Azure 身分識別管理和存取控制安全性最佳做法

在本文中，我們會討論 Azure 身分識別管理和存取控制安全性最佳做法的集合。 這些最佳做法衍生自我們的 Microsoft Entra ID 體驗 ，以及像您自己這樣的客戶體驗。

針對每個最佳做法，我們會說明：

• 最佳做法是什麼
• 為何您想要啟用該最佳做法
• 如果您無法啟用最佳做法，結果可能是什麼
• 最佳做法的可能替代方案
• 如何瞭解如何啟用最佳做法

本 Azure 身分識別管理和存取控制安全性最佳做法文章是以共識意見和 Azure 平臺功能和功能集為基礎，因為本文撰寫時存在。

撰寫本文的目的是在部署後提供更健全的安全性狀態的一般藍圖，以我們的「 5 個步驟保護您的身分識別基礎結構 」檢查清單引導，引導您完成一些核心功能與服務。

意見和技術隨著時間變化，本文將定期更新，以反映這些變更。

本文所討論的 Azure 身分識別管理和存取控制安全性最佳做法包括：

• 將身分識別視為主要安全性周邊
• 集中式身分識別管理
• 管理已連線的租使用者
• 啟用單一登入
• 開啟條件式存取
• 規劃例行安全性改善
• 啟用密碼管理
• 為使用者強制執行多重要素驗證
• 使用角色型存取控制
• 降低特殊權限帳戶的曝光率
• 控制資源所在的位置
• 使用 Microsoft Entra ID 進行儲存體驗證

將身分識別視為主要安全性周邊

許多人認為身分識別是安全性的主要周邊。 這是從傳統關注網路安全性的轉變。 網路周邊會持續變得更多孔，而且周邊防禦無法像 BYOD 裝置和雲端應用程式爆炸 前那樣有效。

Microsoft Entra ID 是身分識別和存取管理的 Azure 解決方案。 Microsoft Entra ID 是來自 Microsoft 的多租使用者、雲端式目錄和身分識別管理服務。 它將核心目錄服務、應用程式存取管理以及身分識別保護，結合在單一解決方案中。

下列各節列出使用 Microsoft Entra ID 的身分識別和存取安全性最佳做法。

最佳做法 ：中心安全性控制與偵測使用者和服務身分識別。 詳細 資料：使用 Microsoft Entra 識別碼來共置控制項和身分識別。

集中式身分識別管理

在混合式身分識別案例中，建議您整合內部部署和雲端目錄。 整合可讓您的 IT 小組從某個位置管理帳戶，而不論帳戶的建立位置為何。 整合作業也會提供可同時存取雲端和內部部署資源的通用身分識別，協助使用者提高生產力。

最佳做法 ：建立單一 Microsoft Entra 實例。 一致性和單一授權來源會提高透明度，減少人為錯誤和設定複雜性帶來的安全性風險。
詳細 資料：將單一 Microsoft Entra 目錄指定為公司和組織帳戶的權威來源。

最佳做法 ：整合內部部署目錄與 Microsoft Entra ID。
詳細 資料：使用 Microsoft Entra 連線 ，將內部部署目錄與您的雲端目錄同步處理。

注意

有一個 因素會影響 Microsoft Entra 連線 的效能。 請確定 Microsoft Entra 連線有足夠的容量，讓效能不佳的系統無法妨礙安全性和生產力。 大型或複雜的組織（布建超過 100,000 個物件的組織）應遵循 建議 ，以優化其 Microsoft Entra 連線實作。

最佳做法 ：請勿將帳戶同步處理至現有 Active Directory 實例中具有高許可權的 Microsoft Entra 識別碼。
詳細 資料：請勿變更篩選掉這些帳戶的預設 Microsoft Entra 連線組態 。 此組態可降低敵人由雲端轉向內部部署資產的風險 (可能造成重大事件)。

最佳做法 ：開啟密碼雜湊同步處理。
詳細 資料：密碼雜湊同步處理是用來將使用者密碼雜湊從內部部署的 Active Directory實例同步處理到雲端式 Microsoft Entra 實例的功能。 此同步處理有助於防止從先前的攻擊中重新執行外泄的認證。

