在 Microsoft Entra ID 中保護混合式和雲端部署的特殊許可權存取

  • 文章

商務資產的安全性取決於管理您 IT 系統的特殊權限帳戶完整性。 網路攻擊者會利用認證竊取攻擊,將目標鎖定在管理員帳戶和其他特殊權限存取,嘗試存取敏感資料。

對雲端服務而言,防範和回應是雲端服務提供者與客戶的共同責任。 如需有關端點與雲端最新威脅的詳細資訊,請參閱 Microsoft 安全情報報告。 本文可協助您制定藍圖,以縮小目前計畫與此處所述的指導方針之間的差距。

注意

Microsoft 已致力至最高級別的信任、透明性、標準一致性和法規遵從性。 深入瞭解 Microsoft 全域事件回應小組如何減輕對雲端服務的攻擊影響,以及如何在 Microsoft 信任中心內建 Microsoft 商務產品和雲端服務的安全性與雲端服務 - Microsoft 信任中心的安全性與 Microsoft 合規性目標 - 合規性

傳統上,組織安全性著重於以網路的出入點作為安全界限。 不過網際網路上的 SaaS 應用程式和個人裝置降低了這種做法的有效性。 在 Microsoft Entra ID 中,我們會將網路安全性周邊取代為您組織身分識別層中的驗證,並將使用者指派給控制中具有特殊許可權的系統管理角色。 無論在內部部署、雲端還是混合式環境中,他們的存取權必須受到妥善保護。

若要保護特殊權限存取的安全,以下項目需進行變更:

  • 程序、管理做法與知識管理
  • 技術要項,例如主機防禦、帳戶保護與身分識別管理

以您關心Microsoft 服務中管理及回報的方式來保護您的特殊許可權存取。 如果您有內部部署管理員帳戶,請前往 Active Directory 的保護特殊權限存取的安全,參閱內部部署和混合式特殊權限存取指南。

注意

本文中的指引主要是指 Microsoft Entra ID P1 和 P2 中包含的 Microsoft Entra ID 功能。 Microsoft Entra ID P2 包含在 EMS E5 套件和 Microsoft 365 E5 套件中。 本指南假設您的組織已為您的使用者購買 Microsoft Entra ID P2 授權。 如果您沒有這些授權,某些指引可能不適用於您的組織。 此外,在本文中,Global 管理員istrator 一詞表示與「公司系統管理員」或「租使用者系統管理員」相同。

開發藍圖

Microsoft 建議您開發並遵循藍圖,保護特殊權限存取以抵禦網路攻擊者。 您隨時可因應現有的能力和組織的具體需求調整藍圖。 藍圖的每個階段,都應讓敵人針對內部部署、雲端和混合式資產攻擊特殊權限存取的成本和難度提高。 Microsoft 建議以下四個藍圖階段。 首先安排最有效且最快速的實作。 本文可以根據 Microsoft 在網路攻擊事件和回應實作方面的經驗,成為您的指南。 此藍圖的時間表僅為約略估算。

Stages of the roadmap with time lines

  • 階段 1 (24-48 小時):建議您立即執行的重大事項

  • 階段 2 (2-4 週):將低最常用的攻擊手法風險

  • 階段 3 (1-3 個月):建置對管理員活動的可見性及全面控制力

  • 階段 4 (六個月後):繼續建置防禦機制以進一步強化安全性平台

這個藍圖架構的用意是充分利用您可能已部署的 Microsoft 技術。 請考慮將 與您已部署或正在考慮部署的其他廠商的任何安全性工具綁在一起。

階段 1:需立即執行的重大事項

Stage 1 Critical items to do first

藍圖的階段 1 著重於快速且容易實作的重大事項。 建議您在最初的 24-48 小時內立刻執行這些事項,鞏固安全特殊權限存取的基本層。 受保護的特殊權限存取藍圖的這個階段包含下列動作:

一般準備

使用 Microsoft Entra Privileged Identity Management

建議您在 Microsoft Entra 生產環境中開始使用 Microsoft Entra Privileged Identity Management (PIM)。 開始使用 PIM 之後,您會收到特殊許可權存取角色變更的通知電子郵件訊息。 當其他使用者新增至高許可權角色時,通知會提供早期警告。

