上一篇

下一步

创建标识和访问管理基线

已完成

标识和访问管理 (IAM) 是授予访问权限和增强公司资产安全性的关键。 若要保护和控制基于云的资产，必须管理 Azure 管理员、应用程序开发人员和应用程序用户的标识和访问权限。

IAM 安全建议

以下部分介绍了 CIS Microsoft Azure Foundations Security Benchmark v. 1.3.0 中的 IAM 建议。 每项建议都包含要在 Azure 门户中完成的基本步骤。 应为自己的订阅完成这些步骤，并使用自己的资源来验证每个安全建议。 注意，“级别 2”选项可能会限制某些功能或活动，因此请仔细考虑你决定执行的安全选项。

重要

必须是 Microsoft Entra 实例的管理员才能完成其中一些步骤。

限制访问 Microsoft Entra 管理门户 - 级别 1

不是管理员的用户无权访问 Microsoft Entra 管理门户，因为数据很敏感，并且应用的是最低特权原则。

1. 登录 Azure 门户。 搜索并选择 Microsoft Entra ID。

2. 在左侧菜单中的“管理”下，选择“用户”。

3. 在左侧菜单中，选择“用户设置”。

4. 在“用户设置”中的“管理门户”下，确保“限制访问 Microsoft Entra 管理门户”设置为“是”。 如果将此值设置为“是”，则会阻止所有非管理员访问 Microsoft Entra 管理门户中的任何数据。 此设置不会限制使用 PowerShell 或其他客户端（例如 Visual Studio）进行访问。

5. 如果更改任何设置，请在菜单栏中选择“保存”。

为 Microsoft Entra 用户启用多重身份验证

• 为 Microsoft Entra ID 特权用户启用多重身份验证 - 级别 1
• 为 Microsoft Entra 非特权用户启用多重身份验证 - 级别 2

为所有 Microsoft Entra 用户启用多重身份验证。

1. 登录 Azure 门户。 搜索并选择 Microsoft Entra ID。

2. 在左侧菜单中的“管理”下，选择“用户”。

3. 在“所有用户”菜单栏中，选择“每用户 MFA”。

   

4. 在“多重身份验证”窗口中，确保为所有用户将“多重身份验证状态”设置为“已启用”。 要启用多重身份验证，请选择用户。 在“快速步骤”下，选择“启用”>“启用多重身份验证”。

   

不要记住受信任设备上的多重身份验证 - 级别 2

记住用户信任的设备和浏览器的多重身份验证功能是对于所有多重身份验证用户来说都免费的功能。 用户使用多重身份验证成功登录到设备后，可在指定天数内跳过后续验证。

如果帐户或设备遭到入侵，在受信任设备上记住多重身份验证可能会影响安全性。 安全建议是关闭记住受信任设备的多重身份验证。

1. 登录 Azure 门户。 搜索并选择 Microsoft Entra ID。

2. 在左侧菜单中的“管理”下，选择“用户”。

3. 在“所有用户”菜单栏中，选择“每用户 MFA”。

4. 在“多重身份验证”窗口中，选择用户。 在快速步骤下，选择“管理用户设置”。

   

5. 选中“在所有记住的设备上还原多重身份验证”复选框，然后选择“保存”。

   

无来宾用户或访问权限受限的来宾用户 - 级别 1

确保不存在任何来宾用户，或者如果业务需要来宾用户，确保来宾限制受到限制。

1. 登录 Azure 门户。 搜索并选择 Microsoft Entra ID。

2. 在左侧菜单中的“管理”下，选择“用户”。

3. 选择“添加筛选器”按钮。

4. 对于“筛选器”，请选择“用户类型”。 对于“值”，请选择“来宾”。 选择“应用”以验证不存在来宾用户。

   

5. 如果更改任何设置，请在菜单栏中选择“保存”。

密码选项

• 重置密码时通知用户 - 级别 1
• 当其他管理员重置其密码时通知所有管理员 - 级别 2
• 需要两种方法来重置密码 - 级别 1

设置多重身份验证后，攻击者必须破坏这两种标识身份验证形式，然后才能恶意重置用户密码。 确保密码重置需要两种形式的标识身份验证。

1. 登录 Azure 门户。 搜索并选择 Microsoft Entra ID。

2. 在左侧菜单中的“管理”下，选择“用户”。

3. 在左侧菜单中，选择“密码重置”。

4. 在左侧菜单中的“管理”下，选择“身份验证方法”。

5. 将“重置所需的方法数”设置为 2。

6. 如果更改任何设置，请在菜单栏中选择“保存”。

设置重新确认用户身份验证方法的间隔 - 级别 1

如果身份验证重新确认已关闭，则系统不会提示注册用户重新确认其身份验证信息。 更安全的选项是在设定的时间间隔内打开身份验证重新确认。

1. 登录 Azure 门户。 搜索并选择 Microsoft Entra ID。

2. 在左侧菜单中的“管理”下，选择“用户”。

3. 在左侧菜单窗格中，选择“密码重置”。

4. 在左侧菜单中的“管理”下，选择“注册”。

5. 确保“在多少天后要求用户重新确认其身份验证信息”未设置为“0”。 默认值为 180 天。

6. 如果更改任何设置，请在菜单栏中选择“保存”。

来宾邀请设置 - 级别 2

只有管理员才能邀请来宾用户。 限制对管理员的邀请可确保只有获得授权的帐户才有权访问 Azure 资源。

1. 登录 Azure 门户。 搜索并选择 Microsoft Entra ID。

2. 在左侧菜单中的“管理”下，选择“用户”。

3. 在左侧菜单中，选择“用户设置”。

4. 在“用户设置”窗格中的“外部用户”下，选择“管理外部协作设置”。

5. 在“外部协作设置”中的“来宾邀请设置”下，选择“只有分配给特定管理员角色的用户才能邀请来宾用户”。

   

6. 如果更改任何设置，请在菜单栏中选择“保存”。

用户可以创建和管理安全组 - 级别 2

启用此功能后，Microsoft Entra ID 中的所有用户都可以创建新的安全组。 创建安全组的操作应仅限管理员。

1. 登录 Azure 门户。 搜索并选择 Microsoft Entra ID。

2. 在左侧菜单中的“管理”下，选择“组”。

3. 在“所有组”窗格中，在左侧菜单中的“设置”下，选择“常规”。

4. 对于“安全组”，确保“用户可以在 Azure 门户、API 或 PowerShell 中创建安全组”设置为“否”。

   

5. 如果更改任何设置，请在菜单栏中选择“保存”。

启用自助服务组管理 - 级别 2

除非业务需要将自助服务组管理委派给各种用户，否则安全建议是禁用此功能。

1. 登录 Azure 门户。 搜索并选择 Microsoft Entra ID。

2. 在左侧菜单中的“管理”下，选择“组”。

3. 在“所有组”窗格中，在左侧菜单中的“设置”下，选择“常规”。

4. 在“自助服务组管理”下，确保所有选项设置为“否”。

5. 如果更改任何设置，请在菜单栏中选择“保存”。

应用程序选项 - 允许用户注册应用 - 级别 2

要求是管理员才可注册自定义应用程序。

1. 登录 Azure 门户。 搜索并选择 Microsoft Entra ID。

2. 在左侧菜单中的“管理”下，选择“用户”。

3. 在左侧菜单中，选择“用户设置”。

4. 在“用户设置”窗格中，确保“应用注册”设置为“否”。

5. 如果更改任何设置，请在菜单栏中选择“保存”。

继续