即使您決定使用與 Active Directory 同盟服務 （AD FS） 或其他識別提供者的同盟，您也可以選擇性地將密碼雜湊同步處理設定為備份，以防內部部署伺服器失敗或暫時無法使用。 此同步處理可讓使用者使用用來登入其內部部署的 Active Directory實例的相同密碼來登入服務。 如果使用者已在未連線到 Microsoft Entra ID 的其他服務上使用相同的電子郵件地址和密碼，它也可讓 Identity Protection 藉由比較同步處理的密碼雜湊與已知遭入侵的密碼來偵測遭入侵的認證。

如需詳細資訊，請參閱 使用 Microsoft Entra 連線 Sync 實作密碼雜湊同步 處理。

最佳做法 ：針對新的應用程式開發，請使用 Microsoft Entra ID 進行驗證。
詳細 資料：使用正確的功能來支援驗證：

• 員工 Microsoft Entra ID
• 適用于來賓使用者和外部合作夥伴的 Microsoft Entra B2B
• Azure AD B2C 可控制客戶在使用您的應用程式時如何註冊、登入及管理其設定檔

若組織未整合內部部署及雲端的身分識別，管理帳戶時可能負擔更重。 這類負擔會提高錯誤與安全性缺口的可能性。

注意

您必須選擇哪些目錄重要帳戶會位於 ，以及所使用的系統管理工作站是由新的雲端服務或現有程式所管理。 使用現有的管理和身分識別布建程式可能會降低一些風險，但也可能會造成攻擊者危害內部部署帳戶並轉向雲端的風險。 您可能想要針對不同的角色使用不同的策略（例如 IT 系統管理員與業務單位系統管理員）。 您有兩個選項。 第一個選項是建立未與您的內部部署的 Active Directory實例同步處理的 Microsoft Entra 帳戶。 將您的系統管理工作站加入 Microsoft Entra 識別碼，您可以使用 Microsoft Intune 來管理和修補。 第二個選項是藉由同步處理至您的 內部部署的 Active Directory 實例來使用現有的系統管理員帳戶。 在 Active Directory 網域中使用現有的工作站來管理和安全性。

管理已連線的租使用者

您的安全性組織需要可見度來評估風險，以及判斷組織的原則，以及是否有任何法規需求。 您應該確定安全性組織能夠查看連線到生產環境和網路的所有訂用帳戶（透過 Azure ExpressRoute 或 站對站 VPN 。 Microsoft Entra ID 中的全域管理員istrator 可以提升其存取權，以存取使用者存取管理員istrator 角色，並查看連線到 您環境的所有訂用帳戶和受控群組。

請參閱 提高存取權來管理所有 Azure 訂用帳戶和管理群組 ，以確保您和安全性群組可以檢視連線至您環境的所有訂用帳戶或管理群組。 評估風險之後，您應該移除此提升許可權的存取權。

啟用單一登入

在行動優先的雲端優先世界中，您想要從任何地方啟用裝置、應用程式和服務的單一登入（SSO），讓使用者隨時隨地都能提高生產力。 當您有多個身分識別解決方案要管理時，這不僅會成為 IT 的系統管理問題，也會成為必須記住多個密碼的使用者。

針對所有應用程式和資源使用相同的身分識別解決方案，您可以達成 SSO。 而且您的使用者可以使用同一組認證來登入和存取所需的資源，無論是內部部署或雲端中的資源。

最佳做法 ：啟用 SSO。
詳細 資料：Microsoft Entra ID 會將內部部署的 Active Directory 延伸至雲端。 使用者可以將其主要工作或學校帳戶用於其已加入網域的裝置、公司資源，以及完成工作所需的所有 Web 和 SaaS 應用程式。 使用者不需要記住多組使用者名稱和密碼，而且可以根據其組織群組成員資格和其身分，自動布建其應用程式存取權（或取消布建）。 而且您可以控制資源庫應用程式的存取權，或針對您透過 Microsoft Entra 應用程式 Proxy 開發併發布的 內部部署應用程式。

