Microsoft Entra 常规作指南参考

Microsoft Entra作参考指南的此部分介绍了优化 Microsoft Entra ID 的常规作时应采取的检查和作。

关键操作过程

将所有者分配到关键任务

管理 Microsoft Entra ID 需要持续执行关键操作任务和过程，这可能并不属于一个推出项目。 设置这些任务对于优化环境仍非常重要。 关键任务及其建议所有者包括：

查看列表时，可能会发现需要为缺少所有者的任务分配所有者，或使用与上述建议不符的所有者来调整任务的所有权。

所有者建议阅读

• 在 Microsoft Entra ID 中分配管理员角色

混合管理

最新版本的本地组件

拥有最 up-to的本地组件的日期版本为客户提供了所有最新的安全更新、性能改进和功能，这些更新有助于进一步简化环境。 大多数组件都有自动升级设置，这将自动执行升级过程。

这些组件包括：

• Microsoft Entra Connect
• Microsoft Entra 专用网络连接器
• Microsoft Entra 直通身份验证代理
• Microsoft Entra Connect Health 代理

除非已建立一个组件，否则应定义升级这些组件的过程，并尽可能依赖自动升级功能。 如果发现六个或更晚的组件，应尽快升级。

混合管理建议读取

• Microsoft Entra Connect：自动升级
• 了解 Microsoft Entra 专用网络连接器 |自动更新

Microsoft Entra Connect Health 警报基线

组织应部署 Microsoft Entra Connect Health ，以便监视和报告 Microsoft Entra Connect 和 AD FS。 Microsoft Entra Connect 和 AD FS 是可中断生命周期管理和身份验证的关键组件，因此会导致中断。 Microsoft Entra Connect Health 可帮助监视并深入了解本地标识基础结构，从而确保环境的可靠性。

监视环境的运行状况时，必须立即解决任何高严重性警报，然后是较低的严重性警报。

Microsoft Entra Connect Health 建议阅读

• Microsoft Entra Connect Health 代理安装

本地代理日志

某些标识和访问管理服务需要本地代理才能启用混合方案。 示例包括密码重置、直通身份验证（PTA）、Microsoft Entra 应用程序代理和 Microsoft Entra 多重身份验证 NPS 扩展。 运营团队通过存档和分析组件代理日志（如 System Center Operations Manager 或 SIEM）来基线和监视这些组件的运行状况至关重要。 Infosec 运营团队或技术支持了解如何排查错误模式同样重要。

建议读取本地代理日志

• 应用程序代理故障排除
• 自助密码重置故障排除
• 了解 Microsoft Entra 专用网络连接器
• Microsoft Entra Connect：排查直通身份验证问题
• 排查Microsoft Entra 多重身份验证 NPS 扩展的错误代码

本地代理管理

采用最佳做法可以帮助实现本地代理的最佳作。 请考虑采用以下最佳做法：

• 建议为每个连接器组提供多个Microsoft Entra 专用网络连接器，从而在访问代理应用程序时避免单一故障点，从而提供无缝的负载均衡和高可用性。 如果目前在生产环境中只处理应用程序的连接器组中有一个连接器，则应至少部署两个连接器来实现冗余。
• 创建和使用专用网络连接器组进行调试对于故障排除方案以及载入新的本地应用程序时非常有用。 我们还建议在连接器计算机上安装消息分析器和 Fiddler 等网络工具。
• 建议使用多个直通身份验证代理，在身份验证流期间避免单一故障点，从而提供无缝的负载均衡和高可用性。 确保至少部署两个直通身份验证代理来实现冗余。

建议读取本地代理管理

• 了解 Microsoft Entra 专用网络连接器
• Microsoft Entra 直通身份验证 - 快速入门

大规模管理

身份安全分数

标识安全分数提供组织安全状况的可量化度量值。 必须不断审查和解决报告的结果，并努力获得最高的分数。 评分有助于：

• 客观地衡量身份安全态势
• 规划身份安全改进
• 检查改进的成效

如果组织当前没有用于监视标识安全功能分数更改的计划，建议实施计划并分配所有者来监视和推动改进作。 组织应尽快修正分数超过 30 的改进作。

通知

Microsoft向管理员发送电子邮件通信，以通知服务中的各种更改、所需的配置更新以及需要管理员干预的错误。 客户必须设置通知电子邮件地址，以便通知发送给可以确认和处理所有通知的适当团队成员。 建议将多个收件人添加到 邮件中心 ，并请求将通知（包括Microsoft Entra Connect Health 通知）发送到通讯组列表或共享邮箱。 如果只有一个具有电子邮件地址的全局管理员帐户，请确保至少配置两个支持电子邮件的帐户。

