統一識別提供者 (IdP) 對於有效管理存取至關重要:它可確保用戶和實體沒有過多許可權即可存取資源。 整合身分識別、認證和存取管理解決方案,可建立強身份驗證、量身打造的內容型授權,以及身分識別風險評估。
管理與預算辦公室(OMB)備忘錄-22-09,為支援 行政命令14028:改善國家網路安全,授權聯邦機構為其用戶採用集中式身分識別管理系統。 這些系統可以整合到應用程式和通用平臺中,確保身分識別管理的統一方法。 這項需求是零信任策略的一部分,可增強網路安全性和數據隱私權。 我們建議將 IdP、身分識別存放區和身分識別管理系統整合,並將 Microsoft Entra ID 作為 IdP 使用。
如需詳細資訊,請參閱 使用 Microsoft Entra ID 滿足 M-22-09 的身分識別需求。
使用下列連結來移至指南的章節。
1 身份識別
本節中有 Microsoft 在身分識別支柱中對 CISA 零信任成熟度模型 的指引和建議。 網路安全與基礎設施安全局(CISA) 將「身分」視為一組屬性或屬性集合,該屬性可以唯一描述代理機構的使用者或實體,包括非人員的實體。 若要深入瞭解,請參閱 確保身分識別安全的零信任方法。
1.1 功能:驗證
| CISA ZTMM 階段描述 | Microsoft指導方針和建議 |
|---|---|
|
初始成熟度狀態 企業會使用 MFA 來驗證身分識別,這可能包括密碼作為一個因素,而且需要驗證多個實體屬性(例如地區設定或活動)。 |
Microsoft Entra ID 藉由合併識別提供者來建立身分識別基礎,將 Microsoft Entra ID 放在每個存取要求的路徑中。 當您識別應用程式並將其遷移至 Microsoft Entra ID 時,請實作原則,要求新的應用程式與 Microsoft Entra ID 整合。 此動作可確保安全策略,例如多重要素驗證 (MFA) 和實體屬性驗證,一致地套用至企業資源的存取權。 在 2024 至 2025 年間,Microsoft 將逐步在管理入口網站實施 MFA 強制措施。 Microsoft建議帳戶使用 MFA。 - 將應用程式和驗證移轉至 Microsoft Entra ID - 強制使用 Microsoft Entra MFA - 使用零信任策略保護身分識別 Microsoft Entra 驗證方法, 在 Microsoft Entra 中使用原則設定啟用企業允許的 MFA 方法。 啟用使用者在登入期間選取或使用的方法。 - 管理驗證方法 - Microsoft Entra MFA 概觀 Microsoft Entra 條件式存取 建立條件式存取原則,以要求所有雲端應用程式的 MFA。 任何多重要素驗證方法都能通過條件式存取中的「需要 MFA」授權控制。 包含對多個實體屬性的驗證,例如區域設定和活動。 使用應用程式定位和網路條件。 - 啟用多重要素驗證 - 在條件式存取原則中管理雲端應用程式、動作和驗證 - 在條件式存取原則中設定網路 Microsoft Entra 外部 ID 要求所有使用者(包括外部來賓)使用多重要素驗證。 設定租戶間存取信任設定,以改善合作夥伴的協作體驗。B2B 協作的租戶間存取 |
|
進階成熟度狀態 企業開始使用具備防網路釣魚功能的 MFA 和屬性來驗證所有身份,包括透過 FIDO2 或 PIV 初步實施無密碼 MFA。 |
Microsoft Entra ID 將目前的應用程式移轉,以使用 Microsoft Entra ID 作為身份識別提供者(IdP)。 需要將新應用程式與 Microsoft Entra 身份識別整合。 包含使用舊版驗證通訊協定搭配 Microsoft Entra 應用程式 Proxy 的應用程式。 使用分階段推出,將驗證從聯盟識別提供者(IdP)遷移至雲端服務並採用受管理的驗證方法。 這些措施可確保抵抗網路釣魚的多因素驗證 (MFA) 一致地應用於企業資源的存取。 - 驗證方法 - Microsoft Entra CBA - 無密碼安全性密鑰登入 - 驗證器中的通行碼 - Windows Hello 企業版的通行碼 - M-22-09 MFA 需求 Microsoft Entra 外部 ID 設定跨租戶存取原則以信任來自合作夥伴的 MFA。 啟用外部使用者可以使用抗網路釣魚的驗證方法來存取資源。 B2B 的跨租戶存取 |
|
最佳成熟度狀態 Enterprise 會持續使用網路釣魚防護 MFA 來驗證身分識別,而不只是一開始授與存取權時。 |
