從錯誤設定中復原
Microsoft Entra ID 中的組態設定可透過目標或全租用戶管理動作,影響 Microsoft Entra 租用戶中的任何資源。
何謂設定?
設定是 Microsoft Entra ID 中的任何變更,這些變更會改變 Microsoft Entra 服務或功能的行為或功能。 例如,在設定條件式存取原則時,您就會更改可存取目標應用程式的人員和在何種條件下存取的人員。
您必須了解對組織而言很重要的設定項目。 下列設定會高度影響您的安全性狀態。
全租用戶設定
外部身分識別:租用戶的管理員會識別及控制可在租用戶中佈建的外部身分識別。 他們會決定:
- 是否允許租用戶中有外部身分識別。
- 可從哪些網域新增外部身分識別。
- 使用者是否可以邀請其他租用戶的使用者。
具名位置:系統管理員可以建立具名位置,以便用來:
- 封鎖來自特定位置的登入。
- 觸發像是多重要素驗證的條件式存取原則。
允許的驗證方法:管理員會設定允許租用戶使用的驗證方法。
自助式選項:管理員會設定自助選項 (例如自助式密碼重設),並在租用戶層級建立 Office 365 群組。
您可以限制某些全租用戶設定的實作範圍,前提是全域原則並未覆寫這些設定。 例如:
- 如果將租用戶設定為允許外部身分識別,資源管理員仍然可以排除這些身分識別,使其無法存取資源。
- 如果將租用戶設定為允許註冊個人裝置,資源管理員可以排除這些裝置,使其無法存取特定資源。
- 如果已設定具名位置,資源管理員可以設定原則,以允許或排除來自這些位置的存取。
條件式存取設定
條件式存取原則是存取控制設定,可結合各種訊號以做出決策,並強制執行組織原則。
若要深入了解條件式存取原則,請參閱什麼是 Microsoft Entra ID 中的條件式存取?。
注意
雖然設定會改變物件或原則的行為或能力,但對於物件的變更並非全都是設定。 您可以變更與某個項目相關聯的資料或屬性,例如變更使用者的地址,而不會影響該使用者物件的能力。
什麼是錯誤設定?
錯誤設定意指資源或原則的設定偏離組織的原則或計畫,而會造成非預期或不必要的結果。
整個租用戶的設定或條件式存取原則若錯誤設定,可能會藉由下列方式嚴重影響您的安全性和組織的公眾形象:
變更管理員、租用戶使用者和外部使用者與租用戶中資源進行互動的方式:
- 不必要地限制對資源的存取。
- 對敏感性資源採取鬆散的存取控制。
變更您的使用者與其他租用戶互動的能力,以及外部使用者與您的租用戶互動的能力。
造成拒絕服務,例如,不允許客戶存取其帳戶。
破化資料、系統和應用程式之間的相依性,導致商務程序失敗。
何時會發生錯誤設定?
有下列情況時,最有可能發生錯誤設定:
- 在臨機操作變更期間犯錯。
- 因為練習疑難排解而犯錯。
- 動作是由不良執行者以惡意意圖執行。
防止錯誤設定
若要變更 Microsoft Entra 租用戶的預期設定,就一定要透過健全的變更管理程序來進行,包括:
- 記錄變更,包括變更前的狀態和預期的變更後狀態。
- 使用 Privileged Identity Management (PIM),確保意圖進行變更的管理員必須特地提升其權限才能這麼做。 若要深入了解 PIM,請參閱什麼是 Privileged Identity Management?。
- 針對變更使用強式核准工作流程,例如,要求核准 PIM 提升權限。
監視設定變更
雖然您想要防止錯誤設定,但也不要將變更門檻設得太高,以免影響管理員,使其無法有效率地執行工作。
請監看 Microsoft Entra 稽核記錄中的下列作業,以密切監視設定變更:
- 加
- 建立
- 更新
- 設定
- 刪除
下表包含您可以在稽核記錄中尋找的參考項目。
條件式存取和驗證方法的設定變更
條件式存取原則會建立在 Azure 入口網站中的 [條件式存取] 頁面上。 原則的變更則會在原則的 [條件式存取原則詳細資料] 頁面中進行。
| 篩選服務 | 活動 | 可能的影響 |
|---|---|---|
| 條件式存取 | 新增、更新或刪除條件式存取原則 | 會不正確地授與或封鎖使用者存取。 |
| 條件式存取 | 新增、更新或刪除具名位置 | 條件式存取原則所取用的網路位置未如預期般設定,這會在條件式存取原則條件中產生差距。 |
