此設定稱為 混合式身分識別。
權限
Microsoft Entra ID 使用與傳統 內部部署的 Active Directory 網域服務 (AD DS) 不同的許可權方法。
Microsoft Entra 角色。 您可以使用 Microsoft Entra 目錄角色,在 Microsoft Entra ID 中指派許可權。 這些角色會授與特定 API 和範圍的存取權。 全域管理員 是Microsoft Entra ID 中最高特殊許可權角色。 各種有限系統管理員功能有許多內建角色。 您應該委派細微許可權以減少受攻擊面區域。
重要
Microsoft建議您使用具有最少許可權的角色。 這有助於改善組織的安全性。 全域管理員是高度特殊許可權的角色,當您無法使用現有角色時,應該受限於緊急案例。
提高的許可權指派。 為了增強安全性並減少不必要的許可權,Microsoft Entra ID 提供兩個許可權指派原則:
Just-In-Time (JIT):Microsoft Entra ID 支援 Just-In-Time 存取。 JIT 功能可讓您視需要暫時指派許可權。 JIT 存取可將不必要的許可權暴露降至最低,並減少受攻擊面。
Just-Enough-Admin (JEA):Microsoft Entra ID 遵循 just-enough-admin 原則。 內建角色 可讓您 委派系統管理工作 ,而不授與過多的許可權。 系統管理單位 可以進一步限制Microsoft Entra 角色的許可權範圍。
驗證
不同於 Active Directory,Microsoft Entra ID 中的使用者不限於密碼或智慧卡驗證。 Microsoft Entra 使用者可以使用密碼和其他許多 驗證和驗證方法。 Microsoft Entra ID 會使用新式驗證通訊協定、防止令牌型攻擊,以及偵測可疑的登入行為。
驗證方法。 Microsoft Entra 驗證方法包括原生支援智慧卡憑證和衍生認證、Microsoft Authenticator 無密碼、FIDO2 安全性密鑰(硬體複雜密鑰)和裝置認證,例如 Windows Hello 企業版。 Microsoft Entra ID 提供無密碼、防網路釣魚的方法,以支持備忘錄 22-09 和 DODCIO 零信任 策略功能。
驗證通訊協定。 Microsoft Entra ID 不會使用 Kerberos、NTLM 或 LDAP。 它會使用用於因特網的新式開放通訊協定,例如 OpenID Connect、 OAuth 2.0、 SAML 2.0 和 SCIM。 雖然 Entra 不會使用 Kerberos 進行自己的驗證,但它可以發出混合式身分識別的 Kerberos 票證,以支援 Azure 檔案儲存體,並啟用無密碼登入內部部署資源。 Entra 應用程式 Proxy 可讓您為僅支援 Kerberos 和標頭型驗證等舊版通訊協議的內部部署應用程式設定 Entra 單一登錄。
保護令牌攻擊。 傳統 AD DS 容易遭受 Kerberos 型攻擊。 AD DS 會使用具有已知 安全性標識碼 (SID) 的安全組,例如 S-1-5-domain-512 網域 系統管理員。 當網域系統管理員執行本機或網路登入時,域控制器會發出 Kerberos 票證,其中包含 Domain Admins SID 並將它儲存在認證快取中。 威脅執行者通常會使用橫向動作和許可權提升技術來利用此機制,例如傳遞哈希和傳遞票證。
不過,Microsoft Entra 標識符並不容易受到 Kerberos 攻擊。 雲端對等專案是中間的敵人(AiTM)技術,例如會話劫持和會話重新執行,以竊取會話令牌(登入令牌)。 用戶端應用程式、 Web 帳戶管理員(WAM)或使用者的網頁瀏覽器(工作階段 Cookie)會儲存這些工作階段令牌。 若要防止令牌竊取攻擊,Microsoft Entra ID 記錄令牌用來防止重新執行,而且可能需要以 密碼編譯方式系結 至使用者的裝置。
若要深入瞭解令牌竊取,請參閱 令牌竊取劇本。
偵測可疑的登入行為。Microsoft Entra ID Protection 會使用即時和離線偵測的組合來識別有風險的使用者和登入事件。 您可以在 Entra 條件式存取中使用風險條件,以動態控制或封鎖對應用程式的存取。 持續存取評估 (CAE) 可讓用戶端應用程式偵測使用者會話中的變更,以近乎即時地強制執行存取原則。
應用程式
Microsoft Entra 識別碼不只是針對Microsoft應用程式和服務。 Microsoft Entra 識別碼可以是任何使用相同通訊協定的應用程式、雲端服務提供者、SaaS 提供者或身分識別系統的識別提供者。 它可以輕鬆地支援與盟軍和承包商的互操作性。
原則強制執行點(PEP)和原則決策點(PDP)。 Microsoft Entra ID 是零信任架構中常見的原則強制執行點 (PEP) 和原則決策點 (PDP)。 它會強制執行應用程式的安全策略和訪問控制。
Microsoft Entra ID 控管。 Microsoft Entra ID 控管 是Microsoft Entra 功能。 其可協助您管理使用者存取,並將存取生命周期自動化。 它可確保用戶能夠適當且及時存取應用程式和資源。
條件式存取。 條件式存取可讓您使用屬性來微調應用程式的授權。 您可以根據各種因素定義存取原則。 這些因素包括使用者屬性、認證強度、應用程式屬性、使用者和登入風險、裝置健康情況和位置。 如需詳細資訊,請參閱 零信任安全性。
裝置
Microsoft Entra ID 可透過裝置管理,提供安全且順暢地存取 Microsoft 服務。 您可以管理和將 Windows 裝置加入至 Microsoft Entra,就像使用 Active Directory 網域服務 一樣。
已註冊的裝置。 當使用者使用其 Entra 帳戶登入應用程式時,裝置會 向您的 Entra 租用戶註冊 。 Entra 裝置註冊與裝置註冊或 Entra join 不同。 使用者使用本機帳戶或Microsoft帳戶登入已註冊的裝置。 已註冊的裝置通常包括攜帶您自己的裝置(BYOD),例如使用者的家用電腦或個人電話。
Microsoft已加入 Entra 的裝置。 當使用者登入已加入 Microsoft Entra 的裝置時,會使用 PIN 或手勢解除鎖定裝置系結密鑰。 驗證后,Microsoft Entra ID 會對裝置發出主要重新整理令牌(PRT)。 此 PRT 有助於單一登錄存取 Microsoft Entra ID 保護的服務,例如 Microsoft Teams。