條件式存取 條件式存取原則會在用戶會話中持續評估。 設定工作階段控制,以在特定情況下增加需要的登入頻率,例如在 Microsoft Entra ID Protection 中偵測到風險的使用者或登入行為時。 工作階段控制 持續存取評估 為重大事件啟用持續存取評估和近乎即時的持續存取驗證。 - Microsoft 365 的 CAE 持續存取評估 - 應用程式中已啟用的 CAE API - |
1.2 功能:身分識別儲存體
| CISA ZTMM 階段描述 | Microsoft指導方針和建議 |
|---|---|
|
初始成熟度狀態 企業具備自我管理的身分識別存放庫和代管的身分識別存放庫(例如雲端或其他企業)的組合,並且在這些存放庫之間的整合程度最低(例如單一登入)。 |
Microsoft Entra ID 企業可能會有與多個身分識別存放區和/或身分識別提供者 (IdP) 整合的應用程式。 合併並採用 Microsoft Entra 識別碼作為企業 IdP。 規劃雲端採用和減少內部部署身分識別存放區相依性。 - 將身分識別和存取移至Microsoft Entra ID - 移轉應用程式和驗證至Microsoft Entra ID 清查應用程式、使用者、群組和裝置。 擁有正確的身分存儲庫計算。 包含身分識別存放區或 IdP,例如 Active Directory 聯合服務(AD FS)或第三方 IdP。 若要確保跨平台持續更新使用者、群組和裝置屬性,請同步處理內部部署 Active Directory 網域服務 (AD DS) 與 Microsoft Entra 識別符之間的身分識別。 - Microsoft Entra Connect Sync - Microsoft Entra Cloud Sync - 單一登入 - App 移轉至 Microsoft Entra ID - Microsoft Entra 與驗證通訊協定的整合 Microsoft Intune Microsoft Entra 混合式加入現有的 AD DS 網域的裝置。 為了現代化裝置管理,請避免將新工作站加入網域。 使用 Microsoft Intune 管理裝置。 - 雲端優先策略 - 混合加入的裝置 - 使用已加入裝置的單一登入 (SSO) 進入內部部署資源, - Microsoft Intune |
|
進階成熟度狀態 企業開始安全地合併並整合一些自我管理和託管的身分識別存放區。 |
Microsoft Entra 識別碼 企業採用Microsoft Entra 標識碼作為身分識別存放區和 IdP。 新的應用程式會與 Microsoft Entra 識別元整合。 針對遷移,盤點目前未與 Microsoft Entra ID 整合的應用程式。 不支援新式驗證的舊版應用程式可以使用 Microsoft Entra ID 安全混合式存取 (SHA) 搭配 Microsoft Entra 應用程式 Proxy。 若要使用新式驗證通訊協定,請取代、重構或重新設定應用程式。 - Microsoft Entra 應用連結庫 - 移轉應用程式和驗證至 Microsoft Entra ID |
|
最佳成熟度狀態 企業會適當地將所有合作夥伴和環境的身分識別存放區安全地整合。 |
Microsoft Entra ID 應用程式移轉至 Microsoft Entra 識別碼已完成。 存取企業資源需要使用 Microsoft Entra ID 進行驗證。 Microsoft Entra External ID 啟用與 External ID 的安全合作。 設定跨租戶同步處理,以減少IT管理負擔。 提供順暢且自動化的用戶體驗。 - 外部識別碼 - Microsoft Entra ID 的跨租戶同步 Microsoft Entra 應用程式配置 針對具有身分識別存放區的應用程式,設定應用程式配置來管理身分識別和角色。 - 應用程式佈建 - 內部部署應用程式佈建 - 設定 API 驅動佈建應用程式 - Microsoft Entra 應用程式 Proxy 來發佈內部部署應用程式 Microsoft Entra HR 入站佈建, 透過 HR 驅動的身分識別佈建實現現代化。 根據 HR 系統建立數位身分識別,這是新數位身分識別的權威來源。 布建通常從這個階段開始。 使用 Microsoft Entra 搭配內部部署 HR 系統,在 Active Directory 或 Microsoft Entra ID 中建立及更新使用者。 人力資源驅動的布建 Microsoft 365 企業版 使用 Microsoft Entra ID 和 Microsoft 365 中的多租用戶組織功能,以形成租使用者群組並簡化組織內部跨租使用者共同作業。 在 Microsoft Entra ID 和 Microsoft 365 中,多租戶組織可實現統一的人員搜尋體驗、全域通訊清單(GAL),以及在多個租戶中改善 Microsoft Teams 的共同作業。 - 多租用戶組織功能 - Microsoft 365 中的多租用戶組織 |
