本文介绍使用 Microsoft Entra 基于角色的访问控制 (Microsoft Entra RBAC) 的一些最佳做法。 这些最佳做法源自我们的 Microsoft Entra RBAC 经验和客户经验。 建议同时阅读确保 Microsoft Entra ID 中混合部署和云部署的特权访问安全性中的详细安全指南。
1. 应用最小权限原则
规划访问控制策略时,最佳做法是争取最小特权。 最小特权是指向管理员授予恰好完成其工作所需的权限。 向管理员分配角色时,需要考虑三个方面:一组特定的权限、在特定的范围内、在特定的时间段内。 即使最初似乎更方便操作,也应避免在更广泛的范围内分配更大的角色。 通过限制角色和范围,可以对在安全主体受到入侵的情况下会面临风险的具体资源进行限制。 Microsoft Entra RBAC 支持超过 65 个内置角色。 有用于管理目录对象(例如用户、组和应用程序)的 Microsoft Entra 角色,也有用于管理 Microsoft 365 服务(例如 Exchange、SharePoint 和 Intune)的 Microsoft Entra 角色。 为更好地了解 Microsoft Entra 内置角色,请参阅了解 Microsoft Entra ID 中的角色。 如果没有满足你的需求的内置角色,可以创建自己的自定义角色。
查找适当的角色
请按照以下步骤来帮助你找到合适的角色。
导航到 Entra ID>角色和管理员>所有角色。
使用“服务”筛选器缩小角色列表的范围。
请参阅 Microsoft Entra 内置角色文档。 与每个角色相关联的权限将一起列出,以提高可读性。 若要了解角色权限的结构和含义,请参阅如何理解角色权限。
请参阅按任务划分的最低特权角色文档。
2. 使用 Privileged Identity Management 授予实时访问权限
最小特权原则之一是应仅在必要时授予访问权限。 通过 Microsoft Entra Privileged Identity Management (PIM) 可以向管理员授予实时访问权限。 Microsoft 建议在 Microsoft Entra ID 中使用 PIM。 使用 PIM,用户可以符合 Microsoft Entra 角色的条件,然后在需要时激活该角色一段有限的时间。 该时间范围到期后,将自动删除特权访问。 还可以配置 PIM 设置,以在用户激活其角色分配或其他角色设置时要求审批、接收通知邮件。 向高特权角色添加新用户时,通知会发出警报。 有关详细信息,请参阅在 Privileged Identity Management 中配置 Microsoft Entra 角色设置。
3.为所有管理员帐户启用多重身份验证
根据我们的研究,如果你使用多重身份验证(MFA),你的帐户是 99.9% 不太可能受到损害。
可以使用两种方法为 Microsoft Entra 角色启用 MFA:
4. 配置定期访问评审以撤消一段时间后不再需要的权限
“访问评审”使组织能够定期评审管理员的访问权限,以确保只有正确的人员才能继续访问。 定期审核管理员至关重要,原因如下:
- 恶意参与者可能会入侵帐户。
- 人员在公司内移动团队。 如果不进行审核,随着时间推移,他们可能会累积不必要的访问权限。
Microsoft 建议使用访问评审来查找和移除不再需要的角色分配。 这有助于降低未经授权的或过度访问的风险,并维持合规性标准。
有关角色的访问评审的信息,请参阅在 PIM 中创建 Azure 资源和 Microsoft Entra 角色的访问评审。 有关分配了角色的组的访问评审的信息,请参阅在 Microsoft Entra ID 中创建组和应用程序的访问评审。
5. 将全局管理员的数量限制为少于 5
Microsoft 建议将全局管理员角色分配给组织中五个以下的人员,这是最佳做法。 全局管理员实质上拥有不受限制的权限,因此出于利益考虑,你有必要将攻击面保持在较低水平。 如前所述,所有这些帐户都应使用多重身份验证进行保护。
如果有 5 个或更多特权全局管理员角色分配,Microsoft Entra 概述页面上会显示“全局管理员”警报卡,以帮助你监视全局管理员角色分配。
默认情况下,当用户注册 Azure 云服务时,会创建一个 Microsoft Entra 租户,并为该用户分配全局管理员角色。 已分配有全局管理员角色的用户可以读取和修改 Microsoft Entra 组织中几乎每项管理设置。 除少数例外,全局管理员还可以读取和修改 Microsoft 365 组织中的所有配置设置。 全局管理员还可以提升其对读取数据的访问权限。
Microsoft 建议组织为两个仅限云的紧急访问帐户永久分配全局管理员角色。 这些帐户拥有极高的特权,不要将其分配给特定的个人。 这些帐户仅限于紧急或“破窗式”场景,在这种场景下,普通帐户无法使用,或者所有其他管理员被意外锁定。
6. 将特权角色分配数限制为少于 10
某些角色包括特权权限,例如更新凭据的功能。 由于这些角色可能会导致特权提升,因此应将这些特权角色分配的使用限制为组织中少于 10 个。 如果特权角色分配的数量超过 10 个,则会在“角色和管理员”页上显示警告。