| 驗證方法 | 更新驗證方法原則 | 使用者可以使用較弱的驗證方法,或無法使用應該使用的方法。 |
使用者和密碼重設的設定變更
使用者設定的變更會在 Azure 入口網站的 [使用者設定] 頁面中進行。 密碼重設的變更則會在 [密碼重設] 頁面上進行。 在這些頁面上所做的變更會擷取到稽核記錄中,如下表所述。
| 篩選服務 | 活動 | 可能的影響 |
|---|---|---|
| 核心目錄 | 更新公司設定 | 使用者可以或不可以註冊應用程式 (與原訂目的相反)。 |
| 核心目錄 | 設定公司資訊 | 使用者不一定可以存取 Microsoft Entra 管理入口網站 (與原訂目的相反)。 登入頁面未呈現公司品牌,而可能導致商譽受損。 |
| 核心目錄 | 活動:更新了服務主體 目標:0365 LinkedIn 連線 |
使用者不一定可以將其 Microsoft Entra 帳戶與 LinkedIn 連結 (與原訂目的相反)。 |
| 自助式群組管理 | 更新 MyApps 功能值 | 使用者可以或不可以使用使用者功能 (與原訂目的相反)。 |
| 自助式群組管理 | 更新 ConvergedUXV2 功能值 | 使用者可以或不可以使用使用者功能 (與原訂目的相反)。 |
| 自助式群組管理 | 更新 MyStaff 功能值 | 使用者可以或不可以使用使用者功能 (與原訂目的相反)。 |
| 核心目錄 | 活動:更新服務主體 目標:Microsoft 密碼重設服務 |
使用者可以或不可以重設其密碼 (與原訂目的相反)。 使用者需要或不需要註冊自助式密碼重設 (與原訂目的相反)。 使用者可以使用未核准的方法重設其密碼,例如使用安全性問題。 |
外部身分識別的設定變更
您可以在 Azure 入口網站的 [外部身分識別] 或 [外部共同作業設定] 頁面上變更這些設定。
| 篩選服務 | 活動 | 可能的影響 |
|---|---|---|
| 核心目錄 | 在跨租用戶存取設定中新增、更新或刪除合作夥伴 | 使用者可以向外存取租用戶,但應加以封鎖。 應加以封鎖的外部租用戶使用者能夠向內存取。 |
| B2C | 建立或刪除識別提供者 | 應該能夠共同作業的使用者,其識別提供者遺失,導致這些使用者的存取遭到封鎖。 |
| 核心目錄 | 在租用戶上設定目錄功能 | 外部使用者對於目錄物件的可見性超過或低於預期的程度。 外部使用者可以或不可以邀請其他外部使用者加入您的租用戶 (與原訂目的相反)。 |
| 核心目錄 | 設定網域的同盟設定 | 外部使用者邀請可以或不可以傳送給其他租用戶中的使用者 (與原訂目的相反)。 |
| AuthorizationPolicy | 更新授權原則 | 外部使用者邀請可以或不可以傳送給其他租用戶中的使用者 (與原訂目的相反)。 |
| 核心目錄 | 更新原則 | 外部使用者邀請可以或不可以傳送給其他租用戶中的使用者 (與原訂目的相反)。 |
自訂角色和行動定義的設定變更
| 篩選服務 | 活動/入口網站 | 可能的影響 |
|---|---|---|
| 核心目錄 | 新增角色定義 | 自訂角色範圍小於或大於預期大小。 |
| PIM | 更新角色設定 | 自訂角色範圍小於或大於預期大小。 |
| 核心目錄 | 更新角色定義 | 自訂角色範圍小於或大於預期大小。 |
| 核心目錄 | 刪除角色定義 | 遺失自訂角色。 |
| 核心目錄 | 新增委派權限授與 | 行動裝置管理或行動應用程式管理的設定遺失或設定錯誤,導致無法管理裝置或應用程式。 |
稽核記錄詳細資料檢視
在稽核記錄中選取一些稽核項目,您就會看到舊有和全新設定值的詳細資料。 例如,如果是條件式存取原則的設定變更,則會看到下列螢幕擷取畫面中的資訊。
使用活頁簿來追蹤變更
Azure 監視器活頁簿可協助您監視設定變更。
敏感性作業報告活頁簿有助於識別可能表示有入侵現象的可疑應用程式與服務主體活動,包括:
- 已修改的應用程式/服務主體認證或驗證方法。
- 授與服務主體的新權限。
- 服務主體的目錄角色和群組成員資格更新。
- 已修改的同盟設定。
跨租用戶存取活動活頁簿可協助您視使用者正在存取外部租用戶中的哪些應用程式,以及外部使用者正在存取租用戶中的哪些應用程式。 請使用此活頁簿,跨租用戶尋找輸入或輸出應用程式存取中的異常變更。