Microsoft Entra 常规操作指南参考
Microsoft Entra 操作参考指南的本部分介绍了为优化 Microsoft Entra ID 的常规操作而要执行的检查和措施。
注意
这些建议截至发布之日为最新,但可能会随着时间而改变。 组织应持续评估其操作实践,因为 Microsoft 产品和服务会不断发展。
关键操作过程
将所有者分配到关键任务
管理 Microsoft Entra ID 需要持续执行关键操作任务和过程,这可能并不属于一个推出项目。 设置这些任务对于优化环境仍非常重要。 关键任务及其建议所有者包括:
| 任务 | 所有者 |
|---|---|
| 促成标识安全分数的提高 | InfoSec 运营团队 |
| 维护 Microsoft Entra Connect Server | IAM 运营团队 |
| 定期执行和会审 IdFix 报告 | IAM 运营团队 |
| 会审 Sync 和 AD FS 的 Microsoft Entra Connect Health 警报 | IAM 运营团队 |
| 如果不使用 Microsoft Entra Connect Health,则客户应有可用于监视自定义基础结构的等效过程和工具 | IAM 运营团队 |
| 如果不使用 AD FS,则客户应有可用于监视自定义基础结构的等效过程和工具 | IAM 运营团队 |
| 监视混合日志:Microsoft Entra 专用网络连接器 | IAM 运营团队 |
| 监视混合日志:直通身份验证代理 | IAM 运营团队 |
| 监视混合日志:密码写回服务 | IAM 运营团队 |
| 监视混合日志:本地密码保护网关 | IAM 运营团队 |
| 监视混合日志:Microsoft Entra 多重身份验证 NPS 扩展(如果适用) | IAM 运营团队 |
查看列表时,你可能发现需要为缺少所有者的任务分配所有者,或使用与上述建议不符的所有者来调整任务的所有权。
有关所有者的推荐阅读文档
混合管理
本地组件的最新版本
本地组件的最新版本可为客户提供所有最新安全更新、性能改进,并有助于进一步简化环境的功能。 大多数组件都有一个自动升级设置,该设置可自动完成升级过程。
这些组件包括:
- Microsoft Entra Connect
- Microsoft Entra 专用网络连接器
- Microsoft Entra 直通身份验证代理
- Microsoft Entra Connect Health 代理
除非已建立一个过程,否则应定义一个过程来升级这些组件,并尽可能地依赖自动升级功能。 如果你发现组件有半年或更长时间未升级,应尽快升级。
有关混合管理的推荐阅读文档
Microsoft Entra Connect Health 警报基线
组织应部署 Microsoft Entra Connect Health 以用于监视和报告 Microsoft Entra Connect 和 AD FS。 Microsoft Entra Connect 和 AD FS 属于关键组件,它们可能会干扰生命周期管理和身份验证,从而导致服务中断。 Microsoft Entra Connect Health 可帮助你监视和深入了解本地标识基础结构,从而确保环境的可靠性。
监视环境的运行状况时,必须立即处理所有高严重性警报,然后再处理较低严重性的警报。
Microsoft Entra Connect Health 建议阅读
本地代理日志
某些标识和访问管理服务需要通过本地代理来启用混合方案。 示例包括密码重置、直通身份验证 (PTA)、Microsoft Entra 应用程序代理和 Microsoft Entra 多重身份验证 NPS 扩展。 运营团队必须使用 System Center Operations Manager 或 SIEM 等解决方案来存档和分析组件代理日志,依此建立这些组件的运行状况基线并监视其运行状况,这一点非常关键。 同样重要的是,Infosec 运营团队或支持人员应了解如何排查错误模式。
有关本地代理日志的推荐阅读文档
- 应用程序代理故障排除
- 排查自助密码重置问题
- 了解 Microsoft Entra 专用网络连接器
- Microsoft Entra Connect:对直通身份验证进行故障排除
- 排查 Microsoft Entra 多重身份验证 NPS 扩展的错误代码
本地代理管理
采用最佳做法有助于本地代理保持最佳运行状态。 请考虑采用以下最佳做法:
- 建议在每个连接器组中包含多个 Microsoft Entra 专用网络连接器,以避免在访问代理应用程序时出现单一故障点,从而提供无缝的负载均衡和高可用性。 如果用于处理生产环境中应用程序的连接器组中当前只有一个连接器,则应至少部署两个连接器以实现冗余。
- 出于调试目的创建并使用专用网络连接器组对于故障排除方案以及加入新本地应用程序时可能很有用。 我们还建议在连接器计算机中安装 Message Analyzer 和 Fiddler 等网络工具。
- 建议使用多个直通身份验证代理,以避免在运行身份验证流期间出现单一故障点,从而提供无缝的负载均衡和高可用性。 确保至少部署两个直通身份验证代理以实现冗余。
有关本地代理管理的推荐阅读文档
大规模管理
标识安全分数
标识安全分数为组织的安全局势提供可量化的度量。 持续评审并解决报告的问题并努力达到最高分数至关重要。 评分有助于:
- 客观衡量标识安全状况
- 规划标识安全改进
- 审查改进措施的成败
如果你的组织目前未制定任何计划来监视标识安全分数的变化,我们建议实施一个计划,并指派所有者来监视和推动改进措施。 组织应尽快修正分数影响力高于 30 的改进措施。
