在 Microsoft Entra 中,我們會根據安全未來計劃 (SFI) 將安全性建議分組為多個主題。 這種結構允許組織在邏輯上將項目分解為相關的消耗性塊。
Tip
有些組織可能會依照書面方式接受這些建議,而有些組織可能會選擇根據自己的業務需求進行修改。 在本指引的初始版本中,我們會將焦點放在傳統 員工租使用者上。 這些員工租使用者適用於您的員工、內部商務應用程式和其他組織資源。
建議您實作下列所有控件,其中提供授權。 這些模式和做法有助於為在此解決方案之上建置的其他資源提供基礎。 一段時間后,將會新增更多控制件至這份檔。
自動評估
根據租用戶的設定手動檢查此指引可能非常耗時且容易出錯。 零信任評估透過自動化來轉換此程序,以測試這些安全性組態項目等。 如需詳細資訊,請參閱 什麼是零信任評估?
保護身分和秘密
透過實施現代身份標準來降低與憑證相關的風險。
| 檢查 | 最低要求授權 |
|---|---|
| 應用程式未設定用戶端密碼 | 無 (隨附於 Microsoft Entra ID) |
| 服務主體沒有相關聯的憑證或認證 | 無 (隨附於 Microsoft Entra ID) |
| 應用程式沒有到期超過 180 天的憑證 | 無 (隨附於 Microsoft Entra ID) |
| 申請證書需要定期輪換 | 無 (隨附於 Microsoft Entra ID) |
| 強制執行應用程式秘密和憑證的標準 | 無 (隨附於 Microsoft Entra ID) |
| Microsoft 服務應用程式未設定認證 | 無 (隨附於 Microsoft Entra ID) |
| 使用者同意設定受到限制 | 無 (隨附於 Microsoft Entra ID) |
| 已啟用管理員同意工作流程 | 無 (隨附於 Microsoft Entra ID) |
| 高全域系統管理員與特殊許可權使用者比率 | 無 (隨附於 Microsoft Entra ID) |
| 特殊許可權帳戶是雲端原生身分識別 | 無 (隨附於 Microsoft Entra ID) |
| 所有特殊許可權角色指派都會及時啟用,而不是永久作用中 | Microsoft Entra ID P2 |
| 已啟用通行金鑰驗證方法 | 無 (隨附於 Microsoft Entra ID) |
| 強制執行安全性金鑰證明 | 無 (隨附於 Microsoft Entra ID) |
| 特權帳戶已註冊防網路釣魚方法 | Microsoft Entra ID P1 |
| 特殊許可權 Microsoft Entra 內建角色是以條件式存取原則為目標,以強制執行防網路釣魚方法。 | Microsoft Entra ID P1 |
| 要求系統管理員角色的密碼重設通知 | Microsoft Entra ID P1 |
| 封鎖舊式驗證 | Microsoft Entra ID P1 |
| 已啟用臨時訪問通行證 | Microsoft Entra ID P1 |
| 將臨時通行證限制為一次性使用 | Microsoft Entra ID P1 |
| 從舊版 MFA 和 SSPR 原則移轉 | Microsoft Entra ID P1 |
| 封鎖系統管理員使用 SSPR | Microsoft Entra ID P1 |
| 自助式密碼重設不會使用安全性問題 | Microsoft Entra ID P1 |
| 簡訊和語音通話驗證方法已停用 | Microsoft Entra ID P1 |
| 保護 MFA 註冊 (我的安全性資訊) 頁面 | Microsoft Entra ID P1 |
| 使用雲端驗證 | Microsoft Entra ID P1 |
| 所有使用者都必須註冊 MFA | Microsoft Entra ID P2 |
| 使用者已設定強式驗證方法 | Microsoft Entra ID P1 |
| 使用者登入活動使用權杖保護 | Microsoft Entra ID P1 |
| Microsoft Authenticator 應用程式顯示登入內容 | Microsoft Entra ID P1 |
| 已啟用 Microsoft Authenticator 應用程式報告可疑活動設定 | Microsoft Entra ID P1 |
| 密碼到期已停用 | Microsoft Entra ID P1 |
| 智慧鎖定閾值設定為 10 或更低 | Microsoft Entra ID P1 |
| 智慧鎖定持續時間設定為至少 60 | Microsoft Entra ID P1 |
| 將組織術語新增至禁止密碼清單 | Microsoft Entra ID P1 |
| 使用使用者動作,需要多重要素驗證才能加入裝置和裝置註冊 | Microsoft Entra ID P1 |
| 已部署本機管理員密碼解決方案 | Microsoft Entra ID P1 |
| Entra Connect 同步處理已設定服務主體認證 | 無 (隨附於 Microsoft Entra ID) |
| 租用戶中沒有使用 ADAL | 無 (隨附於 Microsoft Entra ID) |
| 封鎖舊版 Azure AD PowerShell 模組 | 無 (隨附於 Microsoft Entra ID) |
| 啟用 Microsoft Entra ID 安全性預設值 | 無 (隨附於 Microsoft Entra ID) |
保護租用戶和隔離生產系統
| 檢查 | 最低要求授權 |
|---|---|
| 建立新租用戶的權限僅限於租用戶建立者角色 | 無 (隨附於 Microsoft Entra ID) |
| 訪客存取僅限於已核准的租用戶 | Microsoft Entra ID 免費版 |
