Azure 身分識別管理安全性概觀
身分識別管理即為驗證與授權安全性主體的流程。 這也涉及控制這些主體 (身分識別) 的資訊。 安全性主體 (身分識別) 可能包括服務、應用程式、使用者、群組等。Microsoft 身分識別與存取管理解決方案可協助 IT 保護跨公司資料中心及在雲端中的應用程式與資源存取。 這種保護機制能啟用額外的驗證層級,例如,多重要素驗證和條件式存取原則。 透過進階的安全性報告、稽核和警示來監視可疑活動,有助於緩解潛在的安全性問題。 Microsoft Entra ID P1 或 P2 (部分機器翻譯) 可以提供數千個雲端軟體即服務 (SaaS) 應用程式的單一登入 (SSO) 及存取您在內部部署執行的 Web 應用程式。
善用 Microsoft Entra ID 的安全性優點,您便可以:
- 為您的混合式企業中的每個使用者建立和管理單一身分識別,讓使用者、群組和裝置保持同步。
- 提供您的應用程式 (包括數千個預先整合的 SaaS 應用程式) 的 SSO 存取。
- 透過同時對內部部署和雲端應用程式強制執行以規則為基礎的多重要素驗證,以啟用應用程式存取安全性。
- 透過 Microsoft Entra 應用程式 Proxy 佈建對內部部署 Web 應用程式的安全遠端存取。
本文的目的是對協助進行身分識別管理的 Azure 安全性功能提供核心的概觀。 我們也會提供文章的連結,更詳細說明每個功能,以讓您深入了解。
本文著重於下列核心 Azure 身分識別管理功能︰
- 單一登入
- 反向 proxy
- 多重要素驗證
- Azure 角色型存取控制 (Azure RBAC)
- 安全性監視、警示以及機器學習服務型報告
- 消費者身分識別與存取管理
- 裝置註冊
- Privileged identity management
- 身分識別保護
- 混合式身分識別管理/Azure AD connect
- Microsoft Entra 存取權檢閱
單一登入
單一登入 (SSO) 表示只要使用單一使用者帳戶登入,就能夠存取所有進行工作所需的應用程式和資源。 登入之後,您可以存取所有需要的應用程式,而不需要再驗證一次 (例如,輸入密碼)。
許多組織依賴 SaaS 應用程式,例如,Microsoft 365、Box 和 Salesforce 以提升使用者生產力。 在過去,IT 人員必須在每個 SaaS 應用程式中個別建立並更新使用者帳戶,使用者則必須記住每個 SaaS 應用程式的密碼。
Microsoft Entra ID 將內部部署的 Active Directory 環境延伸至雲端,讓使用者不只能夠使用主要的組織帳戶來登入已加入網域的裝置和公司資源,也能登入作業所需的所有 Web 和 SaaS 應用程式。
不只使用者不需要管理多組使用者名稱和密碼,還可根據自身的組織群組,以及其員工的狀態,自動佈建或解除佈建其應用程式的存取權。 Microsoft Entra ID 引進了安全性和存取治理控制措施,可讓您集中管理所有 SaaS 應用程式的使用者存取權。
深入了解:
反向 proxy
Microsoft Entra 應用程式 Proxy 可讓您在私人網路內發行應用程式 (例如 SharePoint 網站、Outlook Web App 和 IIS 應用程式),並提供網路外部使用者的安全存取。 應用程式 Proxy 不僅針對多種內部部署 Web 應用程式提供遠端存取與 SSO,同時還提供 Microsoft Entra ID 支援的數千個 SaaS 應用程式。 員工可以從家裡使用自己的裝置登入您的應用程式,還可透過這個雲端 Proxy 進行驗證。
深入了解:
- 啟用 Microsoft Entra 應用程式 Proxy (部分機器翻譯)
- 使用 Microsoft Entra 應用程式 Proxy 發佈應用程式 (部分機器翻譯)
- 使用應用程式 Proxy 進行單一登入
- 使用條件式存取
多重要素驗證
Microsoft Entra 多重要素驗證是一種驗證方法,需要使用多種驗證方法,並在使用者登入和交易中新增重要的第二層安全性。 多重要素驗證有助於保護對資料與應用程式的存取,同時滿足使用者對簡單登入流程的需求。 它可以透過一些驗證選項:例如電話、文字訊息,或行動應用程式通知或驗證代碼,以及第三方 OAuth 權杖,來提供強大的驗證功能。
深入了解:Microsoft Entra 多重要素驗證的運作方式 (部分機器翻譯)
Azure RBAC
Azure RBAC 是建置於 Azure Resource Manager 上的授權系統,可在 Azure 中提供更細緻的資源存取管理。 Azure RBAC 允許您能更精確地控制使用者擁有的存取範圍。 舉例來說,您可以限制讓一個使用者只能管理虛擬網路,而另一個使用者只能管理一個資源群組中的資源。 Azure 包含數個供您使用的內建角色。 以下列出四個基本內建角色。 前三個角色適用於所有資源類型。
- 擁有者 - 具有所有資源的完整存取權,包括將存取權委派給其他人的權限。
- 參與者 - 可以建立及管理所有類型的 Azure 資源,但是不能將存取權授與其他人。
- 讀者 - 可以檢視現有的 Azure 資源。
- 使用者存取系統管理員 - 讓您管理使用者對 Azure 資源的存取權。
深入了解:
安全性監視、警示以及機器學習服務型報告
安全性監視、警示以及機器學習式報告,會識別不一致的存取模式,可以協助您保護企業安全。 您可以使用 Microsoft Entra ID 的存取和使用情況報告來了解貴組織的目錄完整性和安全性。 利用此資訊,目錄管理員更能夠判斷可能發生安全性風險的位置,以便適當地規劃來減輕這些風險。
在 Azure 入口網站中,報告會按照下列類別加以區分:
