預先定義的分類
安全性暴露風險管理 針對包含裝置、身分識別和雲端資源的資產,提供預先定義的重要資產分類的現成目錄。
您可以 檢視和分類重要資產,並視需要開啟和關閉這些資產。
若要建議新的重要資產分類,請使用 [ 意見反應 ] 按鈕。
目前的資產類型為:
注意事項
我們也會利用從外部數據連接器擷取的重要性內容。 此內容會在預先定義的重要資產管理分類連結庫中顯示為分類。
裝置
| 分類 | 資產類型 | 預設重要性層級 | 描述 |
|---|---|---|---|
| Microsoft Entra ID Connect | 裝置 | 高 | Microsoft Entra ID Connect (先前稱為 AAD Connect) 伺服器負責將內部部署目錄數據和密碼同步至 Microsoft Entra ID 租使用者。 |
| ADCS | 裝置 | 高 | ADCS 伺服器可讓系統管理員完整實作公鑰基礎結構 (PKI) ,並發行可用來保護網路上多個資源的數字證書。 此外,ADCS 可用於各種安全性解決方案,例如 SSL 加密、使用者驗證和安全電子郵件。 |
| ADFS | 裝置 | 高 | ADFS 伺服器可讓使用者單一登錄存取跨組織界限的系統和應用程式。 它會使用宣告型訪問控制授權模型來維護應用程式安全性,並實作同盟身分識別。 |
| 備份 | 裝置 | 中 | 備份伺服器負責透過定期備份來保護數據,以確保數據保護和災害復原整備程度。 |
| 網域 管理員 裝置 | 裝置 | 高 | 網域系統管理員裝置是一或多個網域系統管理員經常登入的裝置。 這些裝置可能會儲存網域系統管理員所使用的相關檔案、文件和認證。 注意:我們會套用邏輯,根據多個因素來識別屬於系統管理員的裝置,包括頻繁使用系統管理工具。 |
| 域控制器 | 裝置 | 非常高 | 域控制器伺服器負責對Active Directory網域內的網路資源進行使用者驗證、授權和集中式管理。 |
| DNS | 裝置 | 低 | DNS 伺服器對於將功能變數名稱解析為IP位址、啟用網路通訊以及從內部和外部存取資源而言是不可或缺的。 |
| Exchange | 裝置 | 中 | Exchange Server 負責組織內的所有郵件流量。 根據設定和架構,每部伺服器可能會保存數個儲存高度敏感性組織資訊的郵件資料庫。 |
| IT 管理員 裝置 | 裝置 | 中 | 用來設定、管理及監視組織內資產的重要裝置,對於IT系統管理而言非常重要,而且具有網路威脅的高風險。 它們需要最上層安全性,以防止未經授權的存取。 注意:我們會套用邏輯,根據多個因素來識別屬於系統管理員的裝置,包括頻繁使用系統管理工具。 |
| 網路 管理員 裝置 | 裝置 | 中 | 用來設定、管理及監視組織內網路資產的重要裝置,對於網路管理至關重要,而且具有網路威脅的高風險。 它們需要最上層安全性,以防止未經授權的存取。 注意:我們會套用邏輯,根據多個因素來識別屬於系統管理員的裝置,包括頻繁使用系統管理工具。 |
| VMware ESXi | 裝置 | 高 | VMware ESXi Hypervisor 對於在基礎結構內執行和管理虛擬機而言是不可或缺的。 作為裸機 Hypervisor,它提供建立和管理虛擬資源的基礎。 |
| VMware vCenter | 裝置 | 高 | VMware vCenter Server 對於管理虛擬環境非常重要。 它提供虛擬機和ESXi主機的集中式管理。 如果失敗,可能會中斷虛擬基礎結構的管理和控制,包括布建、移轉、虛擬機的負載平衡,以及數據中心自動化。 不過,由於通常會有備援 vCenter Server 和高可用性設定,因此可能不會立即停止所有作業。 其失敗仍然可能會造成嚴重的不便和潛在的效能問題 |
| Hyper-V Server | 裝置 | 高 | Hyper-V Hypervisor 對於在基礎結構內執行和管理虛擬機而言非常重要,可作為其建立和管理的核心平臺。 如果 Hyper-V 主機失敗,可能會導致託管虛擬機無法使用,而可能導致停機並中斷商務作業。 此外,這可能會導致效能大幅降低和作業挑戰。 因此,確保 Hyper-V 主機的可靠性和穩定性對於在虛擬環境中維持順暢的作業非常重要。 |
身分識別
| 分類 | 資產類型 | 預設重要性層級 | 描述 |
|---|---|---|---|