Microsoft已加入 entra 的裝置註冊於 Microsoft 端點管理員 (Intune) 中,可以使用裝置合規性作為條件式存取內的授與控制。
Microsoft Entra 混合式聯結裝置。Microsoft Entra 混合式聯結可讓 Windows 裝置同時連線到 Active Directory 網域服務 和Microsoft Entra 標識符。 這些裝置會先對 Active Directory 驗證使用者,然後從 entra 識別碼Microsoft擷取主要重新整理令牌。
受 Intune 管理的裝置和應用程式。Microsoft Intune 有助於註冊和註冊裝置以進行管理。 Intune 可讓您定義使用者裝置的相容與安全狀態、使用 適用於端點的 Microsoft Defender 保護裝置,以及要求使用者使用符合規範的裝置來存取企業資源。
Microsoft 365 和 Azure
Microsoft Entra 識別碼是Microsoft的身分識別平臺。 它同時提供Microsoft 365 和 Azure 服務。 Microsoft 365 個訂用帳戶會建立並使用 Microsoft Entra 租使用者。 Azure 服務也依賴Microsoft Entra 租使用者。
Microsoft 365 身分識別。 Microsoft Entra ID 是Microsoft 365 內所有身分識別作業不可或缺的一部分。 它會處理使用者登入、共同作業、共用和許可權指派。 它支援 Office 365、Intune 和 Microsoft Defender 全面偵測回應 服務的身分識別管理。 您的使用者每次登入 Word 或 Outlook 等 Office 應用程式 lication 時,都會使用 Microsoft Entra、使用 OneDrive 共用文件、邀請外部使用者加入 SharePoint 網站,或在 Microsoft Teams 中建立新的小組。
Azure 身分識別。 在 Azure 中,每個資源都會與 Azure 訂用帳戶相關聯,而訂用帳戶會 連結到 單一Microsoft Entra 租使用者。 您可以將 Azure 角色指派給使用者、安全組或服務主體,以委派管理 Azure 資源的許可權。
受控識別對於讓 Azure 資源與其他資源安全地互動扮演重要角色。 這些受控識別是 Microsoft Entra 租使用者內的安全性主體。 您會以最低許可權的方式授與許可權給它們。 您可以授權受控識別存取受 Microsoft Entra 識別碼保護的 API,例如 Microsoft Graph。 當 Azure 資源使用受控識別時,受控識別是 服務主體物件。 服務主體對象位於與資源相關聯的訂用帳戶相同的Microsoft Entra 租使用者內。
Microsoft Graph
Microsoft Microsoft Entra、Azure 和 Microsoft 365 的入口網站提供圖形化介面來Microsoft Entra 標識符。 您可以使用稱為 Microsoft Graph 的 RESTful API,將讀取和更新Microsoft Entra 對象和設定原則的程式設計方式存取自動化。 Microsoft Graph 支援各種語言的用戶端。 支持的語言包括 PowerShell、Go、Python、Java、.NET、Ruby 等等。 探索 GitHub 上的 Microsoft Graph 存放庫。
Azure Government 雲端
Microsoft Entra 服務防禦組織有兩個不同的版本可用於公用(因特網連線)網路上:Microsoft Entra Global 和 Microsoft Entra Government。
Microsoft Entra Global。 Microsoft Entra Global 適用於商業Microsoft 365 和 Azure,Microsoft 365 GCC Moderate。 Microsoft Entra Global 的登入服務 login.microsoftonline.com。
Microsoft政府。 Microsoft Entra Government 是 Azure Government (IL4)、DoD (IL5)、Microsoft 365 GCC High、Microsoft 365 DoD (IL5)。 Microsoft Entra Government 的登入服務 login.microsoftonline.us。
服務 URL。 不同的Microsoft Entra 服務使用不同的登入 URL。 因此,您必須使用不同的入口網站。 您也需要提供環境參數,以與 Microsoft Graph 用戶端和 PowerShell 模組連線,以管理 Azure 和 Microsoft 365 (請參閱表 1)。
資料表 1。 Azure Government 端點。
| 端點 | 全球 | GCC 高 | DoD 影響等級 5 (IL5) |
|---|---|---|---|
| Microsoft Entra 系統管理中心 | entra.microsoft.com | entra.microsoft.us | entra.microsoft.us |
| Azure 入口網站 | portal.azure.com | portal.azure.us | portal.azure.us |
| Defender 系統管理中心 | security.microsoft.com | security.microsoft.us | security.apps.mil |
| MS Graph PowerShell | Connect-MgGraph<br>-Environment Global |
Connect-MgGraph<br>-Environment USGov |
Connect-MgGraph<br>-Environment USGovDoD |
| Az PowerShell 模組 | Connect-AzAccount<br>-Environment AzureCloud |
Connect-AzAccount<br>-Environment AzureUSGovernment |
Connect-AzAccount<br>-Environment AzureUSGovernment |
| Azure CLI | az cloud set --name AzureCloud |
az cloud set --name AzureUSGovernment |
az cloud set --name AzureUSGovernment |