Azure 标识管理安全概述

标识管理是对 安全主体进行身份验证和授权的过程。 它还涉及控制有关这些主体的信息（标识）。 安全主体（标识）可能包括服务、应用程序、用户、组等。Microsoft标识和访问管理解决方案可帮助 IT 部门保护对企业数据中心和云中应用程序和资源的访问。 此类保护可实现其他级别的验证，例如多重身份验证和条件访问策略。 通过高级安全报告、审核和警报监视可疑活动有助于缓解潜在的安全问题。 Microsoft Entra ID P1 或 P2 为数千个云软件即服务（SaaS）应用提供单一登录（SSO），并访问在本地运行的 Web 应用。

利用 Microsoft Entra ID 的安全优势，可以：

• 为混合企业中的每个用户创建和管理单一标识，从而使用户、组和设备保持同步。
• 提供对应用程序的 SSO 访问权限，包括数千个预先集成的 SaaS 应用。
• 通过对本地应用程序和云应用程序强制执行基于规则的多重身份验证，启用应用程序访问安全措施。
• 通过 Microsoft Entra 应用程序代理预配对本地 Web 应用程序的安全远程访问。

本文的目的是概述有助于进行标识管理的核心 Azure 安全功能。 我们还提供了指向文章的链接，这些文章提供了每个功能的详细信息，以便了解详细信息。

本文重点介绍以下核心 Azure 标识管理功能：

• 单一登录
• 反向代理
• 多重身份验证
• Azure 基于角色的访问控制 (Azure RBAC)
• 安全监控、警报和基于机器学习的报告
• 消费者标识和访问管理
• 设备注册
• 特权身份管理
• 身份保护
• 混合标识管理/Azure AD 连接
• Microsoft Entra 访问评审

单一登录

单一登录（SSO）意味着只需使用单个用户帐户登录一次，即可访问需要开展业务的所有应用程序和资源。 登录后，无需再次进行身份验证（例如，键入密码），即可访问所需的所有应用程序。

许多组织依赖于 SaaS 应用程序，例如 Microsoft 365、Box 和 Salesforce，以提高用户工作效率。 从历史上看，IT 人员需要在每个 SaaS 应用程序中单独创建和更新用户帐户，而用户需要记住每个 SaaS 应用程序的密码。

Microsoft Entra ID 将本地 Active Directory 环境扩展到云中，使用户能够使用其主要组织帐户不仅登录到已加入域的设备和公司资源，而且还能登录到其作业所需的所有 Web 和 SaaS 应用程序。

用户不仅不必管理多个用户名和密码集，还可以根据其组织组及其员工状态自动预配或取消预配应用程序访问权限。 Microsoft Entra ID 引入了安全性和访问控制控制，你可以集中管理用户跨 SaaS 应用程序的访问权限。

了解详细信息：

• SSO 概述
• 有关身份验证基础知识的视频
• 有关应用程序管理的快速入门系列

反向代理

Microsoft Entra 应用程序代理允许你在专用网络上发布应用程序，例如专用网络中基于 SharePoint 网站、 Outlook Web App 和基于 IIS 的应用，并提供对网络外部用户的安全访问。 应用程序代理为许多类型的本地 Web 应用程序提供远程访问和 SSO，其中包含数千个Microsoft Entra ID 支持的 SaaS 应用程序。 员工可以在自己的设备上从家登录应用，并通过此基于云的代理进行身份验证。

了解详细信息：

• 启用 Microsoft Entra 应用程序代理
• 使用 Microsoft Entra 应用程序代理发布应用程序
• 使用应用程序代理进行单一登录
• 使用条件访问

多重身份验证

Microsoft Entra 多重身份验证是一种身份验证方法，需要使用多个验证方法，并将关键的第二层安全性添加到用户登录和事务。 多重身份验证可帮助保护对数据和应用程序的访问，同时可以满足用户对简单登录过程的需求。 它通过各种验证选项提供强身份验证：电话呼叫、短信、移动应用通知或验证码和第三方 OAuth 令牌。

了解详细信息： Microsoft Entra 多重身份验证的工作原理

Azure RBAC

Azure RBAC 是基于 Azure 资源管理器构建的授权系统，可提供对 Azure 中资源的精细访问管理。 使用 Azure RBAC 可以精细控制用户拥有的访问级别。 例如，可以将用户限制为仅管理虚拟网络，另一个用户管理资源组中的所有资源。 Azure 包含多个可用的内置角色。 下面列出了四个基本的内置角色。 前三个角色适用于所有资源类型。

• 所有者 - 具有对所有资源的完全访问权限，包括委派对其他人的访问权限的权限。
• 参与者 - 可以创建和管理所有类型的 Azure 资源，但不能向其他人授予访问权限。
• 读取者 - 可以查看现有的 Azure 资源。
• 用户访问管理员 - 允许管理用户对 Azure 资源的访问权限。

了解详细信息：

• 什么是 Azure 基于角色的访问控制 (Azure RBAC)？
• Azure 内置角色

安全监控、警报和基于机器学习的报告

用于识别不一致的访问模式的安全监视、警报和基于机器学习的报表有助于保护业务。 可以使用 Microsoft Entra ID 访问和使用情况报告来了解组织目录的完整性和安全性。 利用此信息，目录管理员可以更好地确定可能存在的安全风险，以便他们能够充分规划行动以缓解这些风险。