Microsoft Entra Privileged Identity Management 包含在 Microsoft Entra ID P2 或 EMS E5 中。 為了協助您保護內部部署和雲端中應用程式和資源的存取權,請註冊 Enterprise Mobility + Security 免費 90 天試用版 。 Microsoft Entra Privileged Identity Management 和 Microsoft Entra ID Protection 會使用 Microsoft Entra ID 報告、稽核和警示來監視安全性活動。

開始使用 Microsoft Entra Privileged Identity Management 之後:

  1. 以全域管理員istrator 身分 登入 Microsoft Entra 系統管理中心

  2. 若要切換您想要使用 Privileged Identity Management 的目錄,請在 Microsoft Entra 系統管理中心右上角選取您的使用者名稱。

  3. 流覽至身 分識別治理 > Privileged Identity Management。

請確定組織中第一個使用 PIM 的人員已指派給 安全性管理員istrator Privileged Role 管理員istrator 角色。 只有特殊許可權角色管理員istrators 可以管理使用者的 Microsoft Entra 目錄角色指派。 PIM 安全性精靈會引導您完成初始探索和指派體驗。 此時您可以結束精靈,而不需要進行任何額外的變更。

識別和分類擁有高度特殊權限角色的帳戶

開始使用 Microsoft Entra Privileged Identity Management 之後,請檢視下列 Microsoft Entra 角色中的使用者:

  • 全域管理員
  • 特殊權限角色管理員
  • Exchange 系統管理員
  • Sharepoint 系統管理員

如果您的組織中沒有 Microsoft Entra Privileged Identity Management,您可以使用 Microsoft Graph PowerShell 。 從全域管理員istrator 角色開始,因為 Global 管理員istrator 在貴組織已訂閱的所有雲端服務中具有相同的許可權。 無論指派許可權的位置為何,這些許可權會授與:在 Microsoft 365 系統管理中心、Microsoft Entra 系統管理中心或使用 Microsoft Graph PowerShell。

移除這些角色中不再需要的任何帳戶。 然後,將指派給系統管理員角色的其餘帳戶分類:

  • 指派給系統管理使用者,但也用於非系統管理用途(例如,個人電子郵件)
  • 指派給系統管理使用者,並僅用於系統管理用途
  • 跨多位使用者共用
  • 針對打破玻璃緊急存取案例
  • 適用於自動化指令碼
  • 適用於外部使用者

定義至少兩個緊急存取帳戶

使用者可能會不小心被鎖定其角色。 例如,如果同盟內部部署身分識別提供者無法使用,使用者就無法登入或啟用現有的系統管理員帳戶。 您可以儲存兩個以上的緊急存取帳戶,以準備意外缺少存取權。

緊急存取帳戶可協助限制 Microsoft Entra 組織內的特殊許可權存取。 這些帳戶具有高度特殊許可權,且不會指派給特定個人。 緊急存取帳戶僅限於無法使用一般系統管理帳戶的「破玻璃」案例的緊急狀況。 請確定您只將緊急帳戶的使用方式控制並減少為必要時間。

評估已指派或符合全域管理員istrator 角色資格的帳戶。 如果您沒有看到任何僅限雲端的帳戶使用 *.onmicrosoft.com 網域(用於「打破玻璃」緊急存取),請建立它們。 如需詳細資訊,請參閱 在 Microsoft Entra ID 中管理緊急存取系統管理帳戶。

開啟多重要素驗證,並註冊所有其他具有特殊許可權的單一使用者非同盟系統管理員帳戶

針對永久指派給一或多個 Microsoft Entra 系統管理員角色的個別使用者,要求 Microsoft Entra 多重要素驗證:全域管理員istrator、Privileged Role 管理員istrator、Exchange 管理員istrator 和 SharePoint 管理員istrator。 使用在系統管理員 上強制執行多重要素驗證的 指引,並確保所有使用者都已在 https://aka.ms/mfasetup 註冊。 如需詳細資訊,請參閱 Microsoft 365 中保護使用者和裝置存取指南 的步驟 2 和步驟 3。

步驟 2:降低常見攻擊風險

Stage 2 Mitigate frequently used attacks

藍圖的階段 2 著重於緩解最常見的認證竊取與濫用攻擊手法,可在大約 2-4 週內實作。 安全特殊許可權存取藍圖的這個階段包含下列動作。

一般準備

執行服務、擁有者和管理員的清查

「攜帶您自己的裝置」和從家庭原則工作以及無線連線的成長,使得監視誰正在連線到您的網路至關重要。 安全性稽核可以揭示您組織不支援且代表高風險的網路上的裝置、應用程式和程式。 如需詳細資訊,請參閱 Azure 安全性管理和監視概觀 。 請確定您在清查程式中包含下列所有工作。

