你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
在任何人都可以使用 Azure 之前,他们需要一个安全且托管良好的标识。 Microsoft Entra ID 是 Azure 中标识和访问管理的主干。 本文将指导你完成建立强标识基础的基本步骤。 无论是在设置新租户还是加强现有租户的安全性,这些最佳做法都有助于保护对云资源的访问。
先决条件:创建 Azure 帐户。 初创公司 查看你是否符合 Azure 额度 的资格。
创建单个用户帐户
每个需要访问 Azure 的人员都应在 Microsoft Entra 中拥有自己的用户帐户。 此设置有助于确保问责,并更轻松地跟踪更改并强制实施安全策略。
添加自定义域。 创建Microsoft Entra 租户时,它附带默认域(yourtenant.onmicrosoft.com)。 添加自定义域(例如 ,contoso.com),用户可以使用熟悉的名称登录,例如 alex@contoso.com。 如果在添加自定义域之前创建帐户,则需要稍后对其进行更新。 有关详细步骤,请参阅 在 Microsoft Entra 中将自定义域名添加到租户。
为每个用户创建唯一帐户。 不允许共享帐户。 共享帐户难以跟踪和分配更改责任。 有关说明,请参阅 如何在 Microsoft Entra 中创建、邀请和删除用户。
创建紧急访问帐户。 创建两个 紧急访问帐户 ,以确保正常登录方法失败时可以访问租户。
分配标识管理角色
Microsoft Entra 使用基于角色的访问控制(RBAC)向用户、可分配角色的组或服务主体分配角色。 这些角色定义他们可以在 Entra、Microsoft 365 管理中心、Microsoft Defender、Microsoft Purview 等Microsoft内执行的作。 它包括创建帐户、管理组和配置安全策略。
使用内置角色。 Microsoft为常见任务提供预定义的角色。 每个角色都有一组特定的权限。 例如,用户管理员角色可以创建和管理用户帐户。 查看 Microsoft Entra 内置角色 的列表,并仅分配所需的角色。
根据最低特权分配角色。 仅向用户授予执行其工作所需的权限。 如果某人不需要管理 Microsoft Entra,Microsoft 365 管理中心、Microsoft Defender 或 Microsoft Purview,请将他们保留为没有角色分配的常规用户。
使用实时访问。 如果你的组织拥有 Microsoft Entra Privileged Identity Management (PIM)的许可证,则只能允许用户在需要时激活提升的权限,并在有限的时间内激活提升的权限。 此设置可降低拥有过多具有永久高级访问权限的用户的风险。
限制全局管理员角色访问权限。 全局管理员角色可以完全控制Microsoft Entra 租户。 不要将此角色用于日常任务。
定期查看角色分配。 检查分配了哪些角色并删除不再需要的任何角色。 可以使用内置报表和警报来帮助监视更改。
有关详细信息,请参阅 Microsoft Entra 角色最佳做法。
配置多重身份验证
多重身份验证(MFA)可帮助保护组织免受凭据泄露和未经授权的访问。
了解安全默认值。 新的Microsoft Entra 租户已自动启用 安全默认值 。 这些设置要求所有用户注册 MFA,要求管理员执行每次登录的 MFA,并要求最终用户在必要时执行 MFA。
对高级方案使用条件访问。 如果你的组织需要更大的灵活性,则可以创建条件访问策略,以仅在特定情况下强制实施 MFA,例如当用户从不熟悉的位置登录时。 安全默认值和条件访问不能同时使用。 若要启用条件访问,必须先禁用安全默认值并获取高级许可证。 请参阅 安全用户使用 Microsoft Entra 多重身份验证登录。