安全性控制：身分識別和 存取控制

注意

這裡 提供最新的 Azure 安全性基準檢驗。

身分識別和存取管理建議著重於解決與身分識別型訪問控制相關的問題、鎖定系統管理存取、警示身分識別相關事件、異常帳戶行為，以及角色型訪問控制。

3.1：維護系統管理帳戶的清查

Azure 識別碼	CIS 識別碼	責任
3.1	4.1	客戶

Azure AD 具有必須明確指派且可查詢的內建角色。 使用 Azure AD PowerShell 模組來執行臨機操作查詢，以探索屬於系統管理群組成員的帳戶。

• 如何使用 PowerShell 在 Azure AD 中取得目錄角色

• 如何使用 PowerShell 在 Azure AD 中取得目錄角色的成員

3.2：變更預設密碼 (如果適用)

Azure 識別碼	CIS 識別碼	責任
3.2	4.2	客戶

Azure AD 沒有默認密碼的概念。 其他需要密碼的 Azure 資源會強制使用複雜度需求和最小密碼長度來建立密碼，這會根據服務而有所不同。 您必須負責使用預設密碼的第三方應用程式和市集服務。

3.3：使用專用的系統管理帳戶

Azure 識別碼	CIS 識別碼	責任
3.3	4.3	客戶

建立使用專用系統管理帳戶的標準作業程式。 使用 Azure 資訊安全中心「管理存取權和許可權」安全性控制中的建議，監視系統管理帳戶的數目。

您也可以使用適用於 Microsoft 服務的 Azure AD Privileged Identity Management Privileged Roles 和 Azure Resource Manager，啟用 Just-In-Time/Just-Enough-Access。

• 深入瞭解 Privileged Identity Management

3.4：搭配 Azure Active Directory 使用單一登入 (SSO)

Azure 識別碼	CIS 識別碼	責任
3.4	4.4	客戶

盡可能使用 Azure Active Directory SSO，而不是設定個別的獨立認證。 使用 Azure 資訊安全中心「管理存取權和許可權」安全性控制中的建議。

• 瞭解與 Azure AD 搭配運作的 SSO

3.5：針對所有 Azure Active Directory 型存取使用多重要素驗證

Azure 識別碼	CIS 識別碼	責任
3.5	4.5, 11.5, 12.11, 16.3	客戶

啟用 Azure AD MFA，並遵循 Azure 資訊安全中心 身分識別和存取管理建議。

• 如何在 Azure 中啟用 MFA

• 如何在 Azure 資訊安全中心監視身分識別和存取

3.6：使用專用電腦 (特殊權限存取工作站) 進行所有系統管理工作

Azure 識別碼	CIS 識別碼	責任
3.6	4.6, 11.6, 12.12	客戶

使用PAW (特殊許可權存取工作站，) 設定 MFA 來登入及設定 Azure 資源。

• 瞭解特殊權限存取工作站

• 如何在 Azure 中啟用 MFA

3.7：從系統管理帳戶記錄和警示可疑活動

Azure 識別碼	CIS 識別碼	責任
3.7	4.8, 4.9	客戶

當環境中發生可疑或不安全的活動時，請使用 Azure Active Directory 安全性報告來產生記錄和警示。 使用 Azure 資訊安全中心來監視身分識別和存取活動。

• 如何識別已標示為有風險活動的 Azure AD 使用者

• 如何在 Azure 資訊安全中心監視使用者的身分識別和存取活動

3.8：僅從核准的位置管理 Azure 資源

Azure 識別碼	CIS 識別碼	責任
3.8	11.7	客戶

使用條件式存取具名位置，只允許從IP位址範圍或國家/地區的特定邏輯群組進行存取。

• 如何在 Azure 中設定具名位置

3.9：使用 Azure Active Directory

Azure 識別碼	CIS 識別碼	責任
3.9	16.1, 16.2, 16.4, 16.5, 16.6	客戶

使用 Azure Active Directory 作為集中驗證和授權系統。 Azure AD 會對待用資料和傳輸中資料使用增強式加密，以保護資料安全。 Azure AD 也會對使用者認證進行 Salt 處理、雜湊處理並安全儲存資料。

• 如何建立及設定 Azure AD 執行個體

3.10：定期檢閱並協調使用者存取

Azure 識別碼	CIS 識別碼	責任
3.10	16.9, 16.10	客戶

Azure AD 提供記錄，以協助探索過時的帳戶。 此外，使用 Azure 身分識別存取權檢閱有效率地管理群組成員資格、企業應用程式的存取權，以及角色指派。 您可以定期檢閱使用者的存取權，以確定只有適當的使用者具有持續存取權。

• 瞭解 Azure AD 報告

• 如何使用 Azure 身分識別存取權檢閱

3.11：監視嘗試存取停用的認證

Azure 識別碼	CIS 識別碼	責任
3.11	16.12	客戶

您可以存取 Azure AD 登入活動、稽核和風險事件記錄來源，這可讓您與任何 SIEM/監視工具整合。

若要簡化此流程，您可以建立 Azure Active Directory 使用者帳戶的診斷設定，並將稽核記錄和登入記錄傳送到 Log Analytics 工作區。 您可以在 Log Analytics 工作區中設定所需的警示。

• 如何將 Azure 活動記錄整合到 Azure 監視器中

3.12：帳戶登入行為偏差警示

Azure 識別碼	CIS 識別碼	責任
3.12	16.13	客戶

使用 Azure AD Risk 和 Identity Protection 功能來設定自動回應，以偵測到與使用者身分識別相關的可疑動作。 您也可將資料內嵌到 Azure Sentinel 中，以便進一步調查。

• 如何檢視有風險的 Azure AD 登入

• 如何設定和啟用身分識別保護風險原則

• 如何使 Azure Sentinel 上線

3.13：在支援案例期間為 Microsoft 提供相關客戶資料的存取權

Azure 識別碼	CIS 識別碼	責任
3.13	16	客戶

在 Microsoft 需要存取客戶數據的支援案例中，客戶加密箱會提供介面供您檢閱和核准或拒絕客戶數據存取要求。

• 了解客戶加密箱

下一步

• 請參閱下一個安全性控制： 數據保護