1.3功能:風險評估
| CISA ZTMM 階段描述 | Microsoft指導方針和建議 |
|---|---|
|
初始成熟度狀態 Enterprise 會使用手動方法和靜態規則來判斷身分識別風險,以支持可見度。 |
企業可以手動檢閱安全性事件和設定基準。 Microsoft Entra ID 使用 Microsoft Entra 日誌來評估 Microsoft Entra 租戶的各個層面。 Microsoft Entra ID 有選項可存取各種案例的活動記錄數據和報告。 - 串流活動記錄以整合工具 - 使用 Microsoft Graph API 整合活動記錄 - 整合活動記錄 - 使用 Sentinel 進行實時活動 - 在 Azure 入口中的活動記錄和報告, - 匯出用於儲存和查詢的活動記錄 在 Microsoft Entra ID 中設定診斷設定,以將記錄整合至 Azure Monitor。 將記錄串流至事件中樞,或封存記憶體帳戶中的記錄。 診斷設定 |
|
進階成熟度狀態 企業會使用一些自動化分析和動態規則來判斷身分識別風險,以通知存取決策和響應活動。 |
Microsoft Entra ID Protection 根據使用者和登入風險評估,設定 Microsoft Entra 風險為基礎的條件式存取原則。 根據使用者影響評估,使用響應活動設定條件式存取原則。 例如,高使用者和登入風險:封鎖存取或設定登入頻率會話控制。 應使用需要個人身分識別驗證(PIV)卡片的驗證強度,或採用具有防範網絡釣魚能力的驗證方法。 - Microsoft Entra ID Protection - MFA 註冊原則 - 安全工作負載身分識別 - 風險型條件式存取 Microsoft Sentinel Microsoft Entra ID Protection 警示會自動出現在 Microsoft Defender XDR 中。 將 Microsoft Defender XDR 連線到 Microsoft Sentinel,以提高可見性、與 nonXDR 數據相互關聯、較長的數據保留期,以及更自定義的回應自動化。 - Defender XDR - 將 Defender XDR 連線至 Sentinel |
|
最佳成熟度狀態 Enterprise 會根據持續分析和動態規則,即時判斷身分識別風險,以提供持續保護。 |
條件式存取 設定雲端應用程式的條件式存取應用程控。 使用適用於端點的 Microsoft Defender 保護裝置,並啟用適用於 Office 365 的 Microsoft Defender,以防止電子郵件、連結(URL)、檔案附件和共同作業工具中的威脅。 - 使用 Microsoft Entra ID 和 Cloud Apps Defender 進行應用程式存取監控, - 部署適用於端點的 Defender - 部署適用於 Office 365 的 Defender Microsoft Purview 內部人員風險管理 設定內部人員風險管理以偵測、調查及採取行動對於惡意或意外的活動。 使用內部人員風險原則來定義風險類型,以進行識別和偵測。 如有需要,對案件採取行動或將其升級至 Microsoft Purview 電子檔探索(進階版)。 - Microsoft Purview - 測試人員風險管理 - 封鎖測試人員風險存取 Microsoft Defender XDR Microsoft Defender for Endpoint、 Defender for Cloud Apps 和適用於 Office 的 Defender 偵測到不尋常的活動,並貢獻風險訊號給 Microsoft Entra ID Protection 中的使用者和登入風險層級。 風險偵測 |
1.4 功能:存取管理
| CISA ZTMM 階段描述 | Microsoft指導方針和建議 |
|---|---|
|
初始成熟度狀態企業授權訪問,包括特權訪問請求,這些請求的有效期限會在自動化檢查後到期。 |
Microsoft Entra 條件式存取 設定條件式存取,以將原則套用至應用程式的使用。 條件式存取會接受來自各種來源的訊號來授權存取。 條件式存取 Microsoft Entra 權利管理 將存取要求和核准工作流程的許可權管理中的存取套件設定為角色和群組,包括特殊許可權角色和群組。 設定存取檢閱自動化,包括到期和從角色及群組中移除。 - 權利管理 - 權利管理和存取套件 - 存取權檢閱 |