| 具有特殊許可權角色的身分識別 | 身分識別 | 高 | 下列身分識別 (使用者、群組、服務主體或受控識別) 在訂用帳戶範圍具有指派的內建或自定義特殊許可權 Azure RBAC 角色,其中包含重要資源。 此角色可以包含 Azure 角色指派的許可權、修改 Azure 原則、使用執行命令在 VM 上執行腳本、記憶體帳戶和密鑰保存庫的讀取許可權等等。 |
| 應用程式系統管理員 | 身分識別 | 非常高 | 此角色中的身分識別可以建立和管理企業應用程式、應用程式註冊和應用程式 Proxy 設定的所有層面。 |
| 應用程式開發人員 | 身分識別 | 高 | 此角色中的身分識別可以建立與 [用戶可以註冊應用程式] 設定無關的應用程式註冊。 |
| 驗證管理員 | 身分識別 | 非常高 | 此角色中的身分識別可以設定及重設驗證方法 (包括非系統管理員用戶的密碼) 。 |
| Backup Operators | 身分識別 | 非常高 | 不論保護這些檔案的許可權為何,此角色中的身分識別都可以備份和還原計算機上的所有檔案。 備份操作員也可以登入並關閉計算機,並且可以在域控制器上執行備份和還原作業。 |
| 伺服器操作員 | 身分識別 | 非常高 | 此角色中的身分識別可以管理域控制器。 伺服器操作員群組的成員可以採取下列動作:以互動方式登入伺服器、建立和刪除網路共用資源、啟動和停止服務、備份和還原檔案、格式化計算機的硬碟,以及關閉計算機。 |
| B2C IEF 金鑰集管理員 | 身分識別 | 高 | 此角色中的身分識別可以在身分識別體驗架構 (IEF) 中管理同盟和加密的秘密。 |
| 雲端應用程式系統管理員 | 身分識別 | 非常高 | 此角色中的身分識別可以建立和管理應用程式註冊和企業應用程式的所有層面,但應用程式 Proxy 除外。 |
| 雲端裝置系統管理員 | 身分識別 | 高 | 此角色中的身分識別在 Microsoft Entra ID 中管理裝置的存取權有限。 它們可以在 Microsoft Entra ID 中啟用、停用和刪除裝置,並在 Azure 入口網站 中顯示) 時讀取 Windows 10 BitLocker 金鑰 (。 |
| 條件式存取系統管理員 | 身分識別 | 高 | 此角色中的身分識別能夠管理 Microsoft Entra 條件式存取設定。 |
| 目錄同步處理帳戶 | 身分識別 | 非常高 | 此角色中的身分識別能夠管理所有目錄同步處理設定。 只應該由 Microsoft Entra Connect 服務使用。 |
| 目錄作者 | 身分識別 | 高 | 此角色中的身分識別可以讀取和寫入基本目錄資訊。 用於授與應用程式的存取權,不適用於使用者。 |
| 網域系統管理員 | 身分識別 | 非常高 | 此角色中的身分識別有權管理網域。 根據預設,Domain Admins 群組是所有已加入網域之計算機上 Administrators 群組的成員,包括域控制器。 |
| 企業系統管理員 | 身分識別 | 非常高 | 此角色中的身分識別具有設定所有域控制器的完整存取權。 此群組中的成員可以修改所有系統管理群組的成員資格。 |
| 全域管理員 | 身分識別 | 非常高 | 此角色中的身分識別可以管理使用 Microsoft Entra 身分識別的 Microsoft Entra ID 和Microsoft服務的所有層面。 |
| 全域讀取者 | 身分識別 | 高 | 此角色中的身分識別可以讀取全域管理員可以讀取的所有專案,但無法更新任何專案。 |
| 服務台系統管理員 | 身分識別 | 非常高 | 此角色中的身分識別可以重設非系統管理員和技術服務人員系統管理員的密碼。 |
| 混合式身分識別系統管理員 | 身分識別 | 非常高 | 此角色中的身分識別可以管理 Active Directory 以 Microsoft Entra 雲端布建、Microsoft Entra 聯機、傳遞驗證 (PTA) 、密碼哈希同步 (PHS) 、無縫單一登錄 (無縫 SSO) 和同盟設定。 |
| Intune 系統管理員 | 身分識別 | 非常高 | 此角色中的身分識別可以管理 Intune產品的所有層面。 |
| 合作夥伴第 1 層支援 | 身分識別 | 非常高 | 此角色中的身分識別可以重設非系統管理員用戶的密碼、更新應用程式的認證、建立和刪除使用者,以及建立OAuth2許可權授與。 此角色已被取代,未來將會從 Microsoft Entra ID 中移除。 請勿使用 - 不適用於一般用途。 |
