任何人都可以使用 Azure 之前,他們需要安全且受控良好的身分識別。 Microsoft Entra ID 是 Azure 中身分識別和存取管理的骨幹。 本文將引導您完成建立強大身份基礎的基本步驟。 無論您是設定新租用戶還是加強現有租用戶的安全性,這些最佳實踐都可以幫助您從第一天起就保護對雲端資源的存取。
必要條件:建立 Azure 帳戶。 初創公司請查看 您是否符合獲得 Azure 積分 的資格。
建立個人使用者帳戶
每個需要存取 Azure 的人都應該在 Microsoft Entra 中擁有自己的使用者帳戶。 此設定有助於確保問責制,並更輕鬆地追蹤變更和執行安全策略。
新增自訂網域。 當您建立 Microsoft Entra 租戶時,它會隨附預設網域 (yourtenant.onmicrosoft.com)。 當您新增自訂網域 (例如 contoso.com) 時,使用者可以使用熟悉的名稱登入,例如 alex@contoso.com。 如果您在新增自訂網域之前建立帳戶,則需要稍後更新帳戶。 如需詳細步驟,請參閱 在 Microsoft Entra 中將自訂網域名稱新增至租用戶。
為每個用戶創建一個唯一的帳戶。 不允許共用帳戶。 共用帳戶使追蹤和分配變更責任變得困難。 如需指示,請參閱如何在 Microsoft Entra 中建立、邀請和刪除使用者。
建立緊急存取帳戶。 建立兩個 緊急存取帳戶 ,以確保您可以在一般登入方法失敗時存取租用戶。
指派身分識別管理角色
Microsoft Entra 會使用角色型存取控制 (RBAC) 將角色指派給使用者、可指派角色的群組或服務主體。 這些角色會定義他們可以在 Microsoft Entra、Microsoft 365 系統管理中心、Microsoft Defender、Microsoft Purview 等中執行哪些動作。 它包括建立帳戶、管理群組和配置安全策略。
使用內建角色。 Microsoft 為常見工作提供預先定義的角色。 每個角色都有一組特定的權限。 例如,「使用者管理員」角色可以建立和管理使用者帳戶。 檢閱 Microsoft Entra 內建角色 清單,並只指派您需要的角色。
根據最低權限指派角色。 只授予使用者執行工作所需的權限。 如果有人不需要管理 Microsoft Entra、Microsoft 365 系統管理中心、Microsoft Defender 或 Microsoft Purview,請將他們保留為沒有角色指派的一般使用者。
使用即時存取。 如果您的組織擁有 Microsoft Entra Privileged Identity Management(PIM) 的授權,您可以允許使用者僅在需要時啟用升高的權限,且僅在有限的時間內啟用。 此設定可降低擁有永久高階存取權的使用者過多的風險。
限制全域系統管理員角色存取權。 全域系統管理員角色可以完全控制您的 Microsoft Entra 租戶。 不要將此角色用於日常任務。
定期檢閱角色指派。 檢查誰已指派角色,並移除不再需要的角色。 您可以使用內建報告和警示來協助監控變更。
如需詳細資訊,請參閱 Microsoft Entra 角色的最佳做法。
設定多重要素驗證
多重要素驗證 (MFA) 有助於保護您的組織免於憑證外洩和未經授權的存取。
瞭解安全性預設值。 新的 Microsoft Entra 租用戶會自動開啟 安全性預設值 。 這些設定要求所有使用者註冊 MFA、要求管理員在每次登入時執行 MFA,並要求使用者在必要時執行 MFA。
針對進階案例使用條件式存取。 如果您的組織需要更大的彈性,您可以建立條件式存取原則,只在特定情況下強制執行 MFA,例如當使用者從不熟悉的位置登入時。 安全性預設值和條件式存取無法同時使用。 若要啟用條件式存取,您必須先停用安全性預設值,並取得進階授權。 請參閱 使用 Microsoft Entra 多重要素驗證的安全使用者登入。