Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
在Microsoft Entra中,我们将安全建议分组为基于安全未来计划(SFI)的多个主题。 此结构允许组织以逻辑方式将项目分解成相关的易耗品区块。
Tip
一些组织可能会按照书面说明采取这些建议,而另一些组织可能选择根据自己的业务需求进行修改。 在本指南的初始版本中,我们将重点介绍传统的 劳动力租户。 这些员工租户适用于员工、内部业务应用和其他组织资源。
建议在可用许可证的情况下实现以下所有控制措施。 这些模式和做法有助于为基于此解决方案构建的其他资源提供基础。 随着时间推移,将向本文档添加更多控件。
自动评估
针对租户配置手动检查本指南可能非常耗时且容易出错。 Zero Trust评估通过自动化转换此过程,以测试这些安全配置项目等。 在
保护标识和机密
通过实施新式标识标准来降低凭据相关风险。
| 检查 | 所需的最低许可证 |
|---|---|
| 应用程序未配置客户端机密 | 无(包括Microsoft Entra ID) |
| 服务主体没有与其关联的证书或凭据 | 无(包括Microsoft Entra ID) |
| 应用程序没有过期时间超过 180 天的证书 | 无(包括Microsoft Entra ID) |
| 应用程序证书必须定期轮换 | 无(包括Microsoft Entra ID) |
| 强制实施应用机密和证书的标准 | 无(包括Microsoft Entra ID) |
| Microsoft服务应用程序未配置凭据 | 无(包括Microsoft Entra ID) |
| 用户同意设置受到限制 | 无(包括Microsoft Entra ID) |
| 已启用管理员同意工作流 | 无(包括Microsoft Entra ID) |
| 高Global Administrator特权用户比率 | 无(包括Microsoft Entra ID) |
| 管理特权受到严格限制,以防止泄露 | Microsoft Entra ID P1 |
| 特权帐户是云本机标识 | 无(包括Microsoft Entra ID) |
| 所有特权角色分配都实时激活,不会永久处于活动状态 | Microsoft Entra ID P2 |
| PIM 管理所有特权角色分配Microsoft Entra | Microsoft Entra ID P2 |
| 已启用 Passkey 身份验证方法 | 无(包括Microsoft Entra ID) |
| 强制实施安全密钥证明 | 无(包括Microsoft Entra ID) |
| 特权帐户注册了防钓鱼方法 | Microsoft Entra ID P1 |
| 特权Microsoft Entra内置角色以条件访问策略为目标,以强制实施防钓鱼方法 | Microsoft Entra ID P1 |
| 常规Access策略对专用应用强制实施强身份验证 | 适用于 Microsoft Entra ID P2 的 Microsoft Entra Suite 加载项 |
| 需要管理员角色的密码重置通知 | Microsoft Entra ID P1 |
| 配置了阻止旧式身份验证策略 | Microsoft Entra ID P1 |
| 已启用 Temporary access pass | Microsoft Entra ID P1 |
| Restrict 临时Access传递到单一使用 | Microsoft Entra ID P1 |
| 从旧 MFA 和 SSPR 策略迁移 | Microsoft Entra ID P1 |
| 阻止管理员使用 SSPR | Microsoft Entra ID P1 |
| 自助密码重置不使用安全问题 | Microsoft Entra ID P1 |
| 禁用短信和语音呼叫身份验证方法 | Microsoft Entra ID P1 |
| 保护 MFA 注册(我的安全信息)页 | Microsoft Entra ID P1 |
| 使用云身份验证 | Microsoft Entra ID P1 |
| 所有用户都需要注册 MFA | Microsoft Entra ID P2 |
| 用户配置了强身份验证方法 | Microsoft Entra ID P1 |
| 用户登录活动使用令牌保护 | Microsoft Entra ID P1 |
| 所有用户登录活动都使用防钓鱼身份验证方法 | Microsoft Entra ID P1 |
| 所有登录活动都来自托管设备 | Microsoft Entra ID P1 |
| 已启用安全密钥身份验证方法 | 无(包括Microsoft Entra ID) |
| 未将特权角色分配给过时的标识 | Microsoft Entra ID P2 |
| Microsoft Authenticator应用显示登录上下文 | Microsoft Entra ID P1 |
| 已启用Microsoft Authenticator应用报告可疑活动设置 | Microsoft Entra ID P1 |
| 密码过期已禁用 | Microsoft Entra ID P1 |
| 智能锁定阈值设置为 10 或更少 | Microsoft Entra ID P1 |
| 智能锁定持续时间设置为至少 60 | Microsoft Entra ID P1 |
| 将组织术语添加到禁止的密码列表中 | Microsoft Entra ID P1 |
| 要求使用用户作对设备加入和设备注册进行多重身份验证 | Microsoft Entra ID P1 |
| 本地管理员密码解决方案已部署 | Microsoft Entra ID P1 |
| Entra Connect Sync 配置了服务主体凭据 | 无(包括Microsoft Entra ID) |