| 合作夥伴第 2 層支援 | 身分識別 | 非常高 | 此角色中的身分識別可以重設所有用戶的密碼, (包括全域管理員) 、更新應用程式的認證、建立和刪除使用者,以及建立OAuth2許可權授與。 此角色已被取代,未來將會從 Microsoft Entra ID 中移除。 請勿使用 - 不適用於一般用途。 |
| 密碼管理員 | 身分識別 | 非常高 | 此角色中的身分識別可以重設非系統管理員和密碼管理員的密碼。 |
| 特殊許可權驗證系統管理員 | 身分識別 | 非常高 | 此角色中的身分識別可以檢視、設定及重設任何使用者 (系統管理員或非系統管理員) 的驗證方法資訊。 |
| 特殊權限角色管理員 | 身分識別 | 非常高 | 此角色中的身分識別可以管理 Microsoft Entra ID 中的角色指派,以及 Privileged Identity Management 的所有層面。 |
| 安全性系統管理員 | 身分識別 | 高 | 此角色中的身分識別可以讀取安全性資訊和報告,以及管理 Microsoft Entra ID 和 Office 365 中的設定。 |
| 安全性操作員 | 身分識別 | 高 | 此角色中的身分識別可以建立和管理安全性事件。 |
| 安全性讀取者 | 身分識別 | 高 | 此角色中的身分識別可以讀取 Microsoft Entra ID 和 Office 365 中的安全性資訊和報告。 |
| 用戶系統管理員 | 身分識別 | 非常高 | 此角色中的身分識別可以管理使用者和群組的所有層面,包括為有限的系統管理員重設密碼。 |
| Exchange 系統管理員 | 身分識別 | 高 | 此角色中的身分識別可以管理 Exchange 產品的所有層面。 |
| Sharepoint 系統管理員 | 身分識別 | 高 | 此角色中的身分識別可以管理 SharePoint 服務的所有層面。 |
| 合規性系統管理員 | 身分識別 | 高 | 此角色中的身分識別可以在 Microsoft Entra ID 和 Microsoft 365 中讀取和管理合規性設定和報告。 |
| 群組 系統管理員 | 身分識別 | 高 | 此角色中的身分識別可以建立/管理群組和群組設定,例如命名和到期原則,以及檢視群組活動和稽核報告。 |
| 外部識別提供者系統管理員 | 身分識別 | 非常高 | 此角色中的身分識別可以設定身分識別提供者以用於直接同盟。 |
| 功能變數名稱系統管理員 | 身分識別 | 非常高 | 此角色中的身分識別可以管理雲端和內部部署中的功能變數名稱。 |
| 權限管理系統管理員 | 身分識別 | 非常高 | 此角色中的身分識別可以管理 Microsoft Entra 權限管理 (EPM) 的所有層面。 |
| 計費管理員 | 身分識別 | 高 | 此角色中的身分識別可以執行常見的計費相關工作,例如更新付款資訊。 |
| 授權系統管理員 | 身分識別 | 高 | 此角色中的身分識別可以管理使用者和群組上的產品授權。 |
| Teams 系統管理員 | 身分識別 | 高 | 此角色中的身分識別可以管理Microsoft Teams 服務。 |
| 外部 ID 使用者流程管理員 | 身分識別 | 高 | 此角色中的身分識別可以建立和管理使用者流程的所有層面。 |
| 外部 ID 使用者流程屬性管理員 | 身分識別 | 高 | 此角色中的身分識別可以建立和管理可供所有使用者流程使用的屬性架構。 |
| B2C IEF 原則管理員 | 身分識別 | 高 | 此角色中的身分識別可以在身分識別體驗架構 (IEF) 中建立和管理信任架構原則。 |
| 合規性資料系統管理員 | 身分識別 | 高 | 此角色中的身分識別可以建立和管理合規性內容。 |
| 驗證原則管理員 | 身分識別 | 高 | 此角色中的身分識別可以建立和管理驗證方法原則、全租使用者 MFA 設定、密碼保護原則,以及可驗證的認證。 |
| 知識系統管理員 | 身分識別 | 高 | 此角色中的身分識別可以設定知識、學習和其他智慧型手機功能。 |
| 知識管理員 | 身分識別 | 高 | 此角色中的身分識別可以組織、建立、管理及提升主題和知識。 |
| 屬性定義管理員 | 身分識別 | 高 | 此角色中的身分識別可以定義和管理自定義安全性屬性的定義。 |
| 屬性指派管理員 | 身分識別 | 高 | 此角色中的身分識別可以將自定義安全性屬性索引鍵和值指派給支援的 Microsoft Entra 物件。 |
| 身分識別控管管理員 | 身分識別 | 高 | 此角色中的身分識別可以使用 Microsoft Entra ID 來管理身分識別控管案例的存取權。 |