- 異常報告:包含我們發現異常的登入事件。 我們的目標在於使您注意這類活動,並讓您決定事件是否可疑。
- 整合式應用程式報告:可供深入了解雲端應用程式在組織中的使用方式。 Microsoft Entra ID 提供與數千個雲端應用程式的整合。
- 錯誤報告:指出將帳戶佈建至外部應用程式時可能發生的錯誤。
- 使用者特定報告:顯示特定使用者的裝置登入活動資料。
- 活動記錄:包含過去 24 小時、過去 7 天或過去 30 天內所有稽核事件的記錄,以及群組活動變更、密碼重設和登錄活動。
深入了解:Microsoft Entra ID 報告指南 (部分機器翻譯)
消費者身分識別與存取管理
Azure AD B2C 是高可用性的全域身分識別管理服務,可用於處理數億個身分識別的消費者端應用程式。 此服務可跨行動及 Web 平台進行整合。 可自訂的使用經驗讓您的消費者可以使用其現有的社交帳戶,或是建立新的認證來登入您所有的應用程式。
在過去,應用程式開發人員若想要註冊並讓客戶登入其應用程式,他們會編寫自己的程式碼。 而且他們會使用內部部署資料庫或系統來儲存使用者名稱和密碼。 Azure AD B2C 為您的組織提供更理想的作法,透過安全且以標準為基礎的平台以及更大的可延伸原則組合,協助將取用者身分識別管理整合至應用程式。
當您使用 Azure AD B2C 時,您的取用者可以使用現有的社交帳戶 (Facebook、Google、Amazon、LinkedIn) 註冊應用程式,或是建立新的認證 (電子郵件地址與密碼,或使用者名稱與密碼)。
深入了解:
裝置註冊
Microsoft Entra 裝置註冊是裝置型條件式存取 (部分機器翻譯) 案例的基礎。 當裝置已註冊時,Microsoft Entra 裝置註冊會在使用者登入時,對裝置提供用來驗證裝置的身分識別。 然後,已驗證的裝置和裝置的屬性即可用來對裝載於雲端和內部部署的應用程式,強制執行條件式存取原則。
與 Intune 這類的行動裝置管理解決方案結合時,將會以裝置的其他相關資訊更新 Microsoft Entra ID 中的裝置屬性。 接著您就可以建立條件式存取規則,強制讓存取裝置符合安全性和合規性標準。
深入了解:
- 開始使用 Microsoft Entra 裝置註冊 (部分機器翻譯)
- 自動向 Microsoft Entra ID 註冊已加入網域的 Windows 裝置 (部分機器翻譯)
Privileged identity management
有了 Microsoft Entra Privileged Identity Management,您就能管理、控制和監視特殊權限身分識別,以及對 Microsoft Entra ID 和其他 Microsoft 線上服務 (例如 Microsoft 365 與 Microsoft Intune) 中之資源的存取。
使用者有時需要在 Azure 或 Microsoft 365 資源或其他 SaaS 應用程式中,執行使用權限的作業。 這類需求通常表示組織必須授與使用者永久的 Microsoft Entra ID 特殊權限存取權。 這種存取權會提高雲端資源的安全性風險,因為組織無法滴水不漏地監視這些使用者利用其管理員權限的所作所為。 此外,如果具特殊存取權限的使用者帳戶遭到入侵,這個缺口就會影響組織的整體雲端安全性。 Microsoft Entra Privileged Identity Management 有助於降低此風險。
透過 Microsoft Entra Privileged Identity Management,您可以:
- 查看哪些使用者是 Microsoft Entra 管理員。
- 視需要啟用 Microsoft 365 和 Intune 等 Microsoft 服務的 Just-In-Time (JIT) 系統管理存取權限。
- 取得有關系統管理員存取記錄與系統管理員指派變更的報告。
- 取得有關特殊權限角色存取的警示。
深入了解:
- Microsoft Entra Privileged Identity Management 是什麼? (部分機器翻譯)
- 在 PIM 中指派 Microsoft Entra 目錄角色 (部分機器翻譯)
身分識別保護
Microsoft Entra ID Protection 是一個安全性服務,可供合併檢視會影響組織身分識別的風險偵測和潛在弱點。 Identity Protection 會利用現有的 Microsoft Entra 異常偵測功能,這些功能可透過 Microsoft Entra 異常活動報告取得。 Identity Protection 也引進新的風險偵測類型,可即時偵測異常狀況。
深入了解:Microsoft Entra ID Protection (部分機器翻譯)
混合式身分識別管理 (Microsoft Entra Connect)
Microsoft 的身分識別解決方案可跨越內部部署和雲端架構功能,建立單一使用者身分識別以用於所有資源的驗證和授權,不論位於何處。 我們稱之為混合式身分識別。 Microsoft Entra Connect 是一種 Microsoft 工具,其設計目的是要符合並完成混合式身分識別的目標。 這可讓您為與 Microsoft Entra ID 整合之 Microsoft 365、Azure 和 SaaS 應用程式的使用者提供通用身分識別。 它提供下列功能:
- 同步處理
- AD FS 和同盟整合
- 通過驗證
- 健康狀況監視
深入了解:
Microsoft Entra 存取權檢閱
Microsoft Entra 存取權檢閱可讓組織有效率地管理群組成員資格、對企業應用程式的存取,以及特殊權限角色指派。
深入了解:Microsoft Entra 存取權檢閱 (部分機器翻譯)