|
進階成熟度狀態 企業授權需要型和會話型存取權,包括特殊許可權存取要求,這是針對動作和資源量身訂做的。 |
條件式存取 設定條件式存取來授權存取,包括會話型存取。 以資源、角色和特殊許可權角色為目標。 條件式存取 Microsoft Entra Privileged Identity Manager 設定 PIM 來管理、控制及監視重要資源的存取,例如自定義角色和群組。 調整特定行動和資源的存取權。 - 特殊許可權身份管理 - PIM 中的 Azure 自定義角色 - 適用於群組的 PIM Microsoft Purview 特殊許可權存取管理 設定特殊許可權存取管理,以細微控管 Office 365 中特殊許可權管理員的工作。 - 特殊許可權存取管理 - 開始使用 PAM |
|
最佳成熟度狀態 企業會使用自動化技術來授予即時和適量的存取權,根據個別動作和資源需求量身打造。 |
Microsoft Entra ID Governance 設定 Microsoft Entra ID Governance 存取套件,自動授權針對個別動作和資源需求而設計的 Just-In-Time (JIT) 和 Just-Enough Access (JEA)。 - 權利管理 - 存取套件 |
1.5 功能:可見度和分析
| CISA ZTMM 階段描述 | Microsoft指導方針和建議 |
|---|---|
|
初始成熟度狀態 Enterprise 會收集使用者和實體活動記錄,並執行例行的手動分析和一些自動化分析,並在記錄類型之間具有有限的相互關聯。 |
Microsoft Entra ID、Azure Monitor 將 Microsoft Entra 日誌封存在儲存帳戶中,或與 Azure 監控整合。 使用 Kusto Data library 和內建的身分識別活頁簿,將記錄類型相互關聯,促進例行的手動分析。 - Microsoft Entra 監控與健康狀況 - 將活動記錄封存於 Azure 儲存體 - 將記錄整合至 Azure Monitor 記錄 - 活動記錄和 Log Analytics - Microsoft Entra 活頁簿 |
|
進階成熟度狀態 Enterprise 會跨某些使用者和實體活動記錄類型執行自動化分析,並增強收集,以解決可見度差距。 |
Microsoft Entra ID、Microsoft Defender XDR、Microsoft Sentinel 將 Microsoft Entra 身分識別活動記錄,與其他來自診斷設定和 Defender XDR 的身分識別記錄類別,整合進入安全性資訊事件管理(SIEM)解決方案,例如 Sentinel。 - Microsoft Entra 監視和健康情況 - Microsoft Entra ID 的登入記錄 - Microsoft Sentinel - 將 Microsoft Entra 數據連接到 Sentinel - 身分識別的 Defender - 將 Defender XDR 數據連接到 Sentinel - 適用於 Cloud Apps 的 Defender |
|
最佳成熟度狀態 企業藉由對用戶活動記錄類型執行自動化分析,包括以行為為基礎的分析,來維護企業間的完整可見性和情況感知。 |
Microsoft Entra ID Protection 啟用 ID 保護以監控用戶行為模式並識別風險。 設定內部風險偵測並整合條件式存取。 - 身份保護 - 風險政策 Sentinel、身分威脅偵測與回應 Sentinel 分析規則,以及近乎即時的事件分析擷取和分析 Microsoft Entra 記錄。 透過進階分析、事件管理工作流程和威脅情報的整合,實現即時識別和回應安全事件及風險。 簡化事件調查並增強企業安全性狀態。 - Microsoft Sentinel - 近乎即時的偵測分析規則 - 威脅情報的資料連接器 - 使用者和實體行為(UEBA) |
1.6 功能:自動化和協同
| CISA ZTMM 階段描述 | Microsoft指導方針和建議 |
|---|---|
|
初始成熟度狀態 企業手動協調特殊許可權和外部身分識別,並自動化非特殊許可權使用者和自我管理實體的協調流程。 |