| 未為客體指派高權限目錄角色 | Microsoft Entra ID 免費版 適用於 PIM 的 Microsoft Entra ID P2 或 Microsoft ID 治理 |
| 來賓無法邀請其他來賓 | Microsoft Entra ID 免費版 |
| 來賓對目錄物件的存取受到限制 | Microsoft Entra ID 免費版 |
| 應用程式執行個體屬性鎖定已針對所有多租用戶應用程式設定 | Microsoft Entra ID 免費版 |
| 來賓沒有長時間的登入工作階段 | Microsoft Entra ID P1 |
| 訪客存取受到強式驗證方法的保護 | Microsoft Entra ID 免費版 建議用於條件式存取的 Microsoft Entra ID P1 |
| 透過使用者流程進行來賓自助註冊已停用 | Microsoft Entra ID 免費版 |
| 已設定輸出跨租用戶存取設定 | Microsoft Entra ID 免費版 建議用於條件式存取的 Microsoft Entra ID P1 |
| 來賓不擁有租使用者中的應用程式 | 無 (隨附於 Microsoft Entra ID) |
| 所有客人都有贊助商 | Microsoft Entra ID 免費版 |
| 非作用中的來賓身分識別已停用或從租用戶中移除 | Microsoft Entra ID 免費版 |
| 所有權利管理原則都有到期日 | Microsoft Entra ID P2 或 Microsoft ID 控管,用於權利受控和存取檢閱 |
| 套用至外部使用者的所有權利管理指派原則都需要連線的組織 | Microsoft Entra ID P2 或 Microsoft ID 控管,用於權利受控和存取檢閱 |
| 所有套用至來賓的權利管理套件,都會在其指派原則中設定到期或存取檢閱 | Microsoft Entra ID P2 或 Microsoft ID 控管,用於權利受控和存取檢閱 |
| 管理已加入 Microsoft Entra 裝置的本機系統管理員 | 無 (隨附於 Microsoft Entra ID) |
保護網路
保護您的網路邊界。
| 檢查 | 最低要求授權 |
|---|---|
| 已設定具名位置 | Microsoft Entra ID P1 |
| 已設定租用戶限制 v2 原則 | Microsoft Entra ID P1 |
保護工程系統
保護軟體資產,提高程式碼安全性。
| 檢查 | 最低要求授權 |
|---|---|
| 緊急存取帳戶已適當設定 | Microsoft Entra ID P1 |
| 全域管理員角色啟用會觸發核准工作流程 | Microsoft Entra ID P2 |
| 全域系統管理員沒有 Azure 訂用帳戶的常設存取權 | 無 (隨附於 Microsoft Entra ID) |
| 建立新的應用程式和服務主體僅限於特殊許可權使用者 | Microsoft Entra ID P1 |
| 非作用中應用程式沒有高許可權的 Microsoft Graph API 許可權 | Microsoft Entra ID P1 |
| 非作用中應用程式沒有高許可權的內建角色 | Microsoft Entra ID P1 |
| 應用程式註冊使用安全重新導向 URI | Microsoft Entra ID P1 |
| 服務主體使用安全重新導向 URI | Microsoft Entra ID P1 |
| 應用程式註冊不得有懸空或捨棄的網域重新導向 URI | Microsoft Entra ID P1 |
| 資源特定同意應用程式受到限制 | Microsoft Entra ID P1 |
| 工作負載身分不會獲指派特殊許可權角色 | Microsoft Entra ID P1 |
| 企業應用程式必須需要明確指派或範圍佈建 | Microsoft Entra ID P1 |
| 將每個使用者的裝置數量上限限制為 10 | 無 (隨附於 Microsoft Entra ID) |
| 已設定特殊許可權存取工作站的條件式存取原則 | Microsoft Entra ID P1 |
監控和偵測網路威脅
收集和分析安全日誌和分類警報。
| 檢查 | 最低要求授權 |
|---|---|
| 診斷設定會針對所有 Microsoft Entra 記錄設定 | Microsoft Entra ID P1 |
| 特殊許可權角色啟用已設定監視和警示 | Microsoft Entra ID P2 |
| 特殊許可權使用者使用防網路釣魚方法登入 | Microsoft Entra ID P1 |
| 所有高風險使用者都會分類 | Microsoft Entra ID P2 |
| 所有高風險登入都會分級 | Microsoft Entra ID P2 |
| [所有有風險的工作負載身分識別都會分級] | |
| 所有使用者登入活動都會使用強式驗證方法 | Microsoft Entra ID P1 |
| 已解決高優先順序的 Microsoft Entra 建議 | Microsoft Entra ID P1 |
| 已啟用 ID Protection 通知 | Microsoft Entra ID P2 |
| 沒有舊版驗證登入活動 | Microsoft Entra ID P1 |
| 已解決所有 Microsoft Entra 建議 | Microsoft Entra ID P1 |
加速回應和補救
改善安全事件回應和事件通訊。
| 檢查 | 最低要求授權 |
|---|---|
| 已設定以風險原則為基礎的工作負載身分 | Microsoft Entra 工作負載 ID |
| 限制高風險登入 | Microsoft Entra ID P2 |
| 限制高風險使用者的存取 | Microsoft Entra ID P2 |