  • 識別具有系統管理角色的使用者,以及他們可以管理的服務。

  • 使用 Microsoft Entra PIM 來找出組織中哪些使用者具有 Microsoft Entra 識別碼的系統管理員存取權。

  • 除了 Microsoft Entra ID 中定義的角色之外,Microsoft 365 還隨附一組系統管理員角色,您可以指派給組織中的使用者。 每個系統管理員角色都會對應至常見的商務功能,並提供組織中的人員許可權,以在Microsoft 365 系統管理中心 執行特定工作。 使用Microsoft 365 系統管理中心來找出組織中哪些使用者具有 Microsoft 365 系統管理員存取權,包括透過 Microsoft Entra 識別碼中未管理的角色。 如需詳細資訊,請參閱 關於 Office 365 的 Microsoft 365 系統管理員角色 和安全性 做法。

  • 在貴組織依賴的服務中執行清查,例如 Azure、Intune 或 Dynamics 365。

  • 請確定您的帳戶用於系統管理用途:

    • 已附加工作電子郵件地址
    • 已註冊 Microsoft Entra 多重要素驗證或使用 MFA 內部部署

  • 要求使用者為其業務理由進行系統管理存取。

  • 移除那些不需要它的個人或服務的系統管理員存取權。

識別擁有管理員角色且需在工作或學校帳戶之間切換的 Microsoft 帳戶

如果您的初始 Global 管理員istrators 在使用 Microsoft Entra ID 時重複使用其現有的 Microsoft 帳號憑證,請將 Microsoft 帳戶取代為個別雲端式或同步處理的帳戶。

確實區隔的使用者帳戶和全域管理員帳戶的郵件轉寄

網路攻擊者會定期網路釣魚個人電子郵件帳戶,使得全域管理員istrator 帳戶無法接受個人電子郵件地址的風險。 若要協助將網際網路風險與系統管理許可權分開,請為具有系統管理許可權的每個使用者建立專用帳戶。

  • 請務必為使用者建立個別帳戶,以執行全域管理員istrator 工作。
  • 請確定您的全域管理員管理員不會不小心開啟電子郵件,也不會使用其系統管理員帳戶執行程式。
  • 請確定這些帳戶的電子郵件已轉寄至工作信箱。
  • 全域管理員istrator(和其他特殊許可權群組)帳戶應該是僅限雲端的帳戶,且與內部部署的 Active Directory沒有關系。

確認最近已變更管理員帳戶的密碼

請確定所有使用者都已登入其系統管理帳戶,並在過去 90 天內至少變更其密碼一次。 此外,請確認任何共用帳戶最近都已變更其密碼。

開啟密碼雜湊同步功能

Microsoft Entra 連線會將使用者密碼雜湊的雜湊從 內部部署的 Active Directory 同步處理到雲端式 Microsoft Entra 組織。 如果您使用與Active Directory 同盟服務同盟(AD FS),您可以使用密碼雜湊同步處理作為備份。 如果您的內部部署的 Active Directory或 AD FS 伺服器暫時無法使用,此備份可能會很有用。

密碼雜湊同步可讓使用者使用用來登入其內部部署的 Active Directory實例的相同密碼來登入服務。 密碼雜湊同步可讓 Identity Protection 藉由比較密碼雜湊與已知遭入侵的密碼來偵測遭入侵的認證。 如需詳細資訊,請參閱 使用 Microsoft Entra 連線 Sync 實作密碼雜湊同步 處理。

對於具有特殊權限角色的使用者和公開的使用者,要求使用多重要素驗證

Microsoft Entra ID 建議您對所有使用者要求多重要素驗證。 如果帳戶遭到入侵(例如財務官員),請務必考慮那些對帳戶造成重大影響的使用者。 MFA 會因為密碼遭入侵而降低攻擊的風險。

開啟:

如果您使用 Windows Hello 企業版,可以使用 Windows Hello 登入體驗來符合 MFA 需求。 如需詳細資訊,請參閱 Windows Hello

設定身分識別保護

Microsoft Entra ID Protection 是以演算法為基礎的監視和報告工具,可偵測可能影響組織身分識別的潛在弱點。 您可以設定這些偵測到可疑活動的自動化回應,並採取適當的動作來解決這些活動。 如需詳細資訊,請參閱 Microsoft Entra ID Protection