可以通过查找 PRIVILEGED 标签来标识拥有特权的角色、权限和角色分配。 有关详细信息,请参阅 Microsoft Entra ID 中的特权角色和权限。
7.将组用于 Microsoft Entra 角色分配并委派角色分配
如果你有一个利用组的外部治理系统,应考虑将角色分配给 Microsoft Entra 组,而不是单个用户。 还可以在 PIM 中管理可接受角色分配的组,以确保这些特权组中不存在长期所有者或成员。 有关详细信息,请参阅用于组的 Privileged Identity Management (PIM)。
可以将所有者分配给角色可分配的组。 该所有者可决定要添加到组中或从组中删除的人员,因此可间接决定谁将获取角色分配。 通过这种方式,特权角色管理员可以通过使用组按角色委托角色管理。 有关详细信息,请参阅使用 Microsoft Entra 组来管理角色分配。
8.使用适用于组的 PIM 一次性激活多个角色
个人可能通过 PIM 担任 Microsoft Entra 角色,有五到六个合格任务。 他们必须单独激活每个角色,这会降低工作效率。 更糟糕的是,他们还可能为这些角色分配数十或数百个 Azure 资源,这会使问题更加严重。
在这种情况下,你应当使用适用于组的 Privileged Identity Management (PIM)。 为组创建一个 PIM,并授予其对多个角色(如 Microsoft Entra ID 和/或 Azure)的永久访问权限。 使该用户成为此组的合格成员或所有者。 只需激活一次,他们就可访问所有链接的资源。
9.将云原生帐户用于 Microsoft Entra 角色
避免将本地同步帐户用于 Microsoft Entra 角色分配。 如果本地帐户遭到入侵,则还可能会入侵 Microsoft Entra 资源。
10. 使用分层控件进行精细访问治理
Microsoft Entra ID提供了多种互补功能,可协同工作,帮助你在精细级别强制实施最低特权访问。 没有一项功能涵盖每个授权方案,因此,请根据组织的要求将这些控件合并到层中:
| 控件 | 它的作用是什么 | 何时使用它 |
|---|---|---|
| 管理单元 | 将角色分配的范围限定到用户、组或设备的特定子集。 | 在不授予租户范围权限的情况下,将管理委托给区域或部门管理员。 |
| 自定义角色 | 定义角色时,仅授予岗位职责所需的权限。 | 对于某项特定职责而言,内置角色要么过于宽泛,要么过于狭窄。 |
| Privileged Identity Management (PIM) | 授予即时、有时间限制且需经审批的角色激活权限。 | 消除特权角色(包括管理员和开发人员)用户的长期特权访问。 |
| 条件访问 | 评估实时信号(用户风险、设备符合性、位置、应用程序),以强制或阻止访问。 | 应用适应不断变化的风险条件的基于上下文的访问决策。 |
| 权利管理 | 使用自动请求、审批和过期工作流将资源捆绑到访问包中。 | 统一管理项目、团队或跨组织协作的大规模访问权限。 |
| 持续访问评估 (CAE) | 在两种情况下重新评估活动会话期间的访问:关键事件评估(例如帐户禁用、密码重置或管理令牌吊销)和条件访问策略评估(如网络位置更改)。 | 在近实时中强制实施策略更改,而不是等待令牌过期。 |
| 自定义安全属性结合Azure 基于属性的访问控制 (ABAC) | 使用业务属性标记用户和服务主体,然后根据角色分配的属性条件限制对受支持的Azure资源(当前Azure Blob 存储和Azure 队列存储数据操作)的访问。 | 将大量显式角色分配替换为单个属性条件分配,并针对清单和报告对数百个应用进行分类。 |
分层方法示例: 分配限定为管理单元的自定义角色,以便区域支持管理员只能重置其区域中用户的密码。 要求通过 PIM 激活,使角色具有时限且需经审批。 应用条件访问策略,该策略要求在管理员激活角色时要求符合设备和多重身份验证。 使用权利管理中的访问权限评审,定期确认管理员是否仍需要该分配。
注意
上表中控件的可用性取决于Microsoft Entra许可证层。 例如,自定义角色和条件访问需要 Microsoft Entra ID P1;而对于作用域限定到管理单元的管理员,管理单元需要 Microsoft Entra ID P1(创建和基本成员身份功能可通过 Microsoft Entra ID Free 提供)。 Privileged Identity Management 需要 Microsoft Entra ID P2 或 Microsoft Entra ID 治理,而授权管理和访问评审需要 Microsoft Entra ID 治理 或 Microsoft Entra 套件(某些功能可通过 Microsoft Entra ID P2 运行)。 持续访问评估中的关键事件评估在所有租户中均可用;而条件访问策略评估这一部分则取决于条件访问,而后者需要 Microsoft Entra ID P1。 若要比较每个层中包含的内容,请参阅 Microsoft Entra 计划和定价。
若要审核这些分层控件授予的内容,请参阅 了解谁有权访问哪些内容。
有关设计最小特权访问策略的详细信息,请参阅 Microsoft Entra ID 中适用于混合和云部署的特权访问安全保护。