| 租户中未使用 ADAL | 无(包括Microsoft Entra ID) |
| 阻止旧版 Azure AD PowerShell 模块 | 无(包括Microsoft Entra ID) |
| 免费租户的可用Microsoft Entra ID安全默认值 | 无(包括Microsoft Entra ID) |
保护租户并隔离生产系统
| 检查 | 所需的最低许可证 |
|---|---|
| 创建新租户的权限仅限于租户创建者角色 | 无(包括Microsoft Entra ID) |
| 保护条件Access策略创建和更改的受保护作 | Microsoft Entra ID P1 |
| Guest access仅限于已批准的租户 | 免费Microsoft Entra ID |
| 来宾未分配高特权目录角色 | 免费Microsoft Entra ID 为 PIM Microsoft Entra ID P2 或 Microsoft ID 治理 |
| 来宾无法邀请其他来宾 | 免费Microsoft Entra ID |
| 限制对目录对象的access | 免费Microsoft Entra ID |
| 为所有多租户应用程序配置应用实例属性锁 | 免费Microsoft Entra ID |
| 来宾没有长时间的登录会话 | Microsoft Entra ID P1 |
| Guest access受强身份验证方法的保护 | 免费Microsoft Entra ID 建议用于条件访问的 P1 Microsoft Entra ID P1 |
| 禁用通过用户流进行来宾自助注册 | 免费Microsoft Entra ID |
| 配置了跨租户access设置 | 免费Microsoft Entra ID 建议用于条件访问的 P1 Microsoft Entra ID P1 |
| 来宾不在租户中拥有应用 | 无(包括Microsoft Entra ID) |
| 所有客人都有赞助商 | 免费Microsoft Entra ID |
| 已禁用或删除非活动来宾标识 | 免费Microsoft Entra ID |
| 所有权利管理策略都有到期日期 | 针对权利管理和访问评审Microsoft Entra ID P2 或Microsoft ID 治理 |
| 应用于外部用户的所有权利管理分配策略都需要连接的组织 | 针对权利管理和访问评审Microsoft Entra ID P2 或Microsoft ID 治理 |
| 应用于外部用户的所有权利管理分配策略都需要审批 | 针对权利管理和访问评审Microsoft Entra ID P2 或Microsoft ID 治理 |
| 应用于来宾的所有权利管理包在其分配策略中配置了过期或access评审 | 针对权利管理和访问评审Microsoft Entra ID P2 或Microsoft ID 治理 |
| 管理已加入Microsoft Entra设备上的本地管理员 | 无(包括Microsoft Entra ID) |
| 限制非管理员用户为自己的设备恢复 BitLocker 密钥 | 无(包括Microsoft Entra ID) |
保护网络
保护网络外围。
| 检查 | 所需的最低许可证 |
|---|---|
| 已配置命名位置 | Microsoft Entra ID P1 |
| 已配置租户限制 v2 策略 | Microsoft Entra ID P1 |
| 已启用 Internet Access转发配置文件 | Microsoft Entra Internet Access |
| 已配置 Web 内容筛选策略 | Microsoft Entra Internet Access |
| Web 内容筛选使用基于类别的规则 | Microsoft Entra ID P1 |
| Web 内容筛选策略链接到安全配置文件 | Microsoft Entra ID P1 |
| Microsoft Entra Internet Access | |
| 为出站流量启用并正确配置 TLS 检查 | Microsoft Entra ID P1 |
| 威胁情报筛选可保护 Internet 流量 | 适用于 Microsoft Entra ID P2 的 Microsoft Entra Suite 加载项 |
| AI 网关保护企业生成 AI 应用程序免受提示注入攻击 | 适用于 Microsoft Entra ID P2 的 Microsoft Entra Suite 加载项 |
| Global Secure Access云防火墙保护分支机构 Internet 流量 | 适用于 Microsoft Entra ID P2 的 Microsoft Entra Suite 加载项 |
| 通过通用连续Access评估配置Network 验证 | Microsoft Entra ID P1 或适用于 Microsoft Entra ID P2 的 Microsoft Entra Suite 加载项 |
| Global Secure Access 客户端部署在所有托管终结点上 | Microsoft Entra ID P1 或适用于 Microsoft Entra ID P2 的 Microsoft Entra Suite 加载项 |
| Global Secure Access 许可证在租户中可用,并分配给用户 | 适用于 Microsoft Entra ID P2 的 Microsoft Entra Suite 加载项 |
| Microsoft 365流量正在主动流经全局安全访问 | Microsoft Entra套件 |
| Universal 租户限制阻止未经授权的外部租户access | Microsoft Entra ID P1 或适用于 Microsoft Entra ID P2 的 Microsoft Entra Suite 加载项 |