取得您的 Microsoft 365 安全分數(如果使用 Microsoft 365)

安全分數會查看您所使用的 Microsoft 365 服務的設定和活動,並將其與 Microsoft 所建立的基準進行比較。 您將根據與安全性做法的一致程度來取得分數。 任何具有Microsoft 365 商務標準版或企業訂用帳戶系統管理員許可權的人員都可以存取 位於 https://security.microsoft.com/securescore 的安全分數。

檢閱 Microsoft 365 安全性與合規性指引(如果使用 Microsoft 365)

安全性和 合規性 計畫概述 Office 365 客戶設定 Office 365 並啟用其他 EMS 功能的方法。 然後,檢閱如何 保護 Microsoft 365 中資料與服務存取的步驟 3-6,以及如何 監視 Microsoft 365 中安全性和合規性的指南。

設定 Microsoft 365 活動監視(如果使用 Microsoft 365)

監視您的組織,瞭解使用 Microsoft 365 來識別具有系統管理員帳戶但可能不需要 Microsoft 365 存取權的員工,因為他們不會登入這些入口網站。 如需詳細資訊,請參閱 Microsoft 365 系統管理中心 中的活動報告。

建立事件/緊急應對計畫擁有者

建立成功的事件回應功能需要大量的規劃和資源。 您必須持續監視網路攻擊,並建立事件處理的優先順序。 收集、分析和報告事件資料,以建立關聯性,並與其他內部群組和計畫擁有者建立通訊。 如需詳細資訊,請參閱 Microsoft 安全性回應中心

如果尚未完成,請保護內部部署特殊許可權系統管理帳戶

如果您的 Microsoft Entra 組織已與 內部部署的 Active Directory 同步處理,請遵循安全性特殊許可權存取藍圖 中的 指引:此階段包括:

  • 為需要執行內部部署系統管理工作的使用者建立個別的系統管理員帳戶
  • 為 Active Directory 系統管理員部署特殊許可權存取工作站
  • 為工作站和伺服器建立唯一的本機系統管理員密碼

管理 Azure 存取權的組織的其他步驟

完成訂用帳戶的清查

使用 Enterprise 入口網站和Azure 入口網站來識別組織中裝載生產應用程式的訂用帳戶。

從系統管理員角色移除 Microsoft 帳戶

來自其他程式的 Microsoft 帳戶,例如 Xbox、Live 和 Outlook,不應作為您組織訂用帳戶的系統管理員帳戶使用。 移除所有 Microsoft 帳戶的系統管理員狀態,並將 取代為 Microsoft Entra ID(例如 chris@contoso.com )公司或學校帳戶。 基於系統管理員目的,取決於在 Microsoft Entra ID 中驗證的帳戶,而不是在其他服務中驗證的帳戶。

監視 Azure 活動

Azure 活動記錄提供 Azure 中訂用帳戶層級事件的歷程記錄。 其提供建立、更新和刪除哪些資源的相關資訊,以及發生這些事件的時間。 如需詳細資訊,請參閱 稽核和接收 Azure 訂 用帳戶中重要動作的相關通知。

透過 Microsoft Entra ID 管理其他雲端應用程式存取權的組織的其他步驟

設定條件式存取原則

準備內部部署和雲端裝載應用程式的條件式存取原則。 如果您有使用者已加入工作場所的裝置,請使用 Microsoft Entra 裝置註冊 ,從 設定內部部署條件式存取取得詳細資訊。

階段 3:掌控管理員活動

Stage 3: take control of administrator activity

階段 3 以階段 2 的緩解措施為基礎,應在大約 1-3 個月內實作。 受保護的特殊權限存取藍圖的這個階段包含下列要項。

一般準備

對管理員角色使用者進行存取權審查

更多公司使用者透過雲端服務獲得特殊許可權存取權,這可能會導致不受管理的存取。 現今的使用者可以成為 Microsoft 365、Azure 訂用帳戶管理員的全域管理員istrators,或具有 VM 或透過 SaaS 應用程式的系統管理員存取權。

您的組織應該讓所有員工以非特殊許可權的使用者身分處理一般商務交易,然後視需要授與系統管理員許可權。 完成存取權檢閱,以識別並確認有資格啟用系統管理員許可權的使用者。

建議您:

