标识管理是对 安全主体进行身份验证和授权的过程。 Microsoft Entra ID 为组织中的应用程序和资源提供全面的标识和访问管理。 本文介绍有助于保护对资源的访问的核心 Azure 标识管理功能。
多重身份验证
Microsoft Entra 多重身份验证(MFA)通过要求两种或更多验证方法来添加关键的第二层安全性。 MFA 有助于防止未经授权的访问,同时为用户维护简单的登录体验。
验证方法包括:
- Microsoft Authenticator 应用
- Windows Hello 企业版
- FIDO2 安全密钥
- 基于证书的身份验证
- OATH 令牌(硬件和软件)
- 短信和语音呼叫
Microsoft Entra ID P1 和 P2 许可证支持条件访问策略,这些策略基于用户、位置、设备和应用程序上下文强制实施 MFA。
了解详细信息:
Azure 基于角色的访问控制
Azure 基于角色的访问控制(Azure RBAC)为 Azure 资源提供精细的访问管理。 使用 Azure RBAC,可以向用户授予执行其作业所需的最低权限。
Azure RBAC 包括内置角色:
- 所有者:对所有资源的完全访问权限,包括委派访问权限的权限
- 参与者:创建和管理所有类型的 Azure 资源,但无法授予访问权限
- 读取者:查看现有 Azure 资源
- 用户访问管理员:管理对 Azure 资源的用户访问
还可以创建自定义角色,以满足你的特定需求。
了解详细信息:
Privileged Identity Management
Microsoft Entra Privileged Identity Management (PIM)可帮助你管理、控制和监视对重要资源的特权访问。 PIM 提供实时(JIT)特权访问,从而减少过多或不必要的权限风险。
使用 PIM,可以:
- 提供对 Azure 和 Microsoft Entra 角色的限时访问权限
- 激活特权角色需要审批
- 为角色激活强制实施多重身份验证
- 需要对角色激活进行理由说明
- 接收特权角色激活通知
- 进行访问评审,确保用户仍需要特权角色
- 生成符合性审核报告
了解详细信息:
Microsoft Entra 访问评审
Microsoft Entra 访问评审可有效管理组成员身份、对企业应用程序和特权角色分配的访问权限。 常规访问评审有助于确保用户仅具有所需的访问权限。
访问审核支持:
- 自动评审:具有可自定义频率的计划定期评审
- 委派评审:业务所有者和经理可以查看其团队的访问权限
- 自证明:用户可以确认他们仍然需要访问权限
- 建议:机器学习建议哪些用户应基于登录活动失去访问权限
- 自动化操作:在评审完成后自动移除访问权限
了解详细信息:
混合标识管理
对于具有本地 Active Directory 的组织,Microsoft提供了混合标识解决方案,用于在本地和云环境之间同步标识。
Microsoft Entra Connect (维护模式)将本地 AD DS 标识同步到 Microsoft Entra ID。 它在本地服务器上运行并提供:
- 用户、组和联系人的目录同步
- 密码哈希同步或直通身份验证
- 联合身份验证与 AD FS 集成
- 健康监测
设备注册
Microsoft Entra 设备注册启用基于设备的条件访问策略。 用户登录时,注册设备会接收用于身份验证的标识。 设备属性可以为云和本地应用程序强制实施条件访问策略。
与移动设备管理(MDM)解决方案(如 Microsoft Intune)结合使用时,设备属性会使用配置和符合性信息进行扩充。 这将基于设备安全性和符合性状况启用条件访问规则。
了解详细信息:
外部标识
Microsoft Entra 外部 ID 为面向客户的应用程序和 B2B 协作提供标识管理。 外部 ID 支持用户使用社交帐户(Google、LinkedIn)或基于电子邮件的凭据进行注册和登录。
对于 B2B 协作,外部 ID 可安全地与外部合作伙伴共享应用程序和资源,同时保持对公司数据的控制。 外部用户通过他们的归属机构或支持的身份提供者进行身份验证。
了解详细信息: