在 Microsoft Entra 中,我们将安全建议分组为基于安全未来计划(SFI)的多个主题。 此结构允许组织以逻辑方式将项目分解成相关的易耗品区块。
Tip
一些组织可能会按照书面说明采取这些建议,而另一些组织可能选择根据自己的业务需求进行修改。 在本指南的初始版本中,我们将重点介绍传统的 劳动力租户。 这些员工租户适用于员工、内部业务应用和其他组织资源。
建议在可用许可证的情况下实现以下所有控制措施。 这些模式和做法有助于为基于此解决方案构建的其他资源提供基础。 随着时间推移,将向本文档添加更多控件。
自动评估
针对租户配置手动检查本指南可能非常耗时且容易出错。 零信任评估通过自动化转换此过程,以测试这些安全配置项目等。 在什么是零信任评估中了解详细信息?
保护标识和机密
通过实施新式标识标准来降低凭据相关风险。
| 检查 | 所需的最低许可证 |
|---|---|
| 应用程序未配置客户端机密 | 无(包含在 Microsoft Entra ID 中) |
| 服务主体没有与其关联的证书或凭据 | 无(包含在 Microsoft Entra ID 中) |
| 应用程序没有过期时间超过 180 天的证书 | 无(包含在 Microsoft Entra ID 中) |
| 需要定期轮换应用程序证书 | 无(包含在 Microsoft Entra ID 中) |
| 强制实施应用机密和证书的标准 | 无(包含在 Microsoft Entra ID 中) |
| Microsoft服务应用程序未配置凭据 | 无(包含在 Microsoft Entra ID 中) |
| 用户同意设置受到限制 | 无(包含在 Microsoft Entra ID 中) |
| 已启用管理员同意工作流 | 无(包含在 Microsoft Entra ID 中) |
| 高全局管理员与特权用户比率 | 无(包含在 Microsoft Entra ID 中) |
| 特权帐户是云本机标识 | 无(包含在 Microsoft Entra ID 中) |
| 所有特权角色分配都实时激活,不会永久处于活动状态 | Microsoft Entra ID P2 |
| 已启用 Passkey 身份验证方法 | 无(包含在 Microsoft Entra ID 中) |
| 强制实施安全密钥证明 | 无(包含在 Microsoft Entra ID 中) |
| 特权帐户注册了防钓鱼方法 | Microsoft Entra ID P1 |
| 特权Microsoft Entra 内置角色以条件访问策略为目标,以强制实施防钓鱼方法 | Microsoft Entra ID P1 |
| 需要管理员角色的密码重置通知 | Microsoft Entra ID P1 |
| 阻止旧式身份验证 | Microsoft Entra ID P1 |
| 启用了临时访问传递 | Microsoft Entra ID P1 |
| 将临时访问传递限制为单一使用 | Microsoft Entra ID P1 |
| 从旧 MFA 和 SSPR 策略迁移 | Microsoft Entra ID P1 |
| 阻止管理员使用 SSPR | Microsoft Entra ID P1 |
| 自助密码重置不使用安全问题 | Microsoft Entra ID P1 |
| 禁用短信和语音呼叫身份验证方法 | Microsoft Entra ID P1 |
| 保护 MFA 注册(我的安全信息)页 | Microsoft Entra ID P1 |
| 使用云身份验证 | Microsoft Entra ID P1 |
| 所有用户都需要注册 MFA | Microsoft Entra ID P2 |
| 用户配置了强身份验证方法 | Microsoft Entra ID P1 |
| 用户登录活动使用令牌保护 | Microsoft Entra ID P1 |
| Microsoft Authenticator 应用显示登录上下文 | Microsoft Entra ID P1 |
| Microsoft Authenticator 应用报告可疑活动设置已启用 | Microsoft Entra ID P1 |
| 密码过期已禁用 | Microsoft Entra ID P1 |
| 智能锁定阈值设置为 10 或更少 | Microsoft Entra ID P1 |
| 智能锁定持续时间设置为至少 60 | Microsoft Entra ID P1 |
| 将组织术语添加到禁止的密码列表中 | Microsoft Entra ID P1 |
| 要求使用用户作对设备加入和设备注册进行多重身份验证 | Microsoft Entra ID P1 |
| 本地管理员密码解决方案已部署 | Microsoft Entra ID P1 |
| Entra Connect Sync 配置了服务主体凭据 | 无(包含在 Microsoft Entra ID 中) |
| 租户中未使用 ADAL | 无(包含在 Microsoft Entra ID 中) |
| 阻止旧版 Azure AD PowerShell 模块 | 无(包含在 Microsoft Entra ID 中) |
| 启用Microsoft Entra ID 安全性默认值 | 无(包含在 Microsoft Entra ID 中) |
保护租户和隔离生产系统
| 检查 | 所需的最低许可证 |
|---|---|
| 创建新租户的权限仅限于租户创建者角色 | 无(包含在 Microsoft Entra ID 中) |
| 来宾访问仅限于已批准的租户 | Microsoft Entra ID 免费版 |
