Azure AD 角色的最佳做法

本文介绍了使用 Azure Active Directory 基于角色的访问控制 (Azure AD RBAC) 的一些最佳做法。 这些最佳做法源自我们的 Azure AD RBAC 经验和客户经验。 建议同时阅读确保 Azure AD 中混合部署和云部署的特权访问安全性中的详细安全指南。

1. 争取最小特权

规划访问控制策略时,最佳做法是争取最小特权。 最小特权是指向管理员授予恰好完成其工作所需的权限。 向管理员分配角色时,需要考虑三个方面:一组特定的权限、在特定的范围内、在特定的时间段内。 即使最初看起来更方便操作,也应避免在更广泛的范围内分配更广泛的角色。 通过限制角色和范围,可以对在安全主体受到入侵的情况下会面临风险的具体资源进行限制。 Azure AD RBAC 支持超过 65 个内置角色。 有用于管理目录对象(例如用户、组和应用程序)的 Azure AD 角色,也有用于管理 Microsoft 365 服务(例如 Exchange、SharePoint 和 Intune)的 Azure AD 角色。 若要更好地了解 Azure AD 内置角色,请参阅了解 Azure Active Directory 中的角色。 如果没有满足你的需求的内置角色,可以创建自己的自定义角色

查找适当的角色

遵循以下步骤可帮助你找到适当的角色。

  1. 登录到 Azure 门户

  2. 选择“Azure Active Directory”>“角色和管理员”以查看 Azure AD 角色列表 。

  3. 使用“服务”筛选器缩小角色列表的范围。

    Roles and administrators page in Azure AD with Service filter open

  4. 请参阅 Azure AD 内置角色文档。 与每个角色相关联的权限将一起列出,以提高可读性。 若要了解角色权限的结构和含义,请参阅如何理解角色权限

  5. 请参阅任务的最小特权角色文档。

2. 使用 Privileged Identity Management 授予实时访问权限

最小特权原则之一是仅应在特定时间段内授予访问权限。 通过 Azure AD Privileged Identity Management (PIM) 可以向管理员授予实时访问权限。 Microsoft 建议在 Azure AD 中启用 PIM。 使用 PIM,用户可以成为 Azure AD 角色的合格成员,然后在需要时激活该角色一段有限的时间。 该时间范围到期后,将自动删除特权访问。 还可以配置 PIM 设置以便在用户需要激活其角色分配时要求审批或接收通知电子邮件。 向高特权角色添加新用户时,通知会发出警报。

3. 为所有管理员帐户启用多重身份验证

根据我们的调查,如果使用多重身份验证 (MFA),有 99.9% 的概率可避免帐户信息泄露。

可以使用两种方法为 Azure AD 角色启用 MFA:

4. 配置重复访问评审,以随时间推移撤销不需要的权限

“访问评审”使组织能够定期评审管理员的访问权限,以确保只有正确的人员才能继续访问。 定期审核管理员至关重要,原因如下:

  • 恶意参与者可能会入侵帐户。
  • 人员在公司内移动团队。 如果不进行审核,随时间推移,他们可能会进行许多不必要的访问。

有关角色的访问评审的信息,请参阅在 PIM 中创建 Azure AD 角色的访问评审。 有关分配了角色的组的访问评审的信息,请参阅在 Azure AD 访问评审中创建组和应用程序的访问评审

5. 将全局管理员的数量限制为少于 5

Microsoft 建议将全局管理员角色分配给组织中五个以下的人员,这是最佳做法。 全局管理员持整个组织范围的权限,因此出于利益考虑有必要将攻击面保持在较低水平。 如前所述,所有这些帐户都应通过多重身份验证进行保护。

默认情况下,当用户注册 Azure 云服务时,会创建一个 Azure AD 租户,并使该用户成为全局管理员角色的成员。 已分配有全局管理员角色的用户可以读取和修改 Azure AD 组织中的每项管理设置。 除少数例外,全局管理员还可以读取和修改 Microsoft 365 组织中的所有配置设置。 全局管理员还可以提升其对读取数据的访问权限。

Microsoft 建议保留两个永久分配给全局管理员角色的紧急访问帐户。 请确保这些帐户不需要使用与普通管理帐户相同的多重身份验证机制进行登录,如在 Azure AD 中管理紧急访问帐户中所述。

6. 将组用于 Azure AD 角色分配并委派角色分配

如果你有一个利用组的外部治理系统,应考虑将角色分配给 Azure AD 组,而不是单个用户。 还可以在 PIM 中管理可接受角色分配的组,以确保这些特权组中不存在长期所有者或成员。 有关详细信息,请参阅特权访问 Azure AD 组的管理功能

可以将所有者分配给角色可分配的组。 该所有者可决定要添加到组中或从组中删除的人员,因此可间接决定谁将获取角色分配。 通过这种方式,全局管理员或特权角色管理员可以通过使用组按角色委托角色管理。 有关详细信息,请参阅使用 Azure AD 组来管理角色分配

7. 使用特权访问组一次性激活多个角色

可能存在这样一种情况,一个人通过 PIM 具有五到六个有效分配的 Azure AD 角色。 他们将不得不单独激活每个角色,这会降低工作效率。 更糟糕的是,他们还可能为这些角色分配数十或数百个 Azure 资源,这会使问题更加严重。

在这种情况下,应使用特权访问组。 创建特权访问组,并向其授予对多个角色(Azure AD 和/或 Azure)的永久访问权限。 使该用户成为此组的合格成员或所有者。 只需一次激活,他们就可访问所有链接的资源。

Privileged access group diagram showing activating multiple roles at once

8. 将云本机帐户用于 Azure AD 角色

避免将本地同步帐户用于 Azure AD 角色分配。 如果本地帐户遭到入侵,则还可能会入侵 Azure AD 资源。

后续步骤