  1. 判斷哪些使用者是 Microsoft Entra 系統管理員、啟用隨選、Just-In-Time 系統管理員存取,以及角色型安全性控制。
  2. 將沒有明確理由的系統管理員特殊許可權存取權的使用者轉換為不同的角色(如果沒有合格的角色,請將其移除)。

持續對所有使用者逐步實施增強式驗證

要求高度公開的使用者擁有新式、強式驗證,例如 Microsoft Entra 多重要素驗證或 Windows Hello。 高度公開使用者的範例包括:

  • C 套件主管
  • 高層級經理
  • 重大 IT 和安全性人員

使用專用工作站進行 Microsoft Entra ID 的管理

攻擊者可能會嘗試以特殊許可權帳戶為目標,以便中斷資料的完整性和真實性。 他們通常會使用惡意程式碼來改變程式邏輯,或窺探系統管理員輸入認證。 特殊權限存取工作站 (PAW) 會針對機密工作,提供一個可免受網際網路攻擊和威脅影響的專用作業系統。 將這些敏感性工作和帳戶與每日使用工作站和裝置分開,可提供下列的強式保護:

  • 網路釣魚攻擊
  • 應用程式和作業系統弱點
  • 模擬攻擊
  • 認證竊取攻擊,例如擊鍵記錄、傳遞雜湊和傳遞票證

藉由部署特殊許可權存取工作站,您可以降低系統管理員在尚未強化的桌面環境中輸入其認證的風險。 如需詳細資訊,請參閱 特殊許可權存取工作站

檢閱國家標準暨技術研究院針對處理事件的建議做法

國家標準與技術研究所(NIST)提供事件處理指導方針,特別是用於分析事件相關資料,並判斷每個事件的適當回應。 如需詳細資訊,請參閱 (NIST) 電腦安全性性事件處理指南 (SP 800-61, Revision 2)

將 JIT 的特殊許可權身分識別管理 (PIM) 實作至其他系統管理角色

針對 Microsoft Entra 識別碼,請使用 Microsoft Entra Privileged Identity Management 功能。 特殊許可權角色的限時啟用可藉由讓您:

  • 啟用系統管理員許可權以執行特定工作

  • 在啟用程式期間強制執行 MFA

  • 使用警示通知系統管理員頻外變更

  • 讓使用者在預先設定的時間量內保留其特殊許可權存取權

  • 允許安全性系統管理員:

    • 探索所有特殊許可權身分識別
    • 檢視稽核報告
    • 建立存取權檢閱,以識別有資格啟用系統管理員許可權的每位使用者

如果您已經使用 Microsoft Entra Privileged Identity Management,請視需要調整時間範圍的許可權時間範圍(例如維護時段)。

判斷是否向密碼式登入通訊協定暴露 (若使用 Exchange Online)

建議您識別如果組織認證遭到入侵,則每個潛在使用者都可能會遭到嚴重損害。 針對這些使用者,請設定增強式驗證需求,並使用 Microsoft Entra 條件式存取,讓他們無法使用使用者名稱和密碼登入其電子郵件。 您可以使用條件式存取封鎖 舊版驗證,也可以 透過 Exchange Online 封鎖基本驗證

完成 Microsoft 365 角色的角色檢閱評估(如果使用 Microsoft 365)

評估所有系統管理員使用者是否都處於正確的角色(根據此評定刪除和重新指派)。

檢閱 Microsoft 365 中使用的安全性事件管理方法,並與您自己的組織進行比較

您可以從 Microsoft 365 中的安全性事件管理下載此報告

繼續保護內部部署特殊許可權系統管理帳戶

如果您的 Microsoft Entra 識別碼已連線到內部部署的 Active Directory,請遵循安全性特殊許可權存取藍圖 :階段 2 中的 指引。 在這個階段中,您會:

  • 為所有系統管理員部署特殊許可權存取工作站
  • 需要 MFA
  • 使用 Just Enough 管理員進行網域控制站維護,降低網域的攻擊面
  • 部署 進階威脅分析 以進行攻擊偵測

管理 Azure 存取權的組織的其他步驟

建立整合式監視

適用於雲端的 Microsoft Defender

  • 在您的 Azure 訂用帳戶中提供整合式安全性監視和原則管理
  • 協助偵測可能未注意到的威脅
  • 使用廣泛的安全性解決方案

清查裝載虛擬機器中的特殊權限帳戶

您通常不需要為使用者授與所有 Azure 訂用帳戶或資源不受限制的許可權。 使用 Microsoft Entra 系統管理員角色,只授與需要執行其作業的使用者存取權。 您可以使用 Microsoft Entra 系統管理員角色,讓一個系統管理員只管理訂用帳戶中的 VM,而另一個管理員可以管理相同訂用帳戶內的 SQL 資料庫。 如需詳細資訊,請參閱 什麼是 Azure 角色型存取控制

