在 Microsoft Entra 中,我们将安全建议分组到几个主要领域。 此结构允许组织以逻辑方式将项目分解成相关的易耗品区块。
Tip
一些组织可能会按照书面说明采取这些建议,而另一些组织可能选择根据自己的业务需求进行修改。 在本指南的初始版本中,我们将重点介绍传统的 劳动力租户。 这些员工租户适用于员工、内部业务应用和其他组织资源。
建议在可用许可证的情况下实现以下所有控制措施。 这些模式和做法有助于为基于此解决方案构建的其他资源提供基础。 随着时间推移,将向本文档添加更多控件。
保护标识和机密
通过实施新式标识标准来降低凭据相关风险。
| 检查 | 所需的最低许可证 |
|---|---|
| 应用程序未配置客户端机密 | Microsoft Entra ID P1 |
| 应用程序没有过期时间超过 180 天的证书 | Microsoft Entra ID P1 |
| 需要定期轮换应用程序证书 | Microsoft Entra ID P1 |
| 强制实施应用机密和证书的标准 | Microsoft Entra ID P1 |
| Microsoft服务应用程序未配置凭据 | Microsoft Entra ID P1 |
| 用户同意设置受到限制 | Microsoft Entra ID P1 |
| 已启用管理员同意工作流 | Microsoft Entra ID P1 |
| 特权帐户是云本机标识 | Microsoft Entra ID P2 |
| 所有特权角色分配都实时激活,不会永久处于活动状态 | Microsoft Entra ID P2 |
| 已启用 Passkey 身份验证方法 | 无(包含在 Microsoft Entra ID 中) |
| 特权帐户注册了防钓鱼方法 | Microsoft Entra ID P1 |
| 特权Microsoft Entra 内置角色以条件访问策略为目标,以强制实施防钓鱼方法 | Microsoft Entra ID P1 |
| 需要管理员角色的密码重置通知 | Microsoft Entra ID P1 |
| 阻止旧式身份验证 | Microsoft Entra ID P1 |
| 启用了临时访问传递 | Microsoft Entra ID P1 |
| 从旧 MFA 和 SSPR 策略迁移 | Microsoft Entra ID P1 |
| 自助密码重置不使用安全问题 | Microsoft Entra ID P1 |
| 禁用短信和语音呼叫身份验证方法 | Microsoft Entra ID P1 |
| 保护 MFA 注册(我的安全信息)页 | Microsoft Entra ID P1 |
| 使用云身份验证 | Microsoft Entra ID P1 |
| 所有用户都需要注册 MFA | Microsoft Entra ID P2 |
| 用户配置了强身份验证方法 | Microsoft Entra ID P1 |
| 用户登录活动使用令牌保护 | Microsoft Entra ID P1 |
| Microsoft Authenticator 应用显示登录上下文 | Microsoft Entra ID P1 |
| Microsoft Authenticator 应用报告可疑活动设置已启用 | Microsoft Entra ID P1 |
| 密码过期已禁用 | Microsoft Entra ID P1 |
| 智能锁定阈值设置为 10 或更少 | Microsoft Entra ID P1 |
| 将组织术语添加到禁止的密码列表中 | Microsoft Entra ID P1 |
| 要求使用用户作对设备加入和设备注册进行多重身份验证 | Microsoft Entra ID P1 |
| 本地管理员密码解决方案已部署 | Microsoft Entra ID P1 |
| 启用Microsoft Entra ID 安全性默认值 | 无(包含在 Microsoft Entra ID 中) |
保护租户和隔离生产系统
| 检查 | 所需的最低许可证 |
|---|---|
| 创建新租户的权限仅限于租户创建者角色 | Microsoft Entra ID 免费版 |
| 来宾访问仅限于已批准的租户 | Microsoft Entra ID 免费版 |
| 来宾未分配高特权目录角色 | Microsoft Entra ID 免费版 Microsoft PIM 的条目 ID P2 或 Microsoft ID 治理 |
| 来宾无法邀请其他来宾 | Microsoft Entra ID 免费版 |
| 来宾对目录对象的访问受限 | Microsoft Entra ID 免费版 |
