Azure 身分識別管理安全性概觀

身分管理是驗證和授權安全主體的過程。 Microsoft Entra ID 為整個組織的應用程式和資源提供完整的身分識別和存取管理。 本文涵蓋有助於保護資源存取的核心 Azure 身分識別管理功能。

單一登錄

單一登入 （SSO） 使用戶能夠使用單一使用者帳戶和密碼存取多個應用程式和資源。 使用者登入一次，即可存取其所有應用程式，而不需要重複驗證。 Microsoft Entra ID 支援數千個 SaaS 應用程式和內部部署 Web 應用程式的 SSO。

Microsoft Entra ID 將內部部署 Active Directory 延伸至雲端，讓使用者能夠使用其組織帳戶登入已加入網域的裝置、公司資源和整合式應用程式。 SSO 可減少密碼疲勞，並透過最大限度地減少暴露的憑證來提高安全性。

瞭解更多資訊：

• Microsoft Entra ID 中的單一登錄是什麼？
• 規劃單一登錄部署

多重因素驗證

Microsoft Entra 多重要素驗證 （MFA） 會要求兩個或多個驗證方法，以新增重要的第二層安全性。 MFA 有助於防止未經授權的訪問，同時為使用者保持簡單的登入體驗。

驗證方法包括：

• Microsoft Authenticator 應用程式
• Windows Hello 企業版
• FIDO2 安全性金鑰
• 憑證式驗證
• OATH 代幣（硬件和軟件）
• 簡訊和語音通話

Microsoft Entra ID P1 和 P2 授權支援條件式存取原則，可根據使用者、位置、裝置和應用程式內容強制執行 MFA。

瞭解更多資訊：

• Microsoft Entra 多重要素驗證的運作方式
• 規劃 Microsoft Entra 多因素驗證部署

Azure 角色型存取控制

Azure 角色型存取控制 （Azure RBAC） 為 Azure 資源提供精細的存取管理。 使用 Azure RBAC，您可以授與使用者執行其作業所需的最低權限。

Azure RBAC 包含內建角色：

• 擁有者：所有資源的完整存取權，包括委派存取權的權利
• 參與者：建立和管理所有類型的 Azure 資源，但無法授與存取權
• 讀者：檢視現有的 Azure 資源
• 使用者存取系統管理員：管理使用者對 Azure 資源的存取權

您還可以創建適合您特定需求的自定義角色。

瞭解更多資訊：

• 什麼是 Azure 角色型存取控制 （Azure RBAC）？
• Azure 內建角色
• 使用 Azure 入口網站指派 Azure 角色

應用程式 Proxy

Microsoft Entra 應用程式 Proxy 可讓您安全地遠端存取內部部署 Web 應用程式，而不需要 VPN 連線。 應用程式 Proxy 會將 SharePoint 網站、Outlook Web App 和 IIS 型應用程式等應用程式發佈給外部使用者，同時透過 Microsoft Entra ID 驗證和條件式存取原則來維護安全性。

應用程式 Proxy 支援 SSO，而且可以與現有的內部部署驗證方法整合。

瞭解更多資訊：

• Microsoft Entra 應用程式 Proxy 總覽
• 使用 Microsoft Entra 應用程式 Proxy 發佈內部部署應用程式

Privileged Identity Management

Microsoft Entra Privileged Identity Management （PIM） 可協助您管理、控制及監視重要資源的特殊許可權存取。 PIM 提供即時 （JIT） 特權存取，降低過度或不必要的權限的風險。

使用 PIM，您可以：

• 提供 Azure 和 Microsoft Entra 角色的限時存取權
• 需要核准才能啟用特殊權限角色
• 強制執行多因素驗證以啟用角色
• 需要提供角色啟用的理由
• 接收特殊權限角色啟用的通知
• 進行存取檢閱，以確保使用者仍需要特權角色
• 產生合規性稽核報告

