Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Zanim każda osoba będzie mogła korzystać z platformy Azure, potrzebuje bezpiecznej i dobrze zarządzanej tożsamości. Microsoft Entra ID to szkielet zarządzania tożsamościami i dostępem na platformie Azure. Ten artykuł przeprowadzi Cię przez podstawowe kroki w celu ustanowienia silnej podstawy tożsamości. Niezależnie od tego, czy konfigurujesz nową dzierżawę, czy zaostrzasz zabezpieczenia w istniejącym, te najlepsze rozwiązania pomagają chronić dostęp do zasobów w chmurze od pierwszego dnia.
Wymaganie wstępne:tworzenie konta platformy Azure. Startupy sprawdzą, czy kwalifikujesz się do kredytów Azure.
Tworzenie indywidualnych kont użytkowników
Każda osoba, która potrzebuje dostępu do platformy Azure, powinna mieć własne konto użytkownika w usłudze Microsoft Entra. Ta konfiguracja pomaga zapewnić odpowiedzialność i ułatwia śledzenie zmian i wymuszanie zasad zabezpieczeń.
Dodaj domenę niestandardową. Podczas tworzenia dzierżawy firmy Microsoft Entra jest ona dostarczana z domeną domyślną (yourtenant.onmicrosoft.com). Po dodaniu domeny niestandardowej (na przykład contoso.com) użytkownicy mogą logować się przy użyciu znanych nazw, takich jak alex@contoso.com. Jeśli utworzysz konta przed dodaniem domeny niestandardowej, musisz je zaktualizować później. Aby uzyskać szczegółowe instrukcje, zobacz Dodawanie niestandardowej nazwy domeny do dzierżawy w usłudze Microsoft Entra.
Utwórz unikatowe konto dla każdego użytkownika. Nie zezwalaj na konta udostępnione. Konta udostępnione utrudniają śledzenie i przypisywanie odpowiedzialności za zmiany. Aby uzyskać instrukcje, zobacz Jak tworzyć, zapraszać i usuwać użytkowników w usłudze Microsoft Entra.
Tworzenie kont dostępu awaryjnego. Utwórz dwa konta dostępu awaryjnego , aby mieć pewność, że możesz uzyskać dostęp do dzierżawy, jeśli normalne metody logowania kończą się niepowodzeniem.
Przypisywanie ról zarządzania tożsamościami
Firma Microsoft Entra używa kontroli dostępu opartej na rolach (RBAC) do przypisywania ról do użytkowników, grup z możliwością przypisywania ról lub jednostek usługi. Te role definiują, jakie akcje mogą wykonywać w ramach usługi Microsoft Entra, Centrum administracyjnego platformy Microsoft 365, usługi Microsoft Defender, usługi Microsoft Purview i nie tylko. Obejmuje tworzenie kont, zarządzanie grupami i konfigurowanie zasad zabezpieczeń.
Użyj ról wbudowanych. Firma Microsoft udostępnia wstępnie zdefiniowane role dla typowych zadań. Każda rola ma określony zestaw uprawnień. Na przykład rola Administrator użytkowników może tworzyć konta użytkowników i zarządzać nimi. Przejrzyj listę wbudowanych ról firmy Microsoft Entra i przypisz tylko potrzebne elementy.
Przypisz role na podstawie najniższych uprawnień. Nadaj tylko użytkownikom uprawnienia, których potrzebują do wykonania swojej pracy. Jeśli ktoś nie musi zarządzać usługą Microsoft Entra, Centrum administracyjnym platformy Microsoft 365, usługą Microsoft Defender lub Microsoft Purview, pozostaw je jako zwykły użytkownik bez przypisań ról.
Użyj dostępu just in time. Jeśli Twoja organizacja ma licencję usługi Microsoft Entra Privileged Identity Management (PIM), możesz zezwolić użytkownikom na aktywowanie podwyższonych uprawnień tylko w razie potrzeby i przez ograniczony czas. Ta konfiguracja zmniejsza ryzyko posiadania zbyt wielu użytkowników z trwałym dostępem wysokiego poziomu.
Ogranicz dostęp do roli administratora globalnego. Rola administratora globalnego ma pełną kontrolę nad dzierżawą firmy Microsoft Entra. Nie używaj tej roli do codziennych zadań.
Regularnie przeglądaj przypisania ról. Sprawdź, kto ma przypisane role i usuń wszystkie, które nie są już potrzebne. Możesz użyć wbudowanych raportów i alertów, aby ułatwić monitorowanie zmian.
Aby uzyskać więcej informacji, zobacz Najlepsze rozwiązania dotyczące ról firmy Microsoft Entra.
Konfigurowanie uwierzytelniania wieloskładnikowego
Uwierzytelnianie wieloskładnikowe (MFA) pomaga chronić organizację przed naruszonymi poświadczeniami i nieautoryzowanym dostępem.
Informacje o wartościach domyślnych zabezpieczeń. Nowe dzierżawy firmy Microsoft Entra mają automatycznie włączone wartości domyślne zabezpieczeń . Te ustawienia wymagają od wszystkich użytkowników zarejestrowania się w usłudze MFA, wymagają od administratorów wykonywania uwierzytelniania wieloskładnikowego przy każdym logowaniu i wymagają od użytkowników końcowych wykonania uwierzytelniania wieloskładnikowego w razie potrzeby.
Użyj dostępu warunkowego w zaawansowanych scenariuszach. Jeśli Twoja organizacja potrzebuje większej elastyczności, możesz utworzyć zasady dostępu warunkowego, aby wymusić uwierzytelnianie wieloskładnikowe tylko w określonych sytuacjach, na przykład gdy użytkownicy logują się z nieznanych lokalizacji. Wartości domyślne zabezpieczeń i dostępu warunkowego nie można używać jednocześnie. Aby włączyć dostęp warunkowy, należy najpierw wyłączyć ustawienia domyślne zabezpieczeń i uzyskać licencję Premium. Zobacz Zabezpieczanie logowania użytkownika przy użyciu uwierzytelniania wieloskładnikowego firmy Microsoft.