通知
Microsoft 将向管理员发送电子邮件,通知服务发生的各种更改、所需的配置更新,以及需要管理员干预的错误。 客户必须设置通知电子邮件地址,以便将通知发送到可以确认所有通知并对其采取措施的适当团队成员。 建议将多个收件人添加到消息中心,并请求将通知(包括 Microsoft Entra Connect Health 通知)发送到通讯组列表或共享邮箱。 如果你只有一个附带电子邮件地址的全局管理员帐户,请确保至少配置两个支持电子邮件的帐户。
Microsoft Entra ID 使用两个“发件人”地址:o365mc@email2.microsoft.com,用于发送消息中心通知的;azure-noreply@microsoft.com,用于发送与以下各项相关的通知:
- Microsoft Entra 访问评审
- Microsoft Entra Connect Health
- Microsoft Entra ID 保护
- Microsoft Entra Privileged Identity Management
- 企业应用到期证书通知
- 企业应用预配服务通知
请参阅下表了解发送的通知类型以及通知的查看位置:
| 通知源 | 发送的内容 | 检查位置 |
|---|---|---|
| 技术联系人 | 同步错误 | Azure 门户 -“属性”边栏选项卡 |
| 消息中心 | 标识服务和 Microsoft 365 后端服务的事件与降级通知 | Office 门户 |
| 标识保护每周摘要 | 标识保护摘要 | Microsoft Entra ID 保护边栏选项卡 |
| Microsoft Entra Connect Health | 警报通知 | Azure 门户 - Microsoft Entra Connect Health 边栏选项卡 |
| 企业应用程序通知 | 证书即将过期和发生预配错误时的通知 | Azure 门户 -“企业应用程序”边栏选项卡(每个应用具有自身的电子邮件地址设置) |
有关通知的推荐阅读文档
操作外围应用
AD FS 锁定
将应用程序配置为直接向 Microsoft Entra ID 进行身份验证的组织受益于 Microsoft Entra 智能锁定。 如果你在 Windows Server 2012 R2 中使用 AD FS,请实施 AD FS Extranet 锁定保护。 如果你在 Windows Server 2016 或更高版本中使用 AD FS,请实施 Extranet 智能锁定。 我们建议至少启用 Extranet 锁定,以遏制本地 Active Directory 遭受暴力攻击的风险。 但是,如果你在 Windows 2016 或更高版本中使用 AD FS,则还应启用 Extranet 智能锁定,以帮助缓解密码喷洒攻击。
如果 AD FS 仅用于 Microsoft Entra 联合身份验证,则可以禁用某些终结点以最大程度地减少受攻击面。 例如,如果 AD FS 仅用于 Microsoft Entra ID,则除了为 usernamemixed 和 windowstransport 启用的终结点之外,应禁用其他 WS-Trust 终结点。
访问具有本地标识组件的计算机
组织应该像锁定对本地域的访问那样,锁定对具有本地混合组件的计算机的访问。 例如,备份操作员或 Hyper-V 管理员应该无法登录到 Microsoft Entra Connect Server 来更改规则。
Active Directory 管理层模型用于在环境(第 0 层)完全控制和高风险工作站资产(经常受到攻击者侵害)之间使用一组缓冲区来保护标识系统。
层模型由三个级别组成,只包含管理帐户而不包含标准用户帐户。
- 第 0 层 - 直接控制环境中的企业标识。 第 0 层包括帐户、组以及对 Active Directory 林、域或域控制器及其中的所有资产具有直接或间接管理控制权的其他资产。 第 0 层中所有资产的安全敏感性是等同的,因为它们均可以有效地相互控制。
- 第 1 层 - 控制企业服务器和应用程序。 第 1 层资产包括服务器操作系统、云服务和企业应用程序。 第 1 层的管理员帐户能够管理控制这些资产上托管的大量业务价值。 常见的示例角色是服务器管理员,此角色可维护这些操作系统并能够影响所有企业服务。
- 第 2 层 - 控制用户工作站和设备。 第 2 层的管理员帐户对用户工作站和设备上托管的大量业务价值具有管理控制权。 示例包括技术支持和计算机支持管理员,因为它们可以影响几乎任何用户数据的完整性。
像锁定对域控制器的访问那样,锁定对 Microsoft Entra Connect、AD FS 和 SQL 服务等本地标识组件的访问。
总结
安全的标识基础结构体现在七个方面。 以下列表可帮助你确定在优化 Microsoft Entra ID 的操作时应采取的措施。
- 将所有者分配到关键任务。
- 自动完成本地混合组件的升级过程。
- 部署 Microsoft Entra Connect Health 以用于监视和报告 Microsoft Entra Connect 和 AD FS。
- 使用 System Center Operations Manager 或 SIEM 解决方案存档和分析组件代理日志,依此监视本地混合组件的运行状况。
- 根据标识安全分数衡量安全局势,依此实施安全改进措施。
- 锁定 AD FS。
- 锁定对具有本地标识组件的计算机的访问。
后续步骤
有关未部署的任何功能的实施详细信息,请参阅 Microsoft Entra 部署计划。