在 Azure 门户中，报表分为以下类别：

• 异常报告：包含我们发现异常的登录事件。 我们的目标是让你了解此类活动，并使你能够确定事件是否可疑。
• 集成应用程序报告：提供有关云应用程序在组织中如何使用的见解。 Microsoft Entra ID 提供与数千个云应用程序的集成。
• 错误报告：指示将帐户预配到外部应用程序时可能发生的错误。
• 用户特定的报告：显示特定用户的设备登录活动数据。
• 活动日志：包含过去 24 小时内、过去 7 天或过去 30 天内所有已审核事件的记录，以及组活动更改和密码重置和注册活动。

了解详细信息： Microsoft Entra ID 报告指南

消费者标识和访问管理

外部租户中的 Microsoft Entra 外部 ID 是一项高度可用的全局性标识管理服务，适用于面向用户且可通过缩放来处理数亿标识的应用程序。 它可以跨移动平台和 Web 平台进行集成。 使用者可以使用现有的社交帐户或创建新凭据，通过可自定义的体验登录到所有应用程序。

过去，想要注册客户并将其登录到其应用程序的应用程序开发人员将编写自己的代码。 他们使用本地数据库或系统存储用户名和密码。 Microsoft Entra 外部 ID 为组织提供了一种更好的方法，通过安全、基于标准的平台和大量的可扩展策略将使用者标识管理集成到应用程序中。

使用 Microsoft Entra 外部 ID 时，使用者可以使用其现有社交帐户（Facebook、Google、Amazon、LinkedIn）或创建新凭据（电子邮件地址和密码或用户名和密码）注册应用程序。

详细了解外部租户中的 Microsoft Entra 外部 ID

设备注册

Microsoft Entra 设备注册是基于设备的条件访问方案的基础。 注册设备时，Microsoft Entra 设备注册为设备提供一个标识，该标识用于在用户登录时对设备进行身份验证。 然后，可以使用经过身份验证的设备和设备的属性为云中和本地托管的应用程序强制实施条件访问策略。

与移动设备管理解决方案（如 Intune）结合使用时，Microsoft Entra ID 中的设备属性将更新，并提供有关设备的其他信息。 然后，可以创建条件访问规则，以强制从设备进行访问，以满足安全性和合规性标准。

了解详细信息：

• Microsoft Entra 设备注册入门
• 将已加入 Windows 域的设备自动注册到 Microsoft Entra ID

特权身份管理

使用 Microsoft Entra Privileged Identity Management，可以管理、控制和监视特权标识以及访问 Microsoft Entra ID 和其他Microsoft联机服务（如 Microsoft 365 和 Microsoft Intune）中的资源。

用户有时需要在 Azure 或 Microsoft 365 资源或其他 SaaS 应用中执行特权作。 这通常意味着组织必须向用户授予Microsoft Entra ID 中的永久特权访问权限。 此类访问是云托管资源的增长的安全风险，因为组织无法充分监控用户使用其管理员权限执行的操作。 此外，如果具有特权访问权限的用户帐户遭到入侵，则此漏洞可能会影响组织的整体云安全性。 Microsoft Entra Privileged Identity Management 可帮助缓解此风险。

使用 Microsoft Entra Privileged Identity Management，可以：

• 查看哪些用户是 Microsoft Entra 管理员。
• 启用对 Microsoft 365 和 Intune 等Microsoft服务的按需实时（JIT）管理访问权限。
• 获取有关管理员访问历史记录以及管理员分配更改的报告。
• 获取有关访问特权角色的警报。

了解详细信息：

• 什么是 Microsoft Entra Privileged Identity Management？
• 在 PIM 中分配 Microsoft Entra 目录角色

身份保护

Microsoft Entra ID Protection 是一项安全服务，它提供对影响组织标识的风险检测和潜在漏洞的合并视图。 标识保护利用现有的 Microsoft Entra 异常检测功能，这些功能可通过 Microsoft Entra 异常活动报告获得。 标识保护还引入了新的风险检测类型，这些类型可以实时检测异常。

了解详细信息： Microsoft Entra ID 保护

混合标识管理（Microsoft Entra Connect）

Microsoft的标识解决方案跨越本地和基于云的功能，创建单个用户标识，以便对所有资源进行身份验证和授权，而不考虑位置。 我们称此为混合标识。 Microsoft Entra Connect 专用于满足和完成混合标识目标的 Microsoft 工具。 这样，你可以为用户提供与 Microsoft Entra ID 集成的 Microsoft 365、Azure 和 SaaS 应用程序的通用标识。 它提供以下功能：

• 同步
• AD FS 和联合集成
• 直通身份验证
• 健康监测

了解详细信息：

• 混合标识白皮书
• Microsoft Entra ID

Microsoft Entra 访问评审

Microsoft Entra 访问评审使组织能够有效地管理组成员身份、对企业应用程序的访问权限和特权角色分配。

详细了解：Microsoft Entra 访问评审