管理防禦組織的多租用戶作業

本文定義多租使用者防禦組織應如何管理跨 Microsoft Entra 租使用者的作業，以符合零信任需求。 它涵蓋應用程式管理、身分識別治理和安全性作業。 主要和次要Microsoft Entra 租用戶系統管理員在每個區域中都有不同的責任。 主要和次要租用戶必須協調應用程式上線、權利管理和威脅偵測和回應（請參閱圖 1）。 如需詳細資訊，請參閱 識別租用戶類型。

圖 1.租使用者對多租用戶防禦組織的共同責任

應用程式管理

主要Microsoft Entra 租使用者和次要Microsoft Entra tenant（s） 會共用應用程式管理責任。 主要租用戶負責完成企業應用程式管理和應用程式註冊等Microsoft Entra 工作。 次要租用戶負責 Azure 平台作業，例如效能監視、資源設定、調整和管理 DevSecOps 管線。

主要租用戶應用程式管理

您應該將需要以主要租使用者中的企業應用程式身分登入使用者的所有新式應用程式上線。

您應該向主要租用戶註冊在次要租用戶訂用帳戶中執行的 Azure 應用程式。 主要租用戶是用戶和授權所在的位置。 在主要租用戶中註冊應用程式可讓使用者使用用於 Microsoft 365 的相同身分識別登入。 此設定提供最順暢的體驗，可讓您將相同的零信任原則基準套用至所有應用程式存取。

應用程式基礎結構的位置（虛擬機、資料庫、Web 應用程式）不會影響您可以用於使用者登入的租使用者。 管理主要租使用者的小組負責應用程式註冊和企業應用程式。 它們也會負責將條件式存取原則套用至主要租使用者和任何次要租用戶中裝載的應用程式。

應用程式註冊。 您會向主要租用戶註冊組織所使用的 Web 應用程式和 API。 應用程式註冊會在 entra 識別碼Microsoft建立應用程式物件 。 應用程式物件代表應用程式定義。 應用程式定義包含應用程式指令清單、令牌宣告組態、應用程式角色定義和客戶端密碼。 主要租使用者應用程式註冊所涉及的活動包括：

• 在 Microsoft Entra 識別碼中委派應用程式註冊許可權
• 管理應用程式開發人員Microsoft Entra 角色的指派
• 建立和指派應用程式註冊的自定義角色
• 建立應用程式和 API 的應用程式註冊
• 公開 Web API 並將範圍新增至已註冊的應用程式
• 為已註冊的應用程式建立和管理應用程式角色
• 定義應用程式的 API 許可權

企業應用程式。 企業應用程式是 目錄中應用程式之不同實例的服務主體 。 當您在 Azure 入口網站 中建立應用程式註冊時，企業應用程式會自動建立，並從應用程式對象繼承特定屬性。 在主要租使用者中管理企業應用程式所涉及的活動包括：

• 從 Microsoft Entra Gallery 建立企業應用程式，以及部署非資源庫 SAML 應用程式
• 指派擁有者來 委派企業應用程式管理
• 管理企業應用程式 我的應用程式 中的名稱、標誌、可見性
• 指派使用者和群組 以存取企業應用程式
• 管理 SAML 應用程式的簽署憑證
• 授與 API 許可權的同意
• 為內部部署應用程式部署和管理Microsoft Entra 應用程式 Proxy

條件式存取原則。 條件式存取原則會強制執行零信任原則，以存取受Microsoft Entra ID 保護的資源。 當您在主要租用戶中註冊應用程式時，主要租用戶系統管理員 會控制在使用者登入期間套用 的原則。

次要租用戶應用程式管理

次要租用戶會裝載 Azure 中工作負載的基礎結構和平台資源。 管理任何次要租使用者的小組負責效能監視、資源設定、調整和管理 DevSecOps 管線。

效能監視。 Azure 包含數個工具來監視託管應用程式的效能，包括 Azure 監視器 和 Application Insights。 次要租用戶系統管理員應該設定監視，以收集連結至其次要租使用者之訂用帳戶中應用程式工作負載的效能計量。

應用程式基礎結構。 Azure 環境中的系統管理員必須管理執行應用程式的基礎結構。 基礎結構包括網路、平臺服務和虛擬機。 需求適用於在 Azure Kubernetes Service、App Service 或虛擬機上執行的應用程式。

應用程式擁有者應該使用 適用於雲端的 Defender 來管理環境的安全性狀態，以及檢視已部署資源的警示和建議。 他們應該使用 Azure 原則 計劃來符合合規性需求。