使用 SSO 讓使用者根據 Microsoft Entra 識別碼中的公司或學校帳戶存取其 SaaS 應用程式 。 這不僅適用于 Microsoft SaaS 應用程式，也適用于其他應用程式，例如 Google Apps 和 Salesforce 。 您可以將應用程式設定為使用 Microsoft Entra ID 作為 SAML 型識別 提供者。 Microsoft Entra ID 不會發出權杖，可讓使用者登入應用程式，除非他們已透過 Microsoft Entra ID 授與存取權。 您可以直接授與存取權，或透過使用者所屬的群組授與存取權。

未建立通用身分識別來為其使用者和應用程式建立 SSO 的組織，會更公開給使用者擁有多個密碼的案例。 這些案例會增加使用者重複使用密碼或使用弱式密碼的可能性。

開啟條件式存取

使用者可以從任何地方使用各種裝置和應用程式來存取貴組織的資源。 身為 IT 系統管理員，您想要確定這些裝置符合安全性與合規性標準。 只要專注于誰可以存取資源就不夠了。

若要平衡安全性和生產力，在制定有關存取控制的決策之前，您需要考慮如何存取資源。 透過 Microsoft Entra 條件式存取，您可以解決這項需求。 透過條件式存取，您可以根據存取雲端應用程式的條件，制定自動化存取控制決策。

最佳做法：管理和控制對公司資源的存取。
詳細 資料：根據 SaaS 應用程式和 Microsoft Entra 識別碼連線應用程式的群組、位置和應用程式敏感度，設定常見的 Microsoft Entra 條件式存取 原則。

最佳做法：封鎖舊版驗證通訊協定。
詳細資料：攻擊者每天都會惡意探索舊版通訊協定中的弱點，密碼噴灑攻擊尤其是如此。 設定條件式存取以 封鎖舊版通訊協定 。

規劃例行安全性改善

安全性一律會不斷演進，而且請務必建置至您的雲端和身分識別管理架構，以定期顯示成長，並探索新方法來保護您的環境。

身分識別安全分數是 Microsoft 發佈的一組建議安全性控制項，可為您提供數值分數，以客觀地測量安全性狀態，並協助規劃未來的安全性改進。 您也可以檢視分數，與其他產業中的分數，以及一段時間後自己的趨勢。

最佳做法 ：根據業界的最佳做法，規劃例行安全性檢閱和改進。
詳細 資料：使用身分識別安全分數功能來排名您的改進時間。

啟用密碼管理

如果您有多個租使用者 ，或想要讓使用者重設自己的密碼 ，請務必使用適當的安全性原則來防止濫用。

最佳做法 ：為您的使用者設定自助式密碼重設 （SSPR）。
詳細 資料：使用 Microsoft Entra ID 自助式密碼重設 功能。

最佳做法 ：監視 SSPR 的使用方式或是否真的使用。
詳細 資料：使用 Microsoft Entra ID 密碼重設註冊活動報告 來監視註冊的使用者。 Microsoft Entra ID 所提供的報告功能可協助您使用預先建置的報告來回答問題。 如果您已獲得適當授權，您也可以建立自訂查詢。

最佳做法 ：將雲端式密碼原則延伸至您的內部部署基礎結構。
詳細 資料：藉由執行與雲端式密碼變更相同的內部部署密碼變更檢查，來增強組織中的密碼原則。 安裝 適用于內部部署 Windows Server Active Directory 代理程式的 Microsoft Entra 密碼保護 ，以將禁用密碼清單延伸至現有的基礎結構。 變更、設定或重設內部部署密碼的使用者和系統管理員，必須符合與僅限雲端使用者相同的密碼原則。

