Azure 标识管理安全概述

标识管理是对 安全主体进行身份验证和授权的过程。 Microsoft Entra ID 为组织中的应用程序和资源提供全面的标识和访问管理。 本文介绍有助于保护对资源的访问的核心 Azure 标识管理功能。

单一登录

单一登录（SSO）使用户能够使用单个用户帐户和密码访问多个应用程序和资源。 用户登录一次，无需重复身份验证即可访问其所有应用程序。 Microsoft Entra ID 支持数千个 SaaS 应用程序和本地 Web 应用程序的 SSO。

Microsoft Entra ID 将本地 Active Directory 扩展到云中，使用户能够使用其组织帐户登录到已加入域的设备、公司资源和集成应用程序。 SSO 通过最小化公开的凭据来减少密码疲劳并提高安全性。

了解详细信息：

• Microsoft Entra ID 中的单一登录是什么？
• 规划单一登录部署

多重身份验证

Microsoft Entra 多重身份验证（MFA）通过要求两种或更多验证方法来添加关键的第二层安全性。 MFA 有助于防止未经授权的访问，同时为用户维护简单的登录体验。

验证方法包括：

• Microsoft Authenticator 应用
• Windows Hello 企业版
• FIDO2 安全密钥
• 基于证书的身份验证
• OATH 令牌（硬件和软件）
• 短信和语音呼叫

Microsoft Entra ID P1 和 P2 许可证支持条件访问策略，这些策略基于用户、位置、设备和应用程序上下文强制实施 MFA。

了解详细信息：

• Microsoft Entra 多重身份验证的工作原理
• 规划Microsoft Entra 多重身份验证部署

Azure 基于角色的访问控制

Azure 基于角色的访问控制（Azure RBAC）为 Azure 资源提供精细的访问管理。 使用 Azure RBAC，可以向用户授予执行其作业所需的最低权限。

Azure RBAC 包括内置角色：

• 所有者：对所有资源的完全访问权限，包括委派访问权限的权限
• 参与者：创建和管理所有类型的 Azure 资源，但无法授予访问权限
• 读取者：查看现有 Azure 资源
• 用户访问管理员：管理对 Azure 资源的用户访问

还可以创建自定义角色，以满足你的特定需求。

了解详细信息：

• 什么是 Azure 基于角色的访问控制 (Azure RBAC)？
• Azure 内置角色
• 使用 Azure 门户分配 Azure 角色

应用程序代理

Microsoft Entra 应用程序代理允许安全远程访问本地 Web 应用程序，而无需 VPN 连接。 应用程序代理将 SharePoint 网站、Outlook Web App 和基于 IIS 的应用等应用程序发布到外部用户，同时通过Microsoft Entra ID 身份验证和条件访问策略维护安全性。

应用程序代理支持 SSO，并且可以与现有的本地身份验证方法集成。

了解详细信息：

• Microsoft Entra 应用程序代理概述
• 使用 Microsoft Entra 应用程序代理发布本地应用

Privileged Identity Management

Microsoft Entra Privileged Identity Management （PIM）可帮助你管理、控制和监视对重要资源的特权访问。 PIM 提供实时（JIT）特权访问，从而减少过多或不必要的权限风险。

使用 PIM，可以：

• 提供对 Azure 和 Microsoft Entra 角色的限时访问权限
• 激活特权角色需要审批
• 为角色激活强制实施多重身份验证
• 需要对角色激活进行理由说明
• 接收特权角色激活通知
• 开展访问评审，以确保用户仍然需要特权角色
• 生成符合性审核报告

了解详细信息：

• 什么是 Microsoft Entra Privileged Identity Management？
• 规划特权身份管理部署

标识保护

Microsoft Entra ID 防护可检测影响组织标识的潜在漏洞和风险活动。 它使用机器学习来识别异常登录行为和用户活动。

标识保护提供：

• 基于风险的条件访问：实时响应检测到的风险的策略
• 风险检测：识别可疑活动，包括匿名 IP 地址使用情况、非典型旅行和与恶意软件关联的 IP 地址
• 调查工具：用于分析风险的报告和仪表板
• 自动修正：可自动要求密码更改或阻止访问的基于风险的策略

了解详细信息：

• 什么是 Microsoft Entra ID 保护？
• 通过身份保护调查风险

Microsoft Entra 访问评审

Microsoft Entra 访问评审可有效管理组成员身份、对企业应用程序和特权角色分配的访问权限。 常规访问评审有助于确保用户仅具有所需的访问权限。

访问审核支持：

• 自动评审：具有可自定义频率的计划定期评审
• 委派评审：业务所有者和经理可以查看其团队的访问权限
• 自证明：用户可以确认他们仍然需要访问权限
• 建议：机器学习建议哪些用户应基于登录活动失去访问权限
• 自动化操作：在评审完成后自动移除访问权限

了解详细信息：

• 什么是 Microsoft Entra 访问审核？
• 规划 Microsoft Entra 访问审核部署

混合标识管理

对于具有本地 Active Directory 的组织，Microsoft提供了混合标识解决方案，用于在本地和云环境之间同步标识。

Microsoft Entra Connect （维护模式）将本地 AD DS 标识同步到 Microsoft Entra ID。 它在本地服务器上运行并提供：

• 用户、组和联系人的目录同步
• 密码哈希同步或直通身份验证
• 联合身份验证与 AD FS 集成
• 健康监测

Microsoft Entra Cloud Sync 是使用轻型预配代理的新式基于云的同步解决方案：

• 使用轻型代理简化部署
• 支持多林断开连接的环境
• 多代理的高可用性
• 基于云的配置和管理

Microsoft建议使用云同步进行新的混合标识部署。

了解详细信息：

• 什么是 Microsoft Entra Cloud Sync？
• 为 Microsoft Entra ID 选择正确的同步客户端

设备注册

Microsoft Entra 设备注册启用基于设备的条件访问策略。 用户登录时，注册设备会接收用于身份验证的标识。 设备属性可以为云和本地应用程序强制实施条件访问策略。

与移动设备管理（MDM）解决方案（如 Microsoft Intune）结合使用时，设备属性会使用配置和符合性信息进行扩充。 这将基于设备安全性和符合性状况启用条件访问规则。

了解详细信息：

• 规划 Microsoft Entra 设备部署
• Microsoft Entra 联接设备
• Microsoft Entra 混合联接设备

外部标识

Microsoft Entra 外部 ID 为面向客户的应用程序和 B2B 协作提供标识管理。 外部 ID 支持使用社交帐户（Facebook、Google、LinkedIn）或基于电子邮件的凭据进行用户注册和登录。

对于 B2B 协作，外部 ID 可安全地与外部合作伙伴共享应用程序和资源，同时保持对公司数据的控制。 外部用户通过他们的归属机构或支持的身份提供者进行身份验证。

了解详细信息：

• Microsoft Entra 外部 ID 概述
• B2B 协作概述

后续步骤

• Azure 安全最佳做法和模式
• 网络安全概述
• 威胁检测和保护
• Azure 中的密钥管理