將 適用於雲端的 Defender 連線到 Microsoft Sentinel 可讓您的安全性作業中心 （SOC） 更妥善地保護雲端應用程式。 SOC 仍然可以維護其標準安全性工作流程和自動化程式。 將 Defender 連線至 Sentinel 提供可見度，讓整個企業的事件相互關聯。 它可以監視雲端和 內部部署。 若要監視內部部署元件，您必須使用 （1） Azure Arc 或 （2） 透過 API、 Azure 監視器代理程式或 Syslog 轉寄站加以管理。

DevSecOps 管線。 當您在 Azure 中裝載應用程式時， DevSecOps 管線會將基礎結構資源和應用程式程式碼部署至 Azure。 次要租用戶系統管理員負責管理服務主體自動化程式代碼部署。 Microsoft Entra 工作負載 ID 進階有助於保護服務主體的安全。 Microsoft Entra 工作負載 ID 也會檢閱現有的存取權，並根據服務主體風險提供額外的保護。

身分識別治理

多租使用者防禦組織必須控管主要Microsoft Entra 租用戶中應用程式的存取權，以及在 Azure 環境的次要租使用者中管理外部來賓身分識別。

主要租使用者身分識別治理

當您在主要租用戶中註冊應用程式時，主要租使用者會控管應用程式存取權。 管理主要租使用者的小組會設定權利管理，並進行存取權檢閱，以稽核現有的存取權。 它們也會管理主要租使用者中的外部身分識別和特殊許可權身分識別管理。

權利管理。 Microsoft Entra ID 權利管理 可藉由將權利統合到可指派的存取套件，以協助控管存取Microsoft Entra 應用程式、群組、SharePoint 網站和 Teams 的存取權。 主要租用戶系統管理員會管理用於應用程式控管Microsoft Entra 物件。 主要租用戶中權利管理所涉及的活動包括（請參閱圖 2）：

• 建立Microsoft用於指派應用程式角色的 Entra 安全組
• 委派應用程式指派的群組擁有權
• 設定權利管理 目錄 和 存取套件
• 在權利管理中委派角色
• 自動化身分識別治理工作
• 建立存取套件和Microsoft Entra 安全組的存取權檢閱

圖 2.應用程式指派的權利管理，使用 contoso.com 作為範例功能變數名稱。

您應該使用權利管理存取套件來設定應用程式控管，並遵循此程式（請參閱圖 2）：

1. 主要租使用者應用程式管理員必須與開發人員協調，為部署在次要租使用者中的 Web 應用程式建立新的應用程式註冊。
2. 身分識別控管系統管理員 必須建立 存取套件。 系統管理員會將應用程式新增為權利，並允許使用者要求套件。 系統管理員會在存取權檢閱之前設定存取的最大持續時間。 或者，權利管理管理員可以 委派 其他人管理存取套件的許可權。
3. 使用者 要求 存取套件。 它們必須包含存取要求的持續時間，以及協助核准者做出決策的理由。 他們最多可以要求系統管理員設定的最大持續時間。
4. 存取套件核准者 會核准要求。
5. 套件會針對要求的持續時間，將使用者存取權指派給次要租使用者中的應用程式。
6. 使用者使用其主要租使用者身分識別登入，以存取連結至次要租使用者之訂用帳戶中裝載的應用程式。

外部身分識別。Microsoft Entra 外部 ID 可讓您與組織外部的用戶進行安全互動。 主要租用戶系統管理員對於在主要租用戶中註冊的應用程式具有數個設定責任。 他們必須與合作夥伴組織設定外部 （B2B） 共同作業和跨租使用者存取原則。 他們也必須為來賓使用者及其存取設定任何生命週期工作流程。 在主要租使用者中管理外部身分識別所涉及的活動包括：

• 管理組織外部使用者的存取權
• 管理合作夥伴組織的 B2B 共同作業設定和跨租使用者存取原則 （XTAP）
• 設定 Microsoft Entra ID 控管 以檢閱和移除不再具有資源存取權的外部使用者

Privileged Identity Management。Microsoft Entra Privileged Identity Management （PIM） 可讓您即時管理Microsoft Entra 角色、Azure 角色和Microsoft Entra 安全組。 主要租用戶系統管理員負責在主要租用戶中設定和管理Microsoft Entra PIM。