| Microsoft Entra ID P1 | |
| 规范Access策略使用合规的网络控制 | Microsoft Entra ID P1 |
| 已启用源 IP 还原 | 适用于 Microsoft Entra ID P2 的 Microsoft Entra Suite 加载项 |
| 网络流量通过全局安全Access路由,以便实施安全策略 | 适用于 Microsoft Entra ID P2 的 Microsoft Entra Suite 加载项 |
| 流量转发配置文件的范围限定为适当的用户和组,以便进行受控部署 | 适用于 Microsoft Entra ID P2 的 Microsoft Entra Suite 加载项 |
| Private 网络连接器处于活动状态且正常运行,以保持对内部资源的Zero Trust访问权限 | 适用于 Microsoft Entra ID P2 的 Microsoft Entra Suite 加载项 |
| Private DNS配置为内部名称解析 | Microsoft Entra Private Access |
| 已启用并配置本地Access | Microsoft Entra Private Access |
| Quick Access 已启用并绑定到连接器 | P1、Microsoft Entra适用于 Microsoft Entra ID P2 的套件加载项 |
| Quick Access绑定到条件Access策略 | 适用于 Microsoft Entra ID P2 的 Microsoft Entra Suite 加载项 |
| 定义Entra Private Access 应用程序段以强制实施最小特权access | 适用于 Microsoft Entra ID P2 的 Microsoft Entra Suite 加载项 |
| 适用于 Microsoft Entra ID P2 的 Microsoft Entra Suite 加载项 |
保护工程系统
保护软件资产并提高代码安全性。
| 检查 | 所需的最低许可证 |
|---|---|
| 正确配置紧急访问帐户 | Microsoft Entra ID P1 |
| Global Administrator角色激活触发审批工作流 | Microsoft Entra ID P2 |
| Global 管理员无权访问Azure订阅 | 无(包括Microsoft Entra ID) |
| 创建新的应用程序和服务主体仅限于特权用户 | Microsoft Entra ID P1 |
| 非活动应用程序没有高特权Microsoft Graph API权限 | Microsoft Entra ID P1 |
| 非活动应用程序没有高特权的内置角色 | Microsoft Entra ID P1 |
| App registrations使用安全的重定向 URI | Microsoft Entra ID P1 |
| 服务主体使用安全重定向 URI | Microsoft Entra ID P1 |
| App registrations不得具有悬而未完成的域重定向 URI | Microsoft Entra ID P1 |
| 特定于资源的许可受到限制 | Microsoft Entra ID P1 |
| 工作负荷标识未分配特权角色 | Microsoft Entra ID P1 |
| 企业应用程序必须要求显式分配或作用域内预配 | Microsoft Entra ID P1 |
| 企业应用程序具有所有者 | 无(包括Microsoft Entra ID) |
| 将每个用户的最大设备数限制为 10 | 无(包括Microsoft Entra ID) |
| 配置了 Privileged Access 工作站的 Conditional Access 策略 | Microsoft Entra ID P1 |
监视和检测网络威胁
收集和分析安全日志并会审警报。
| 检查 | 所需的最低许可证 |
|---|---|
| 为所有Microsoft Entra日志配置Diagnostic设置 | Microsoft Entra ID P1 |
| 特权角色激活已配置监视和警报 | Microsoft Entra ID P2 |
| 针对Global Administrator角色分配的激活警报 | Microsoft Entra ID P2 |
| 所有特权角色分配的激活警报 | Microsoft Entra ID P2 |
| 特权用户使用防钓鱼方法登录 | Microsoft Entra ID P1 |
| 所有高风险用户均会审 | Microsoft Entra ID P2 |
| 所有高风险登录都会进行会审 | Microsoft Entra ID P2 |
| 会审所有有风险的工作负荷标识 | Microsoft Entra ID P2 |
| 租户创建事件会审 | Microsoft Entra ID P1 |
| 所有用户登录活动都使用强身份验证方法 | Microsoft Entra ID P1 |
| 解决了高优先级Microsoft Entra建议 | Microsoft Entra ID P1 |
| ID 保护通知已启用 | Microsoft Entra ID P2 |
| 没有旧式身份验证登录活动 | Microsoft Entra ID P1 |
| 解决所有Microsoft Entra建议 | Microsoft Entra ID P1 |
加速响应和修正
改进安全事件响应和事件通信。
| 检查 | 所需的最低许可证 |
|---|---|
| 工作负荷标识配置有基于风险的策略 | Microsoft Entra Workload ID |
| 限制高风险登录 | Microsoft Entra ID P2 |
| 高风险用户access | Microsoft Entra ID P2 |