Microsoft Entra 部署案例簡介

Microsoft Entra 部署案例提供如何結合及測試這些 Microsoft Entra Suite 產品的詳細指導:

• Microsoft Entra ID Protection
• Microsoft Entra ID 控管
• Microsoft Entra 驗證識別碼 (進階功能)
• Microsoft Entra 網際網路存取
• Microsoft Entra 私密存取

在每個指南中，我們會描述顯示 Microsoft Entra Suite 值及其功能如何一起運作的案例。

所有應用程式中的員工入職和來賓登錄、身分識別與存取生命週期管理

員工和來賓上線、身分識別和存取生命週期治理案例描述下列目標：

• 為遠端員工提供必要應用程式以及資源安全且順暢的存取權。
• 藉由提供外部使用者對相關應用程式和資源的存取權，與外部使用者共同作業。

逐步解決方案著重於 Microsoft Entra 驗證識別碼、Microsoft Entra ID 控管、Microsoft Entra ID Protection 和條件式存取 （CA）：

• Microsoft Entra 驗證識別碼用於發行和驗證遠端員工和外部使用者的數位身分識別證明。 數位錢包會儲存身分識別證明，以驗證應用程式和資源的存取權。 臉部檢查臉部辨識會使用認證儲存的圖片來驗證身分識別。
• Microsoft Entra ID 治理使用可驗證的認證來建立並授與存取套件。 用戶透過具有數位身分識別驗證的自助入口網站要求存取套件。 Microsoft Entra 帳戶會使用單一登錄和多重要素驗證來規範存取套件應用程式和資源的存取權。
• Microsoft Entra ID Protection 和條件式存取會監控並保護帳戶，防範風險登入和風險用戶行為。 訪問控制的強制執行取決於位置、裝置和風險層級。

將內部部署應用程式的遠端存取現代化，為每個應用程式設定多重驗證 (MFA)

透過 每個應用程式使用 MFA 的場景 描述將內部部署應用程式的遠端存取現代化的目標：

• 將現有的 VPN 升級至可調整的雲端式解決方案，以協助走向安全存取服務 Edge （SASE）。
• 解決商務應用程式存取依賴公司網路連線能力的問題。

逐步解決方案著重於 Microsoft Entra 私人存取、Microsoft Entra ID Protection 和 Microsoft Entra ID 控管：

• Microsoft Entra 私人存取 提供私人公司資源的安全存取。 它會建置在 Microsoft Entra 應用程式 Proxy 上，以擴充任何私人資源的存取，而不受 TCP/IP 埠和通訊協議的影響。 遠端使用者會從任何裝置和網路連線到私人應用程式，而不需要 VPN。 根據條件式存取原則，針對單一應用程式的自適性存取提供更精細的安全措施，並基於身分識別、端點和風險訊號進行調整。
• Microsoft Entra ID Protection 雲端式身分識別和存取管理 （IAM） 可保護使用者身分識別和認證免於入侵。
• Microsoft Entra ID 治理 強制執行最低許可權原則。 存取套件包括按應用程式提供的網路存取以及需要的應用程式，根據員工在其加入/調動/離職生命週期中的工作職能，提供公司網路存取權。

根據業務需求保護因特網存取

根據業務需求案例的安全因特網存取說明下列目標：

• 使用更多因特網訪問控制來增強現有的嚴格預設因特網存取原則。
• 允許使用者在我的存取中要求存取禁止的網站。 核准程序會將使用者新增至授與他們存取權的群組。 範例包括行銷部門存取社交網路網站，以及調查事件時，安全性部門存取高風險網際網路目的地。

逐步解決方案著重於 Microsoft Entra 網際網路存取、Microsoft Entra ID 控管、條件式存取和全域安全存取：

• 使用限制性基準原則建立安全性設定檔和網路內容篩選器原則，以封鎖所有使用者的特定網頁類別和網頁目的地。
• 為社交網路網站和高風險因特網目的地建立安全性配置檔和Web內容篩選原則。
• 使用 Microsoft Entra ID 治理來允許使用者申請存取套件的權限。
• 使用「Global Secure Access」安全性設定檔會話控制來建立和連結條件式存取原則。