次要租使用者身分識別治理

您應該使用主要租使用者身分識別來管理次要租使用者。 此管理模型可減少需要維護的個別帳戶和認證管理員數目。 在次要租用戶中設定身分識別治理功能可簡化管理。 您可以使用自助模型，從主要租使用者將外部使用者（B2B 來賓）上線。

管理次要租使用者的小組在其次要租使用者中具有數個責任。 他們會設定權利管理。 他們會進行存取權檢閱，以稽核現有的存取權。 他們會管理外部身分識別，以及設定特殊許可權的身分識別管理。

權利管理。 您必須為 Azure 管理設定外部使用者控管。 您應該使用權利管理，將主要租使用者的外部身分識別（B2B 來賓）上線，以使用使用者起始的案例來管理 Azure 資源（請參閱圖 3）。

圖 3.外部 （B2B） 來賓存取的權利管理，使用 contoso.com 作為範例功能變數名稱。

您應該使用權利管理存取套件來設定外部 （B2B） 來賓存取，並遵循此程式（請參閱圖 3）：

1. 次要租使用者中的系統管理員會將主要租使用者新增為 已連線的組織 ，並 建立要要求的主要租用戶使用者的存取套件 。
2. 主要租用戶使用者要求次要租使用者中的存取套件。
3. 或者，核准者會完成要求。
4. 系統會為次要租使用者中的使用者建立外部來賓物件。
5. 存取套件會獲指派授與 Azure 角色的資格。
6. 使用者會使用其外部身分識別來管理 Azure 資源。

如需詳細資訊，請參閱 管理權利管理中管理外部使用者的存取權。

外部身分識別。 Microsoft Entra 外部 ID 可讓主要租使用者中的使用者與次要租使用者中的資源互動。 圖 3 中所述的程式會使用來自主要租使用者的外部身分識別來管理附加至次要租使用者的 Azure 訂用帳戶。 在次要租使用者中管理外部身分識別所涉及的活動包括：

• 管理主要租使用者和其他合作夥伴組織的 B2B 共同作業設定和跨租使用者存取原則 （XTAP）
• 使用身分識別治理來檢閱和移除不再具有資源存取權的外部使用者

Privileged Identity Management。Microsoft Entra PIM 可針對Microsoft Entra 角色、Azure 角色和特殊許可權安全組啟用 Just-In-Time 管理。 次要租用戶系統管理員負責設定和管理用來管理次要Microsoft Entra 租使用者和 Azure 環境之系統管理角色Microsoft Entra PIM。

安全性作業

防禦組織的安全性作業小組必須保護、偵測及響應內部部署、混合式和多雲端環境的威脅。 他們需要保護使用者、控制敏感數據、調查使用者裝置和伺服器上的威脅。 它們也需要補救雲端和內部部署資源的不安全設定。 多租使用者防禦組織的安全性操作員通常會從主要租使用者操作，但可能會針對特定動作在租用戶之間切換。

主要租使用者安全性作業

主要租使用者中的安全性操作員必須監視和管理主要租使用者中Microsoft 365 的警示。 這項工作涉及管理Microsoft Sentinel 和 Microsoft Defender 全面偵測回應 服務，例如 適用於端點的 Microsoft Defender （MDE）。

Sentinel 和 Microsoft 365。 您可以將Microsoft Sentinel 實例部署到附加至主要租用戶的訂用帳戶。 您應該為此 Sentinel 實例設定資料連接器。 數據連接器可讓 Sentinel 實例從各種來源擷取安全性記錄。 這些來源包括 Office 365、Microsoft Defender 全面偵測回應、Microsoft Entra ID、Entra Identity Protection 和其他主要租使用者中的工作負載。 監視Microsoft 365事件和警示的安全性操作員應該使用主要租使用者。 在主要租使用者中管理 sentinel Microsoft 365 的活動包括：

• 監視及補救主要租使用者中具風險的用戶和服務主體
• 設定 Microsoft 365 和其他可用主要租用戶數據源的數據連接器 ，以Microsoft Sentinel
• 在 Microsoft 365 環境中建置活頁簿、筆記本、分析規則和安全性協調流程與回應 （SOAR）

Microsoft Defender 全面偵測回應。 您可以在主要租使用者中管理 Microsoft Defender 全面偵測回應。 主要租使用者是您使用 Microsoft 365 服務的位置。 Microsoft Defender 全面偵測回應 可協助您監視警示，並補救使用者、裝置和服務主體的攻擊。 活動包括管理 Microsoft Defender 全面偵測回應的元件。 這些元件包括適用於端點的Defender、適用於身分識別的Defender、適用於雲端的 Defender Apps、適用於Office的Defender。