Microsoft Entra Connect、Microsoft Entra Cloud Sync 搭配內部部署 Active Directory,使用 Entra Connect 和/或 Entra Cloud Sync 自動化非高權限使用者的協調流程。請勿同步處理來自內部部署 Active Directory 的高權限使用者。 在朝向雲端優先身分識別的旅程中,使用 Microsoft Entra HR Provisioning 管理未具特權的使用者。 - Microsoft Entra Connect v2 - Microsoft Entra Cloud Sync - 保護 Microsoft 365 不受內部部署攻擊 - 將 Cloud HR 應用程式用於 Microsoft Entra 使用者布建 |
|
進階成熟度狀態 企業手動管理具特殊許可權的使用者身分識別,並自動化協調跨所有環境整合的所有身分識別流程。 |
Microsoft Entra 應用程式佈建 使用 Microsoft Entra 應用程式佈建,自動跨環境協調身分識別,例如雲端提供者或軟體即服務(SaaS)應用程式。 - Microsoft Entra ID中的應用程式佈建 - 與Microsoft Entra ID同步的跨域身分識別管理系統(SCIM) Microsoft Entra External ID 設定跨租戶同步處理,以自動化合作夥伴環境中的身分識別協調流程。 - 外部標識子 - Microsoft Entra ID 中的跨租同步處理 - 設定跨租同步處理 |
|
最佳成熟度狀態 Enterprise 會自動協調所有身分識別,並在所有環境中進行完整整合,這是基於行為、註冊和部署需求的。 |
Microsoft Entra ID Governance 在此成熟階段的身分識別協調流程已完成。 請參閱進階 狀態。 Microsoft Entra 權限管理的實施乃用以協調管理使用者、應用程式、角色及群組的存取。 使用 Privileged Identity Management (PIM) 設定特殊許可權的使用者身分識別,以完成身分識別整合。 使用生命週期工作流程,將新人、調動者和離職者情境之間的移動自動化。 - 權利管理 - 瞭解 PIM - 生命週期工作流程 |
1.7 功能:治理
| CISA ZTMM 階段描述 | Microsoft指導方針和建議 |
|---|---|
|
企業初始成熟度狀態 定義並開始使用最少的自動化和手動更新來實作全企業強制執行的身分識別原則。 |
Microsoft Entra ID 使用 Microsoft Entra ID 作為新應用程式整合的識別提供者 (IdP)。 將目前的應用程式移轉至 Microsoft Entra 識別碼。 配置 Microsoft Entra 條件式存取原則以施行全企業的規範,並成為應用程式和資源存取的政策執行點(PEP)。 使用角色型訪問控制(RBAC)、宣告對應和對外布建,為目前和未來的應用程式實作授權和角色對應。 - Microsoft Entra 身分驗證治理 - 條件式存取 |
|
進階成熟度狀態 企業會定期使用自動化和更新原則來實作全企業強制執行的身分識別原則。 |
條件式存取 針對企業中的身分識別原則強制執行使用條件式存取。 檢閱並實作來自 CISA 安全雲端商務應用程式 (SCuBA) 專案的Microsoft Entra 標識元建議,並使用其 API 將條件式存取設定自動化。 - 條件式存取部署 - CISA SCuBA 和 Microsoft Entra ID - condtionalAccessPolicy 資源類型 |
|
「最佳成熟度狀態」 企業會實作全企業身分識別原則,並透過持續強制執行和動態更新,針對所有系統的所有用戶和實體,完全自動化全企業身分識別原則。 |
Microsoft Entra ID 要求應用程式使用 Microsoft Entra ID 的存取權,以強制執行條件式存取評估。 使用 Microsoft Entra ID 持續存取評估 (CAE) 進行近乎即時的強制執行和身分識別保護。 此動作可動態適應環境風險。 若要強制執行持續評估,請將 CAE 整合到自訂應用程式和 API 與程式代碼中。 - 持續存取評估 - 已啟用 CAE 的應用程式 API - Microsoft Entra ID 保護 全球安全存取 設定符合規範的網路強制執行,以減少 令牌竊取 和重放攻擊的風險。 執法與支援 CAE 的服務合作。 應用程式會以近乎即時的方式,拒絕在租戶合規網路外部重播的遭竊存取令牌。 - 全域安全存取 - Microsoft Entra Internet Access - 遵循條件式存取的網路檢查 |
後續步驟
為 CISA 零信任成熟度模型設定Microsoft雲端服務。