Microsoft Entra ID 使用了两个“发件人”地址： o365mc@email2.microsoft.com发送消息中心通知;以及 azure-noreply@microsoft.com发送与以下相关的通知：

• Microsoft Entra 访问评审
• Microsoft Entra Connect Health
• Microsoft Entra ID 保护系统
• Microsoft Entra Privileged Identity Management
• 企业应用过期证书通知
• 企业应用预配服务通知

请参阅下表，了解发送的通知类型以及检查位置：

建议阅读的通知

• 更改组织的地址、技术联系人等

作外围应用

AD FS 锁定

组织将应用程序配置为直接进行身份验证，Microsoft Entra ID 受益于 Microsoft Entra 智能锁定。 如果在 Windows Server 2012 R2 中使用 AD FS，请实现 AD FS Extranet 锁定保护。 如果在 Windows Server 2016 或更高版本上使用 AD FS，请实现 Extranet 智能锁定。 建议至少启用 Extranet 锁定，以包含针对本地 Active Directory 的暴力攻击的风险。 但是，如果你在 Windows 2016 或更高版本中有 AD FS，则还应启用 Extranet 智能锁定，以帮助缓解 密码喷射 攻击。

如果 AD FS 仅用于Microsoft Entra 联合身份验证，则可以关闭某些终结点以最大程度地减少攻击外围应用。 例如，如果 AD FS 仅用于Microsoft Entra ID，则应禁用 WS-Trust 终结点，而不是为 usernamemixed 和 windowstransport 启用的终结点。

访问具有本地标识组件的计算机

组织应以与本地域相同的方式锁定对具有本地混合组件的计算机的访问。 例如，备份操作员或 Hyper-V 管理员不应登录到 Microsoft Entra Connect Server 以更改规则。

Active Directory 管理层模型设计用于在完全控制环境（第 0 层）与攻击者经常泄露的高风险工作站资产之间使用一组缓冲区来保护标识系统。

层模型由三个级别组成，仅包括管理帐户，而不是标准用户帐户。

• 第 0 层 - 直接控制环境中的企业标识。 第 0 层包括具有 Active Directory 林、域或域控制器的直接或间接管理控制以及其中的所有资产的帐户、组和其他资产。 所有第 0 层资产的安全敏感度都等效于它们彼此的有效控制。
• 第 1 层 - 控制企业服务器和应用程序。 第 1 层资产包括服务器作系统、云服务和企业应用程序。 第 1 层管理员帐户对托管在这些资产上的大量业务价值具有管理控制。 常见的示例角色是维护这些作系统的服务器管理员，能够影响所有企业服务。
• 第 2 层 - 控制用户工作站和设备。 第 2 层管理员帐户对托管在用户工作站和设备上的大量业务价值具有管理控制。 示例包括技术支持和计算机支持管理员，因为它们可能会影响几乎任何用户数据的完整性。

锁定对本地标识组件（如 Microsoft Entra Connect、AD FS 和 SQL 服务）的访问权限，就像对域控制器的访问一样。

概要

安全标识基础结构有七个方面。 此列表将帮助你找到为优化 Microsoft Entra ID 的作而应执行的作。

• 将所有者分配到关键任务。
• 自动执行本地混合组件的升级过程。
• 部署 Microsoft Entra Connect Health，以便监视和报告 Microsoft Entra Connect 和 AD FS。
• 使用 System Center Operations Manager 或 SIEM 解决方案存档和分析组件代理日志来监视本地混合组件的运行状况。
• 使用标识安全分数衡量安全状况来实现安全改进。
• 锁定 AD FS。
• 锁定对具有本地标识组件的计算机的访问。

后续步骤

有关尚未部署的任何功能的实现详细信息，请参阅 Microsoft Entra 部署计划 。