為使用者強制執行多重要素驗證

建議您針對所有使用者要求雙步驟驗證。 這包括貴組織中的系統管理員和其他人，如果帳戶遭到入侵，他們可能會產生重大影響（例如財務官員）。

有多個選項需要雙步驟驗證。 最適合的選項取決於您的目標、您執行的 Microsoft Entra 版本，以及您的授權方案。 請參閱 如何要求使用者 進行雙步驟驗證，以判斷最適合您的選項。 如需授權和定價的詳細資訊，請參閱 Microsoft Entra 識別碼 和 Microsoft Entra 多重要素驗證 定價頁面。

以下是啟用雙步驟驗證的選項和優點：

選項 1 ：使用 Microsoft Entra Security Defaults 為所有使用者和登入方法啟用 MFA
權益 ：此選項可讓您使用嚴格的原則，輕鬆地快速地為環境中的所有使用者強制執行 MFA：

• 挑戰系統管理帳戶和系統管理登入機制
• 透過所有使用者的 Microsoft Authenticator 要求 MFA 挑戰
• 限制舊版驗證通訊協定。

此方法適用于所有授權層，但無法與現有的條件式存取原則混合。 您可以在 Microsoft Entra Security Defaults 中找到 詳細資訊

選項 2 ： 藉由變更使用者狀態 來啟用多重要素驗證。
權益 ：這是需要雙步驟驗證的傳統方法。 其適用于 雲端和 Azure Multi-Factor Authentication Server 中的 Microsoft Entra 多重要素驗證。 使用此方法時，使用者每次登入並覆寫條件式存取原則時，都必須執行雙步驟驗證。

若要判斷需要啟用多重要素驗證的位置，請參閱 我的組織適用哪個版本的 Microsoft Entra 多重要素驗證？

選項 3 ： 使用條件式存取原則 啟用多重要素驗證。
權益 ：此選項可讓您使用 條件式存取 ，在特定條件下提示進行雙步驟驗證。 特定條件可以是不同位置的使用者登入、不受信任的裝置，或您認為有風險的應用程式。 定義需要雙步驟驗證的特定條件，可讓您避免持續提示使用者，這可以是令人不快的使用者體驗。

這是為您的使用者啟用雙步驟驗證的最彈性方式。 啟用條件式存取原則僅適用于雲端中的 Microsoft Entra 多重要素驗證，而且是 Microsoft Entra ID 的進階功能。 您可以在部署雲端式 Microsoft Entra 多重要素驗證 中找到 此方法的詳細資訊。

選項 4 ：藉由評估 風險型條件式存取原則，使用條件式存取 原則啟用多重要素驗證。
權益 ：此選項可讓您：

• 偵測可能影響組織身分識別的潛在弱點。
• 設定自動化回應，以偵測到與貴組織身分識別相關的可疑動作。
• 調查可疑事件並採取適當動作來解決這些事件。

此方法會使用 Microsoft Entra ID Protection 風險評估，根據使用者和所有雲端應用程式的登入風險來判斷是否需要雙步驟驗證。 此方法需要 Microsoft Entra ID P2 授權。 您可以在 Microsoft Entra ID Protection 中找到 此方法的詳細資訊。

注意

選項 2：藉由變更使用者狀態來啟用多重要素驗證，會覆寫條件式存取原則。 因為選項 3 和 4 使用條件式存取原則，所以您無法搭配使用選項 2。

不會新增額外層身分識別保護的組織，例如雙步驟驗證，更容易遭受認證竊取攻擊。 認證竊取攻擊可能會導致資料遭入侵。

使用角色型存取控制

雲端資源的存取管理對於任何使用雲端的組織而言都很重要。 Azure 角色型存取控制 （Azure RBAC） 可協助您管理可存取 Azure 資源的人員、這些資源的用途，以及他們可存取的區域。

在 Azure 中指定負責特定函式的群組或個別角色，有助於避免造成人為和自動化錯誤造成安全性風險的混淆。 根據需要知道 和 最低許可權 安全性原則限制存取 ，對於想要強制執行資料存取安全性原則的組織而言，勢在必行。