| 雲端 App 安全性 系統管理員 | 身分識別 | 高 | 此角色中的身分識別可以管理 Defender for Cloud Apps產品的所有層面。 |
| Windows 365系統管理員 | 身分識別 | 高 | 此角色中的身分識別可以布建和管理雲端電腦的所有層面。 |
| Yammer 系統管理員 | 身分識別 | 高 | 此角色中的身分識別可以管理 Yammer 服務的所有層面。 |
| 驗證擴充性系統管理員 | 身分識別 | 高 | 此角色中的身分識別可以藉由建立和管理自定義驗證延伸模組,來自定義使用者的登入和註冊體驗。 |
| 生命週期工作流程系統管理員 | 身分識別 | 高 | 此角色中的身分識別會在 Microsoft Entra ID 中建立和管理與生命週期工作流程相關聯之工作流程和工作的所有層面。 |
雲端資源
| 分類 | 資產類型 | 預設重要性層級 | 描述 |
|---|---|---|---|
| 具有敏感數據的資料庫 | 雲端資源 | 高 | 這是包含敏感數據的數據存放區。 數據的敏感度範圍包括秘密、機密文件、個人標識資訊等等。 |
| 機密 Azure 虛擬機 | 雲端資源 | 高 | 此規則適用於 Azure 機密虛擬機。 機密 VM 提供更高的隔離、隱私權和加密,並用於重要或高度敏感的數據和工作負載。 |
| 鎖定的 Azure 虛擬機 | 雲端資源 | 中 | 這是受到鎖定保護的虛擬機。 鎖定可用來保護資產免於刪除和修改。 通常,系統管理員會使用鎖定來保護其環境中的重要雲端資產,並防止意外刪除和未經授權的修改。 |
| 具有高可用性和效能的 Azure 虛擬機 | 雲端資源 | 低 | 此規則適用於使用進階 Azure 記憶體並設定可用性設定組的 Azure 虛擬機。 進階記憶體用於具有高效能需求的機器,例如生產工作負載。 可用性設定組可改善復原能力,而且通常會針對需要高可用性的業務關鍵 VM 指出。 |
| 不可變的 Azure 記憶體 | 雲端資源 | 中 | 此規則適用於已啟用不變性支援的 Azure 記憶體帳戶。 不變性會在讀取許多 (WORM) 狀態后,將商務數據儲存在寫入中,而且通常表示記憶體帳戶會保存必須受到保護才能進行修改的重要或敏感數據。 |
| 固定和鎖定的 Azure 記憶體 | 雲端資源 | 高 | 此規則適用於已使用鎖定原則啟用不變性支援的 Azure 記憶體帳戶。 不變性會將商務數據儲存在寫入中,一旦讀取許多 (WORM) 。 系統會使用鎖定原則來增加數據保護,以確保無法刪除資料或縮短其保留時間。 這些設定通常表示記憶體帳戶會保存必須保護免於修改或刪除的重要或敏感數據。 數據可能也需要與數據保護的合規性政策一致。 |
| 具有重要使用者登入的 Azure 虛擬機 | 雲端資源 | 高 | 此規則適用於受適用於端點的 Defender 保護的虛擬機,其中具有高或極高重要性層級的使用者已登入。 登入的使用者可以透過已加入或已註冊的裝置、使用中的瀏覽器會話或其他方式。 |
| 具有許多已聯機身分識別的 Azure Key Vault | 雲端資源 | 高 | 相較於其他 Key Vault,此規則會識別可由大量身分識別存取的 Key Vault。 這通常表示重要工作負載會使用 金鑰保存庫,例如生產服務。 |
| 鎖定 Azure Kubernetes Service 叢集 | 雲端資源 | 低 | 這是受鎖定保護的 Azure Kubernetes Service 叢集。 鎖定可用來保護資產免於刪除和修改。 通常,系統管理員會使用鎖定來保護其環境中的重要雲端資產,並防止意外刪除和未經授權的修改。 |
| 進階層 Azure Kubernetes Service 叢集 | 雲端資源 | 高 | 此規則適用於具有進階層叢集管理 Azure Kubernetes Service 叢集。 建議使用進階層來執行需要高可用性和可靠性的生產或任務關鍵性工作負載。 |
| Azure Kubernetes Service 具有多個節點的叢集 | 雲端資源 | 高 | 此規則適用於 Azure Kubernetes Service 具有大量節點的叢集。 這通常表示叢集用於重要工作負載,例如生產工作負載。 |
| 具有多個節點的 Azure Arc Kubernetes 叢集 | 雲端資源 | 高 | 此規則適用於具有大量節點的 Azure Arc Kubernetes 叢集。 這通常表示叢集用於重要工作負載,例如生產工作負載。 |