瞭解更多資訊：

• Microsoft Entra Privileged Identity Management 是什麼？
• 規劃 Privileged Identity Management 部署

身分識別保護

Microsoft Entra ID Protection 會偵測影響組織身分識別的潛在弱點和風險活動。 它使用機器學習來識別異常的登入行為和使用者活動。

身分保護提供：

• 風險型條件式存取：即時回應偵測到的風險的原則
• 風險偵測：識別可疑活動，包括匿名 IP 位址使用、非典型旅行和惡意軟體連結的 IP 位址
• 調查工具：用於分析風險的報告和儀表板
• 自動補救：風險型政策，可自動要求密碼變更或封鎖存取

瞭解更多資訊：

• 什麼是 Microsoft Entra ID Protection？
• 使用身分識別保護調查風險

Microsoft Entra 存取審查

Microsoft Entra 存取檢閱可讓您有效率地管理群組成員資格、企業應用程式的存取權，以及特殊許可權角色指派。 定期存取審查有助於確保使用者只有他們需要的存取權限。

存取審查支援：

• 自動審查： 安排重複審查，頻率可定制
• 委派審查： 業務所有者和經理可以審查其團隊的訪問權限
• 自我證明：使用者可以確認他們仍然需要存取權限
• 建議：機器學習會根據登入活動建議哪些使用者應該失去存取權
• 自動動作：審核完成後自動移除存取權

瞭解更多資訊：

• 什麼是 Microsoft Entra 訪問審核？
• 規劃 Microsoft Entra 存取審核部署

混合式身分識別管理

對於具有內部部署 Active Directory 的組織，Microsoft 提供混合式身分識別解決方案，以同步處理內部部署與雲端環境之間的身分識別。

Microsoft Entra Connect （維護模式） 會將內部部署 AD DS 身分識別同步處理至 Microsoft Entra ID。 它會在內部部署伺服器上執行，並提供：

• 使用者、群組和連絡人的目錄同步處理
• 密碼雜湊同步或傳遞驗證
• 與 AD FS 的同盟整合
• 健康情況監視

Microsoft Entra 雲端同步 是使用輕量型布建代理程式的新式雲端式同步處理解決方案：

• 使用輕量型代理程式簡化部署
• 支援多樹系隔離環境
• 具有多個代理程式的高可用性
• 基於雲端的配置和管理

Microsoft 建議將雲端同步用於新的混合式身分識別部署。

瞭解更多資訊：

• 什麼是 Microsoft Entra Cloud Sync？
• 選擇適用於 Microsoft Entra ID 的正確同步用戶端

裝置註冊

Microsoft Entra 裝置註冊會啟用裝置型條件式存取原則。 已註冊的裝置會收到身分識別，可在使用者登入期間驗證裝置。 裝置屬性可以強制執行雲端和內部部署應用程式的條件式存取原則。

當與 Microsoft Intune 等行動裝置管理 （MDM） 解決方案結合時，裝置屬性會使用設定和合規性資訊來擴充。 這會根據裝置安全性和合規性狀態啟用條件式存取規則。

瞭解更多資訊：

• 規劃您的 Microsoft Entra 裝置部署
• 已加入 Microsoft Entra 的裝置
• Microsoft Entra 混合式加入的裝置

外部身分識別

Microsoft Entra 外部識別碼為面向客戶的應用程式和 B2B 共同作業提供身分識別管理。 外部ID支援消費者使用社交帳戶（Facebook、Google、LinkedIn）或電子郵件型認證進行註冊和登入。

對於 B2B 協作，外部 ID 可讓您與外部合作夥伴安全地共用應用程式和資源，同時保持對公司資料的控制。 外部使用者會向其主組織或支援的身分識別提供者進行驗證。

瞭解更多資訊：

• Microsoft Entra 外部識別碼概觀
• B2B 協作概觀

後續步驟

• Azure 安全性最佳做法和模式
• 網路安全概觀
• 威脅偵測和保護
• Azure 中的金鑰管理