您的安全性小組需要瞭解您的 Azure 資源，才能評估和補救風險。 如果安全性小組具有作業責任，則需要額外的許可權來執行其工作。

您可以使用 Azure RBAC 將許可權指派給特定範圍的使用者、群組和應用程式。 角色指派的範圍可以是訂用帳戶、資源群組或單一資源。

最佳做法 ：隔離小組內的職責，並只授與他們執行工作所需的使用者存取權數量。 您不需要在 Azure 訂用帳戶或資源中授與每個人不受限制的許可權，而是只允許特定範圍內的特定動作。
詳細 資料：使用 Azure 中的 Azure 內建角色 ，將許可權指派給使用者。

注意

特定許可權會建立不必要的複雜度和混淆，並累積到難以修正的「舊版」設定，而不必擔心會中斷某些專案。 避免資源特定許可權。 相反地，請針對整個企業的許可權和資源群組使用管理群組，以取得訂用帳戶內的許可權。 避免使用者特定許可權。 相反地，在 Microsoft Entra 識別碼中指派群組的存取權。

最佳做法 ：授與具有 Azure 責任存取權的安全性小組以查看 Azure 資源，以便他們評估及補救風險。
詳細 資料：將 Azure RBAC 安全性讀取者 角色授與安全性小組。 視責任範圍而定，您可以使用根管理群組或區段管理群組：

• 負責所有企業資源的小組根管理群組
• 有限範圍的小組區段管理群組 （通常是因為法規或其他組織界限）

最佳做法 ：將適當的許可權授與具有直接作業責任的安全性小組。
詳細 資料：檢閱 Azure 內建角色以取得適當的角色指派。 如果內建角色不符合組織的特定需求，您可以建立 Azure 自訂角色 。 如同內建角色，您可以將自訂角色指派給訂用帳戶、資源群組和資源範圍的使用者、群組和服務主體。

最佳做法 ：授與適用於雲端的 Microsoft Defender需要安全性角色的存取權。 適用於雲端的 Defender可讓安全性小組快速找出並補救風險。
詳細 資料：將具有這些需求的安全性小組新增至 Azure RBAC 安全性管理員 角色，讓他們可以檢視安全性原則、檢視安全性狀態、編輯安全性原則、檢視警示和建議，以及關閉警示和建議。 您可以根據責任範圍，使用根管理群組或區段管理群組來執行此動作。

未使用 Azure RBAC 等功能強制執行資料存取控制的組織，可能會比使用者提供更多的許可權。 這可能會導致資料洩露，方法是允許使用者存取他們不應該擁有的資料類型（例如，高業務影響）。

降低特殊權限帳戶的曝光率

保護特殊權限存取是保護商務資產的第一個重要步驟。 將能夠存取安全資訊或資源的人數降到最低，以降低惡意使用者獲得存取權，或是授權使用者無意中影響到敏感性資源的機會。

特殊權限帳戶是系統管理與管理 IT 系統的帳戶。 網路攻擊者會以這些帳戶為目標，來獲取對組織資料和系統的存取權。 若要保護特殊權限存取，您應該隔離帳戶和系統，以免遭到惡意使用者攻擊。

建議您開發並遵循藍圖，以保護特殊許可權存取，以防範網路攻擊者。 如需建立詳細藍圖以保護 Microsoft Entra ID、Microsoft Azure、Microsoft 365 和其他雲端服務中受控或報告的身分識別和存取權的詳細資訊，請參閱 保護 Microsoft Entra ID 中混合式和雲端部署的特殊許可權存取權。

下列摘要說明在保護 Microsoft Entra 識別碼 中混合式和雲端部署的特殊許可權存取中 的最佳作法：

最佳做法：管理、控制及監視對特殊權限帳戶的存取。
詳細 資料：開啟 Microsoft Entra Privileged Identity Management 。 開啟 Privileged Identity Management 之後，您將收到特殊權限存取角色變更的通知電子郵件訊息。 這些通知會在將其他使用者新增至目錄中具有高度特殊許可權的角色時，提供早期警告。

最佳做法：確定所有重要的管理員帳戶都是受控的 Microsoft Entra 帳戶。 詳細資料：從重要的管理員角色中移除任何取用者帳戶 (例如，hotmail.com、live.com 和 outlook.com 等 Microsoft 帳戶)。