| 来宾未分配高特权目录角色 | Microsoft Entra ID 免费版 Microsoft PIM 的条目 ID P2 或 Microsoft ID 治理 |
| 来宾无法邀请其他来宾 | Microsoft Entra ID 免费版 |
| 来宾对目录对象的访问受限 | Microsoft Entra ID 免费版 |
| 为所有多租户应用程序配置应用实例属性锁 | Microsoft Entra ID 免费版 |
| 来宾没有长时间的登录会话 | Microsoft Entra ID P1 |
| 来宾访问受强身份验证方法的保护 | Microsoft Entra ID 免费版 Microsoft为条件访问推荐的 Entra ID P1 |
| 禁用通过用户流进行来宾自助注册 | Microsoft Entra ID 免费版 |
| 配置出站跨租户访问设置 | Microsoft Entra ID 免费版 Microsoft为条件访问推荐的 Entra ID P1 |
| 来宾不在租户中拥有应用 | 无(包含在 Microsoft Entra ID 中) |
| 所有客人都有赞助商 | Microsoft Entra ID 免费版 |
| 已禁用或删除非活动来宾标识 | Microsoft Entra ID 免费版 |
| 所有权利管理策略都有到期日期 | 针对权利管理和访问评审Microsoft Entra ID P2 或 Microsoft ID Governance |
| 应用于外部用户的所有权利管理分配策略都需要连接的组织 | 针对权利管理和访问评审Microsoft Entra ID P2 或 Microsoft ID Governance |
| 应用于来宾的所有权利管理包在其分配策略中配置了过期或访问评审 | 针对权利管理和访问评审Microsoft Entra ID P2 或 Microsoft ID Governance |
| 管理已加入 Microsoft Entra 的设备上的本地管理员 | 无(包含在 Microsoft Entra ID 中) |
保护网络
保护网络外围。
| 检查 | 所需的最低许可证 |
|---|---|
| 已配置命名位置 | Microsoft Entra ID P1 |
| 已配置租户限制 v2 策略 | Microsoft Entra ID P1 |
保护工程系统
保护软件资产并提高代码安全性。
| 检查 | 所需的最低许可证 |
|---|---|
| 正确配置紧急访问帐户 | Microsoft Entra ID P1 |
| 全局管理员角色激活触发审批工作流 | Microsoft Entra ID P2 |
| 全局管理员无权访问 Azure 订阅 | 无(包含在 Microsoft Entra ID 中) |
| 创建新的应用程序和服务主体仅限于特权用户 | Microsoft Entra ID P1 |
| 非活动应用程序没有高特权Microsoft图形 API 权限 | Microsoft Entra ID P1 |
| 非活动应用程序没有高特权的内置角色 | Microsoft Entra ID P1 |
| 应用注册使用安全的重定向 URI | Microsoft Entra ID P1 |
| 服务主体使用安全重定向 URI | Microsoft Entra ID P1 |
| 应用注册不得具有悬而未完成或放弃的域重定向 URI | Microsoft Entra ID P1 |
| 对应用程序的特定于资源的许可受到限制 | Microsoft Entra ID P1 |
| 工作负荷标识未分配特权角色 | Microsoft Entra ID P1 |
| 企业应用程序必须要求显式分配或作用域内预配 | Microsoft Entra ID P1 |
| 将每个用户的最大设备数限制为 10 | 无(包含在 Microsoft Entra ID 中) |
| 已配置特权访问工作站的条件访问策略 | Microsoft Entra ID P1 |
监视和检测网络威胁
收集和分析安全日志并会审警报。
| 检查 | 所需的最低许可证 |
|---|---|
| 已为所有Microsoft Entra 日志配置诊断设置 | Microsoft Entra ID P1 |
| 特权角色激活已配置监视和警报 | Microsoft Entra ID P2 |
| 特权用户使用防钓鱼方法登录 | Microsoft Entra ID P1 |
| 所有高风险用户均会审 | Microsoft Entra ID P2 |
| 所有高风险登录都会进行会审 | Microsoft Entra ID P2 |
| [会审所有有风险的工作负荷标识] | |
| 所有用户登录活动都使用强身份验证方法 | Microsoft Entra ID P1 |
| 解决了高优先级Microsoft Entra 建议 | Microsoft Entra ID P1 |
| 没有旧式身份验证登录活动 | Microsoft Entra ID P1 |
| 解决了所有Microsoft Entra 建议 | Microsoft Entra ID P1 |
加速响应和修正
改进安全事件响应和事件通信。
| 检查 | 所需的最低许可证 |
|---|---|
| 根据风险策略配置工作负荷标识 | Microsoft Entra 工作负载 ID |
| 限制高风险登录 | Microsoft Entra ID P2 |
| 限制对高风险用户的访问 | Microsoft Entra ID P2 |