為 Microsoft Entra 系統管理員角色實作 PIM

搭配 Microsoft Entra 系統管理員角色使用 Privileged Identity Management 來管理、控制及監視 Azure 資源的存取權。 使用 PIM 進行保護,縮短暴露權限的時間,並透過報告和警示提高可見度。 如需詳細資訊,請參閱 什麼是 Microsoft Entra Privileged Identity Management

使用 Azure 記錄整合將相關的 Azure 記錄傳送至 SIEM 系統

Azure 記錄整合可讓您將原始記錄從 Azure 資源整合到您組織現有的安全性資訊和事件管理 (SIEM) 系統。 Azure 記錄整合 會從 Windows 事件檢視器 記錄和 Azure 資源收集 Windows 事件:

  • Azure 活動記錄
  • 適用於雲端的 Microsoft Defender警示
  • Azure 資源記錄

透過 Microsoft Entra ID 管理其他雲端應用程式存取權的組織的其他步驟

實作已連線應用程式的使用者布建

Microsoft Entra ID 可讓您在 Dropbox、Salesforce 和 ServiceNow 等雲端應用程式中自動建立和維護使用者身分識別。 如需詳細資訊,請參閱 使用 Microsoft Entra 識別碼 將使用者布建和取消布建自動化至 SaaS 應用程式。

整合資訊保護

適用於雲端的 Microsoft Defender Apps 可讓您根據 Azure 資訊保護分類標籤來調查檔案和設定原則,讓您能夠更瞭解及控制雲端資料。 掃描和分類雲端中的檔案,並套用 Azure 資訊保護標籤。 如需詳細資訊,請參閱 Azure 資訊保護整合

設定條件式存取

根據 SaaS 應用程式和 Microsoft Entra 連線應用程式的 群組、位置和應用程式敏感度 來設定條件式存取。

監視連線雲端應用程式中的活動

我們建議使用 適用於雲端的 Microsoft Defender Apps ,以確保使用者存取也會在連線的應用程式中受到保護。 此功能可保護企業對雲端應用程式的存取,並保護您的系統管理員帳戶,讓您能夠:

  • 將可見度和控制延伸至雲端應用程式
  • 建立存取、活動和資料共用的原則
  • 自動識別有風險的活動、異常行為和威脅
  • 防止資料外泄
  • 將風險和自動化威脅防護和原則強制執行降至最低

適用於雲端的 Defender Apps SIEM 代理程式會整合 適用於雲端的 Defender Apps 與您的 SIEM 伺服器,以集中監視 Microsoft 365 警示和活動。 它會在您的伺服器上執行,並從 適用於雲端的 Defender Apps 提取警示和活動,並將其串流至 SIEM 伺服器。 如需詳細資訊,請參閱 SIEM 整合

步驟 4:繼續建置防禦機制

Stage 4: adopt an active security posture

藍圖的第 4 階段應于六個月及以後實作。 完成您的藍圖以增強您的特殊權限存取保護,抵禦現今已知的可能攻擊。 對於明天的安全性威脅,我們建議將安全性視為持續提高成本的程式,並降低以環境為目標的敵人的成功率。

保護特殊許可權存取對於建立商務資產的安全性保證很重要。 不過,它應該是提供持續安全性保證的完整安全性計畫的一部分。 此程式應該包含下列專案:

  • 原則
  • Operations
  • 資訊安全性
  • 伺服器
  • 應用程式
  • 個人電腦
  • 裝置
  • 雲端網狀架構

當您管理特殊許可權存取帳戶時,建議您遵循下列做法:

  • 確保系統管理員以無特殊許可權的使用者身分執行日常業務
  • 只有在需要時才授與特殊許可權存取權,並在之後將其移除(Just-In-Time)
  • 保留與特殊許可權帳戶相關的稽核活動記錄

如需建置完整安全性藍圖的詳細資訊,請參閱 Microsoft 雲端 IT 架構資源 。 若要與Microsoft 服務互動,以協助您實作藍圖的任何部分,請連絡您的 Microsoft 代表,或參閱 建置重要的網路防禦來保護您的企業

