通过

安全部署 Microsoft Entra ID 治理的最佳做法

  • 项目

本文档提供了安全部署 Microsoft Entra ID 治理的最佳做法。

最小特权

最低特权原则意味着向用户和工作负载标识提供执行其任务所需的最低访问权限或权限级别。 通过根据用户的特定角色或作业功能限制用户仅访问所需资源、提供实时访问和执行定期审核,可以降低未经授权的操作和潜在安全漏洞带来的风险。

Microsoft Entra ID 治理根据为用户分配的角色来限制用户拥有的访问权限。 确保用户具有最低特权角色来执行所需的任务。

有关详细信息,请参阅具有 Microsoft Entra ID 治理的最小特权

防止横向移动

建议:不要对组使用带有 PIM 的嵌套组。

组可以控制对各种资源的访问,包括 Microsoft Entra 角色、Azure SQL、Azure Key Vault、Intune、其他应用程序角色和第三方应用程序。 Microsoft Entra ID 让你能够通过用于组的 Privileged Identity Management (PIM) 向用户授予组的即时成员身份和所有权。

这些组可以是“平面”或“嵌套组”(不可分配角色的组是可分配角色的组的成员)。 组管理员、Exchange 管理员和知识管理员等角色可以管理不可分配角色的组,从而为这些管理员提供获取特权角色访问权限的路径。 确保可分配角色的组没有不可分配角色的组作为成员。

有关详细信息,请参阅适用于组的 Privileged Identity Management (PIM)

建议:使用权利管理提供对敏感资源(而不是混合组)的访问权限。

过去,组织依赖于 Active Directory 组来访问应用程序。 将这些组同步到 Microsoft Entra ID,可以轻松地重复使用这些组,并提供与 Microsoft Entra ID 连接的资源的访问权限。 但是,这会产生横向移动风险,因为遭到泄露的本地帐户/组可用于访问云中连接的资源。

提供对敏感应用程序或角色的访问权限时,请使用权利管理来驱动针对应用程序的分配,而不是使用从 Active Directory 域服务同步的安全组。

默认拒绝

“默认拒绝”原则是一种安全策略,除非授予显式权限,否则默认情况下会限制对资源的访问。 此方法通过确保用户和应用程序在专门分配访问权限之前没有任何访问权限,从而最大程度地降低未经授权的访问带来的风险。 实施此原则有助于创建更安全的环境,因为它限制了恶意参与者的潜在入口点。

权利管理

连接的组织是权利管理的一项功能,允许用户跨租户访问资源。 配置连接的组织时,请遵循以下最佳做法。

建议

  • 连接的组织中访问包的访问权限需要过期日期。 例如,如果用户需要在固定合同期间具有访问权限,请将访问包设置为在合同结束时过期。
  • 在向连接的组织中的来宾授予访问权限之前,需要获得批准。
  • 定期查看来宾访问权限,确保用户仅有权访问他们仍需要的资源。
  • 请仔细考虑要包括哪些组织作为连接的组织。 定期查看连接的组织的列表,并删除不再与之协作的任何组织。

角色的 PIM

建议:需要批准全局管理员的 PIM 请求。

利用 Microsoft Entra ID 中的 Privileged Identity Management (PIM),可以将角色配置为需要审批才可激活,还可选择一个或多个用户或组作为委派的审批者。

有关详细信息,请参阅在 Privileged Identity Management 中批准或拒绝 Microsoft Entra 角色的请求

深层防御

以下部分提供了有关多种安全措施的其他指导,这些安全措施可用于为治理部署提供深层防御策略

应用程序

建议:安全地管理与应用程序进行连接时所需的凭证

鼓励应用程序供应商在其 SCIM 终结点上支持 OAuth,而不是依赖于长期令牌。 安全地将凭证存储在 Azure Key Vault 中,并定期轮换凭证。

备份和恢复

备份配置,以便在遭到破坏时恢复到已知良好状态。 使用以下列表创建涵盖各种治理领域的综合备份策略。

监视

监视有助于尽早检测潜在威胁和漏洞。 通过监视异常活动和配置更改,可以防止安全漏洞和维护数据完整性。

后续步骤