最佳做法：確定所有重要的管理員角色都有個別的系統管理工作帳戶，以避免網路釣魚和其他攻擊危害系統管理權限。
詳細資料：建立個別的管理員帳戶，並為其指派執行系統管理工作所需的權限。 防止針對每日使用的生產力工具使用這些系統管理帳戶，例如 Microsoft 365 電子郵件或任意網頁瀏覽。

最佳做法：識別和分類擁有高度特殊權限角色的帳戶。
詳細資料：開啟 Microsoft Entra Privileged Identity Management 之後，檢視具有全域管理員、特殊權限角色管理員和其他高特殊權限角色的使用者。 移除那些角色中不再需要的任何帳戶，並將指派給管理員角色的剩餘帳戶分類：

• 個別指派給系統管理使用者，並可用於非系統管理用途（例如，個人電子郵件）
• 個別指派給系統管理使用者，並且僅針對系統管理目的指定
• 跨多位使用者共用
• 適用於緊急存取案例
• 適用於自動化指令碼
• 適用於外部使用者

最佳做法：實作「Just-In Time」(JIT) 存取權，以進一步降低權限的曝光時間，並提高對特殊權限帳戶使用情況的可見度。
詳細 資料：Microsoft Entra Privileged Identity Management 可讓您：

• 限制使用者只接受其許可權 JIT。
• 在縮短期間指派角色，並確信許可權會自動撤銷。

最佳做法 ：定義至少兩個緊急存取帳戶。
詳細 資料：緊急存取帳戶可協助組織限制現有 Microsoft Entra 環境中的特殊許可權存取。 這些帳戶具有高度特殊許可權，且不會指派給特定個人。 緊急存取帳戶僅限於無法使用一般系統管理帳戶的案例。 組織必須將緊急帳戶的使用限制為只有必要的時間量。

評估已指派或符合全域管理員角色資格的帳戶。 如果您未看到任何僅限雲端的帳戶使用 *.onmicrosoft.com 網域 （適用于緊急存取），請建立它們。 如需詳細資訊，請參閱 在 Microsoft Entra ID 中管理緊急存取系統管理帳戶。

最佳做法 ：在緊急情況下備妥「破玻璃」程式。
詳細 資料：遵循在 Microsoft Entra ID 中保護混合式和雲端部署的特殊許可權存取中的步驟 。

最佳做法 ：要求所有重要的系統管理員帳戶無密碼（慣用），或需要多重要素驗證。
詳細 資料：使用 Microsoft Authenticator 應用程式 登入任何 Microsoft Entra 帳戶，而不需使用密碼。 如同 Windows Hello 企業版 ，Microsoft Authenticator 會使用金鑰型驗證來啟用系結至裝置的使用者認證，並使用生物特徵辨識驗證或 PIN。

針對永久指派給一或多個 Microsoft Entra 系統管理員角色的個別使用者，要求 Microsoft Entra 多重要素驗證：全域管理員istrator、Privileged Role 管理員istrator、Exchange Online 管理員istrator 和 SharePoint Online 管理員istrator。 為您的系統管理員帳戶 啟用 多重要素驗證，並確定系統管理員帳戶使用者已註冊。

最佳做法 ：對於重要的系統管理員帳戶，具有不允許生產工作的系統管理工作站（例如流覽和電子郵件）。 這可保護您的系統管理員帳戶免于使用流覽和電子郵件的攻擊媒介，並大幅降低您發生重大事件的風險。
詳細 資料：使用系統管理工作站。 選擇工作站安全性層級：

• 高度安全的生產力裝置為流覽和其他生產力工作提供進階安全性。
• 特殊許可權存取工作站 （PAWs） 提供專用的作業系統，可保護其免于受到網際網路攻擊和敏感性工作的威脅向量。

