你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
用于实现零信任的条件访问
本部分提到的文章提供了一种使用条件访问来控制对云服务的访问,从而实现零信任原则的设计和框架。 本指南基于我们多年以来帮助客户控制其资源访问所获得的经验。
本文演示的框架代表了一种结构化方法,你可以使用此方法在安全性和可用性之间取得合理的平衡,同时确保用户访问受到控制。
本指南建议了一种结构化方法来帮助保护基于角色的访问。 其中还包括建议的角色的明细,并为每个角色定义了条件访问策略。
目标受众
本指南面向执行以下任务的人员:
- 设计安全和标识解决方案以控制对 Azure 保护的资源的访问。
- 交付解决方案后对其进行维护。
目标受众具备 Microsoft Entra ID 的基本实践知识,并对多重身份验证、条件访问、标识和安全概念有一般性的了解。
此外,建议目标受众具备领域的知识:
- Microsoft Endpoint Manager
- Microsoft Entra 标识管理
- 来宾用户 (B2B) 的 Microsoft Entra 条件访问和多重身份验证
- Microsoft Entra 安全策略和资源保护
- B2B 邀请流程
要求
每个公司都有不同的要求和安全策略。 创建体系结构并遵循此处建议的条件访问框架时,需要将公司的要求纳入考虑。 本指南包括与创建体系结构时可用作输入的零信任相关原则。 然后,可以解决特定的公司要求和策略,并相应地调整体系结构。
例如,某家公司可能具有以下要求:
- 所有访问必须至少受到两个因素的保护。
- 非托管设备上没有数据。
- 如果可能,需要符合要求的设备才能访问资源。
- 来宾用户访问必须由标识治理使用访问包和访问评审来管理。
- 对云服务的访问必须基于无密码身份验证。
条件访问指南
本部分包括以下文章:
- 条件访问设计原则和依赖项提供建议的原则以及公司的要求,充当建议的基于角色的体系结构的输入。
- 条件访问体系结构和角色引入了基于角色的方法,用于构建条件访问策略。 它还提供建议的角色,可将其用作起点。
- 条件访问框架和策略提供有关如何根据角色构建和命名条件访问策略的具体详细信息。
作者
本文由 Microsoft 维护, 它最初是由以下贡献者撰写的。
主要作者:
- Claus Jespersen | ID&Sec 首席顾问
若要查看非公开领英个人资料,请登录领英。
后续步骤
相关资源
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