安全特殊許可權存取藍圖的最後一個階段包含下列元件。

一般準備

檢閱 Microsoft Entra 識別碼中的系統管理員角色

判斷目前的內建 Microsoft Entra 系統管理員角色是否仍為最新狀態,並確保使用者只具備所需的角色。 使用 Microsoft Entra ID,您可以指派個別的系統管理員來提供不同的功能。 如需詳細資訊,請參閱 Microsoft Entra 內建角色

檢閱已加入 Microsoft Entra 裝置管理的使用者

如需詳細資訊,請參閱 如何設定 Microsoft Entra 混合式已加入裝置

檢閱內建 Microsoft 365 系統管理員角色的成員

如果您未使用 Microsoft 365,請略過此步驟。

驗證事件回應計畫

為了改善您的計畫,Microsoft 建議您定期驗證您的方案是否如預期般運作:

  • 流覽您現有的藍圖,以查看遺漏的內容
  • 根據驗屍分析,修改現有或定義新做法
  • 請確定已更新的事件回應計畫和做法分散到整個組織

管理 Azure 存取權的組織的其他步驟

判斷您是否需要 將 Azure 訂用帳戶的擁有權轉移至另一個帳戶

「破玻璃」:在緊急情況下該怎麼辦

Accounts for emergency break glass access

  1. 使用事件的相關語音總機主要管理員和安全性人員。

  2. 檢閱您的攻擊劇本。

  3. 存取您的「打破玻璃」帳戶使用者名稱和密碼組合,以登入 Microsoft Entra ID。

  4. 開啟Azure 支援要求 ,以取得 Microsoft 的說明。

  5. 查看 Microsoft Entra 登入報告 。 事件發生與報表中包含事件之間可能會有一段時間。

  6. 針對混合式環境,如果您的內部部署基礎結構同盟和 AD FS 伺服器無法使用,您可以暫時從同盟驗證切換為使用密碼雜湊同步。此參數會將網域同盟還原回受控驗證,直到 AD FS 伺服器可供使用為止。

  7. 監視特殊許可權帳戶的電子郵件。

  8. 請務必儲存相關記錄的備份,以進行潛在的鑒識和法律調查。

如需 Microsoft Office 365 如何處理安全性事件的詳細資訊,請參閱 Microsoft Office 365 中的安全性事件管理。

常見問題:保護特殊許可權存取的解答

問: 如果我尚未實作任何安全存取元件,該怎麼辦?

答: 定義至少兩個分手帳戶、將 MFA 指派給特殊許可權系統管理員帳戶,以及將使用者帳戶與全域管理員istrator 帳戶分開。

問: 缺口之後,必須先解決哪些最上層問題?

答: 請確定您對於高度公開的個人需要最強的驗證。

問: 如果我們的特殊許可權系統管理員已停用,會發生什麼情況?

答: 建立一律保持在最新狀態的全域管理員istrator 帳戶。

問: 如果只有一個全球管理員主義者離開,他們無法到達,會發生什麼事?

答: 使用其中一個打破帳戶來取得立即的特殊許可權存取權。

問: 如何保護組織內的系統管理員?

答: 讓系統管理員一律以標準「無特殊許可權」使用者身分執行日常業務。

問: 在 Microsoft Entra 識別碼內建立系統管理員帳戶的最佳做法為何?

答: 保留特定系統管理員工作的特殊許可權存取權。

問: 有哪些工具可用來減少持續性系統管理員存取?

答: Privileged Identity Management (PIM) 和 Microsoft Entra 系統管理員角色。

問: 將系統管理員帳戶同步處理至 Microsoft Entra 識別碼的 Microsoft 位置為何?

答: 第 0 層系統管理員帳戶僅用於內部部署 AD 帳戶。 這類帳戶通常不會與雲端中的 Microsoft Entra ID 同步處理。 第 0 層系統管理員帳戶包括帳戶、群組和其他資產,這些資產具有內部部署的 Active Directory樹系、網域、網域控制站和資產的直接或間接系統管理控制權。

問: 我們如何讓系統管理員在入口網站中指派隨機系統管理員存取權?

答: 針對所有使用者和大部分系統管理員使用非特殊許可權帳戶。 首先,開發組織的使用量,以判斷應具有哪些系統管理員帳戶的許可權。 並監視新建立的系統管理使用者。

下一步

其他 Microsoft Online Services