適用於端點的 Microsoft Defender（MDE）回應（工作站）。 您必須將終端使用者工作站加入主要租使用者，並使用 Microsoft Intune 來管理它們。 安全性操作員必須使用 MDE 來回應偵測到的攻擊。 回應可以是隔離工作站或收集調查套件。 適用於端點的Defender回應 動作會在主要租使用者MDE服務中執行。 在主要租使用者中管理 MDE 回應所涉及的活動包括管理 裝置群組 和 角色。

次要租使用者安全性作業

本節說明如何在次要租使用者中的訂用帳戶中監視和保護 Azure 資源。 您需要 適用於雲端的 Defender、Microsoft Sentinel 和 適用於端點的 Microsoft Defender （MDE）。 您必須使用 Azure Lighthouse 和 外部身分識別 ，將許可權指派給主要租使用者中的安全性操作員。 此設定可讓安全性操作員使用一個帳戶和 特殊許可權存取裝置 來管理租用戶之間的安全性。

Sentinel （雲端、內部部署）。 您必須指派許可權，並將 Sentinel 設定為從連結至次要租使用者之訂用帳戶中部署的 Azure 資源擷取安全性訊號。

指派權限。 若要讓主要租使用者中的安全性操作員使用 Microsoft Sentinel，您必須使用 Azure Resource Manager 角色來指派許可權。 您可以使用 Azure Lighthouse 將這些角色指派給主要租使用者中的使用者和安全組。 此設定可讓安全性操作員在不同的租使用者中跨 Sentinel 工作區運作。 如果沒有 Lighthouse，安全性操作員將需要來賓帳戶或個別認證來管理次要租使用者中的 Sentinel。

設定 Sentinel。 您應該在次要租用戶中設定Microsoft Sentinel，以從數個來源擷取安全性記錄。 這些來源包括來自次要租使用者中 Azure 資源的記錄、內部部署伺服器，以及次要租用戶中擁有和管理的網路設備。 在次要租使用者中管理 Sentinel 和內部部署所涉及的活動包括：

• 指派 Sentinel 角色 並設定 Azure Lighthouse 以授與主要租使用者安全性操作員的存取權
• 設定 Azure Resource Manager、適用於雲端的 Defender 和其他可用次要租用戶數據源的數據連接器，以Microsoft Sentinel
• 在次要租使用者 Azure 環境中建置活頁簿、筆記本、分析規則和安全性協調流程與回應 （SOAR）

適用於雲端的 Microsoft Defender。 適用於雲端的 Defender 會顯示 Azure、內部部署或其他雲端提供者中資源的安全性建議和警示。 您必須指派許可權以設定和管理 適用於雲端的 Defender。

指派權限。 您必須將許可權指派給主要租使用者中的安全性操作員。 如同 Sentinel，適用於雲端的 Defender 也會使用 Azure 角色。 您可以使用 Azure Lighthouse 將 Azure 角色指派給主要租使用者安全性操作員。 此設定可讓主要租使用者中的安全性操作員查看來自 適用於雲端的 Defender 的建議和警示，而不需切換目錄，或使用次要租使用者中的個別帳戶登入。

設定 適用於雲端的 Defender。 您必須啟用 適用於雲端的 Defender 和管理建議和警示。 針對連結至次要租使用者之訂用帳戶中的資源，開啟 增強的工作負載保護 。

適用於端點的 Microsoft Defender （MDE） 回應 （伺服器）。適用於伺服器的 Defender 是包含 MDE 之伺服器的 適用於雲端的 Defender 增強保護。

指派權限。 當您在次要租用戶中啟用適用於伺服器的Defender方案時， MDE擴充功能 會自動部署到 VM。 此 MDE 擴充功能會將伺服器上線至次要租使用者的 MDE 服務。

MDE 使用 Microsoft Defender 入口網站 和 許可權模型。 您必須使用外部身分識別（B2B 來賓）為主要租使用者中的安全性操作員提供 MDE 存取權。 將 MDE 角色指派給 Microsoft Entra 安全組，並將來賓新增為群組成員，以便他們可以 在伺服器上採取回應動作 。

設定 MDE。 您必須在次要租使用者 適用於端點的 Microsoft Defender 中設定和管理裝置群組和角色。

後續步驟

集中式安全性作業

相關連結

• 身分識別基本資訊
• 零信任設定
• 管理多租用戶作業