| 为所有多租户应用程序配置应用实例属性锁 | Microsoft Entra ID 免费版 |
| 来宾没有长时间的登录会话 | Microsoft Entra ID P1 |
| 来宾访问受强身份验证方法的保护 | Microsoft Entra ID 免费版 Microsoft为条件访问推荐的 Entra ID P1 |
| 禁用通过用户流进行来宾自助注册 | Microsoft Entra ID 免费版 |
| 配置出站跨租户访问设置 | Microsoft Entra ID 免费版 Microsoft为条件访问推荐的 Entra ID P1 |
| 来宾不在租户中拥有应用 | Microsoft Entra ID 免费版 |
| 所有客人都有赞助商 | Microsoft Entra ID 免费版 针对权利管理和访问评审Microsoft Entra ID P2 或 Microsoft ID Governance |
| 已禁用或删除非活动来宾标识 | Microsoft Entra ID 免费版 针对权利管理和访问评审Microsoft Entra ID P2 或 Microsoft ID Governance |
保护网络
保护网络外围。
| 检查 | 所需的最低许可证 |
|---|---|
| 已配置命名位置 | Microsoft Entra ID P1 |
| 已配置租户限制 v2 策略 | Microsoft Entra ID P1 |
保护工程系统
保护软件资产并提高代码安全性。
| 检查 | 所需的最低许可证 |
|---|---|
| 正确配置紧急访问帐户 | Microsoft Entra ID P1 |
| 全局管理员角色激活触发审批工作流 | Microsoft Entra ID P2 |
| 全局管理员无权访问 Azure 订阅 | Microsoft Entra ID P2 |
| 创建新的应用程序和服务主体仅限于特权用户 | Microsoft Entra ID P1 |
| 非活动应用程序没有高特权Microsoft图形 API 权限 | Microsoft Entra ID P1 |
| 非活动应用程序没有高特权的内置角色 | Microsoft Entra ID P1 |
| 应用注册使用安全的重定向 URI | Microsoft Entra ID P1 |
| 服务主体使用安全重定向 URI | Microsoft Entra ID P1 |
| 应用注册不得具有悬而未完成或放弃的域重定向 URI | Microsoft Entra ID P1 |
| 对应用程序的特定于资源的许可受到限制 | Microsoft Entra ID P1 |
| 工作负荷标识未分配特权角色 | Microsoft Entra ID P1 |
| 企业应用程序必须要求显式分配或作用域内预配 | Microsoft Entra ID P1 |
| 将每个用户的最大设备数限制为 10 | 无(包含在 Microsoft Entra ID 中) |
| 已配置特权访问工作站的条件访问策略 | Microsoft Entra ID P1 |
监视和检测网络威胁
收集和分析安全日志并会审警报。
| 检查 | 所需的最低许可证 |
|---|---|
| 已为所有Microsoft Entra 日志配置诊断设置 | Microsoft Entra ID P1 |
| 特权角色激活已配置监视和警报 | Microsoft Entra ID P2 |
| 特权用户使用防钓鱼方法登录 | Microsoft Entra ID P1 |
| 所有高风险用户均会审 | Microsoft Entra ID P2 |
| 所有高风险登录都会进行会审 | Microsoft Entra ID P2 |
| 所有用户登录活动都使用强身份验证方法 | Microsoft Entra ID P1 |
| 解决了高优先级Microsoft Entra 建议 | Microsoft Entra ID P1 |
| 已启用 ID 保护通知 | Microsoft Entra ID P2 |
| 没有旧式身份验证登录活动 | Microsoft Entra ID P1 |
| 解决了所有Microsoft Entra 建议 | Microsoft Entra ID P1 |
加速响应和修正
改进安全事件响应和事件通信。
| 检查 | 所需的最低许可证 |
|---|---|
| 根据风险策略配置工作负荷标识 | Microsoft Entra 工作负载 ID |
| 限制高风险登录 | Microsoft Entra ID P2 |
| 限制对高风险用户的访问 | Microsoft Entra ID P2 |