最佳做法 ：在員工離開組織時取消布建系統管理員帳戶。
詳細 資料：讓員工離開組織時停用或刪除系統管理員帳戶的程式。

最佳做法 ：使用目前的攻擊技術定期測試系統管理員帳戶。
詳細 資料：使用 Microsoft 365 攻擊模擬器或協力廠商供應專案，在您的組織中執行實際的攻擊案例。 這可協助您在發生實際攻擊之前找到易受攻擊的使用者。

最佳做法 ：採取步驟以減輕最常使用的攻擊技術。
詳細 資料： 識別需要切換至公司或學校帳戶的系統管理角色中的 Microsoft 帳戶

確保全域管理員帳戶的個別使用者帳戶和郵件轉寄

確定系統管理帳戶的密碼最近已變更

開啟密碼雜湊同步處理

針對所有特殊許可權角色和公開的使用者，要求多重要素驗證

取得您的 Microsoft 365 安全分數（如果使用 Microsoft 365）

檢閱 Microsoft 365 安全性指引（如果使用 Microsoft 365）

設定 Microsoft 365 活動監視（如果使用 Microsoft 365）

建立事件/緊急回應計畫擁有者

保護內部部署特殊許可權系統管理帳戶

如果您未保護特殊許可權存取，您可能會發現您擁有太多具有高度特殊許可權角色的使用者，而且更容易遭受攻擊。 惡意執行者，包括網路攻擊者，通常會以系統管理員帳戶和其他特殊許可權存取元素為目標，以使用認證竊取來存取敏感性資料和系統。

控制建立資源的位置

讓雲端操作員能夠執行工作，同時防止其中斷管理組織資源所需的慣例非常重要。 想要控制資源建立位置的組織應該硬式編碼這些位置。

您可以使用 Azure Resource Manager 來建立安全性原則，其定義描述特別拒絕的動作或資源。 您可以在所需的範圍指派這些原則定義，例如訂用帳戶、資源群組或個別資源。

注意

安全性原則與 Azure RBAC 不同。 他們實際上使用 Azure RBAC 來授權使用者建立這些資源。

未控制資源建立方式的組織，較容易因為建立的資源比需要更多資源而濫用服務的使用者。 強化資源建立程式是保護多租使用者案例的重要步驟。

主動監視可疑活動

主動式身分識別監視系統可以快速偵測可疑的行為，並觸發警示以進行進一步調查。 下表列出可協助組織監視其身分識別的 Microsoft Entra 功能：

最佳做法 ：有方法可識別：

• 嘗試登入 而不追蹤 。
• 針對特定帳戶的暴力密碼破解 攻擊。
• 嘗試從多個位置登入。
• 來自 受感染裝置 的登入。
• 可疑的 IP 位址。

詳細 資料：使用 Microsoft Entra ID P1 或 P2 異常報告 。 讓 IT 系統管理員每天或視需要執行這些報告的程式和程式（通常是在事件回應案例中）。

最佳做法 ：主動監視系統會通知您風險，並可調整風險層級（高、中或低）以符合您的業務需求。
詳細 資料：使用 Microsoft Entra ID Protection，此保護 會標幟自己儀表板上目前的風險，並透過電子郵件傳送每日摘要通知。 為了協助保護貴組織的身分識別，您可以設定風險型原則，以在達到指定的風險層級時自動回應偵測到的問題。

未主動監視其身分識別系統的組織有遭入侵使用者認證的風險。 若不知道可疑的活動是透過這些認證進行，組織就無法減輕這類威脅。

使用 Microsoft Entra ID 進行儲存體驗證

Azure 儲存體 支援使用 Microsoft Entra ID 進行 Blob 儲存體和佇列儲存體的驗證和授權。 透過 Microsoft Entra 驗證，您可以使用 Azure 角色型存取控制，將特定許可權授與使用者、群組和應用程式，並授與個別 Blob 容器或佇列的範圍。

建議您使用 Microsoft Entra ID 來驗證儲存體 的存取權。

後續步驟

請參閱 Azure 安全性最佳作法和模式 ，以取得當您使用 Azure 設計、部署和管理雲端解決方案時要使用的更多安全性最佳做法。