本文章說明使用 Microsoft Entra 角色型存取控制 (Microsoft Entra RBAC) 的一些最佳做法。 這些最佳做法衍生自我們的 Microsoft Entra RBAC 經驗和客戶的經驗。 我們也建議您閱讀我們的詳細安全性指引,以在 Microsoft Entra ID 中保護混合式和雲端部署的特殊許可權存取。
1.套用最低權限原則
規劃存取控制策略時,最佳做法是以最低權限管理。 最低權限表示您只授與管理員完成其工作所需的權限。 將角色指派給管理員時,有三個層面需考慮:一組具體權限、涵蓋具體範圍、適用具體期間。 即使一開始看起來較方便,仍應避免在較廣的範圍內指派更廣泛的角色。 藉由限制角色和範圍,可以減少一旦安全性主體遭到入侵時有風險的資源。 Microsoft Entra RBAC 支援超過 65 個 內建角色。 有 Microsoft Entra 角色可管理目錄物件,例如使用者、群組與應用程式等,也可以管理 Microsoft 365 的服務,例如 Exchange、SharePoint 和 Intune。 若要進一步瞭解Microsoft Entra 內建角色,請參閱 瞭解Microsoft Entra 標識符中的角色。 如果沒有符合您需求的內建角色,您可以建立自己的 自定義角色。
尋找正確的角色
請遵循下列步驟來協助您找到正確的角色。
流覽至 Entra ID>角色和管理員>所有角色。
使用 [服務] 篩選器來縮小角色清單的範圍。
![在系統管理中心中開啟 [角色和系統管理員] 頁面,並開啟 [服務篩選]。](media/best-practices/roles-administrators.png)
請參閱 Microsoft Entra 內建角色 檔。 系統會列出與每個角色相關的權限,以提供更好的可讀性。 若要瞭解角色許可權的結構和意義,請參閱 如何瞭解角色許可權。
![在系統管理中心中開啟 [角色和系統管理員] 頁面,並開啟 [服務篩選]。](media/best-practices/roles-administrators.png#lightbox)
2. 使用特權身份管理來授予即時存取權
最低權限的其中一個準則,是應該僅在需要時授與存取權。 Microsoft Entra Privileged Identity Management (PIM) 可讓您將及時存取權授與系統管理員。 Microsoft 建議您在 Microsoft Entra ID 中使用 PIM。 使用 PIM,使用者可被授予 Microsoft Entra 角色的資格,然後於需要時,啟用該角色以在有限的時間內行使權限。 超過時間範圍時,系統會自動移除特殊權限存取權。 您也可以設定 PIM 設定,以便在使用者啟用其角色指派或其他角色設定時,要求核准或接收通知電子郵件。 有新使用者新增至高度特殊權限角色時,通知會提供警示。 如需詳細資訊,請參閱 在 Privileged Identity Management 中設定Microsoft Entra 角色設定。
3.為所有系統管理員帳戶開啟多重要素驗證
根據我們的研究,如果您使用多重要素驗證(MFA),您的帳戶是 99.9% 不太可能遭到入侵。
您可以使用兩種方法在 Microsoft Entra 角色上啟用 MFA:
4. 設定週期性存取權檢閱,以撤銷一段時間內不需要的權限
存取權檢閱可讓組織定期檢閱系統管理員的存取權,以確保只有適當的人員可以繼續存取。 定期審核管理員極為重要,原因如下:
- 惡意分子可能會入侵帳戶。
- 公司內的員工調換組別。 如果沒有進行稽核,一段時間後可能會積累不必要的存取權。
Microsoft 建議您使用存取權檢閱來尋找及移除不再需要的角色指派。 這可協助您降低未經授權或過度存取權的風險,並維護您的合規性標準。
如需關於角色存取權檢閱的資訊,請參閱 在 PIM 中建立 Azure 資源及 Microsoft Entra 角色的存取權檢閱。 如需了解有關指派角色的群組檢閱資訊,請參閱 在 Microsoft Entra ID 中建立群組和應用程式的存取檢閱。
5.限制全域管理員的數目為小於 5
最佳做法是,Microsoft建議您將全域管理員角色指派給組織中 少於五 個人。 全域系統管理員基本上擁有不受限制的存取權,讓受攻擊面降低才符合您的最佳利益。 如先前所述,所有這些帳戶都應該受到多重要素驗證的保護。
如果您有 5 個以上的特殊許可權全域管理員角色指派, 全域管理員 警示卡片會顯示在 [Microsoft Entra 概觀] 頁面上,以協助您監視全域管理員角色指派。
根據預設,當使用者註冊 Microsoft 雲端服務時,會建立 Microsoft Entra 租用戶,且使用者會獲指派全域系統管理員角色。 獲指派全域系統管理員角色的使用者,可以讀取及修改 Microsoft Entra 組織中幾乎所有的系統管理設定。 但也有幾個例外,如全域管理員也可以讀取並修改您 Microsoft 365 組織中的所有設定。 全域管理員也能夠提升其存取權,以利讀取資料。
Microsoft建議組織永久將兩個僅限雲端的緊急存取帳戶指派為全域管理員角色。 這些帳戶具有高度特殊權限,不會指派給特定個人。 這些帳戶僅限於無法使用正常帳戶或所有其他系統管理員意外被鎖定的緊急或「打破玻璃」情況。這些帳戶應遵循緊急存取帳戶建議來創建。
6.將特殊權限角色指派的數目限制為小於 10
某些角色包含特殊權限,例如更新認證的能力。 由於這些角色可能會導致特權提升,因此您應該將這些特殊許可權角色指派的使用限制在組織中 少於10 個。 如果您超過 10 個特殊權限角色指派,則會在 [角色和系統管理員] 頁面上顯示警告。
您可以尋找 PRIVILEGED 標籤來辨認具有特殊權限的角色、許可權和角色指派。 如需詳細資訊,請參閱 Microsoft Entra ID 中的特殊許可權角色和許可權。
7. 使用群組進行 Microsoft Entra 角色指派,並委派角色指派的權限
如果您有利用群組的外部治理系統,則應該考慮將角色指派給 Microsoft Entra 群組,而非個別使用者。 您也可以在 PIM 中管理可指派角色的群組,確保這些特殊權限群組中沒有任何永久擁有者或成員。 如需詳細資訊,請參閱群組的特殊許可權身分識別管理 (PIM)。
您可以將擁有者指派給具有角色指派功能的群組。 該擁有者可決定要在群組中新增或移除的人,因此間接決定了誰取得角色指派。 如此一來,特殊許可權角色管理員就可以使用群組來委派每個角色的角色管理。 如需詳細資訊,請參閱 使用 Microsoft Entra 群組來管理角色指派。
8.使用適用於群組的 PIM,同時啟用多個角色
可能是某個人透過 PIM 獲得了五到六個符合資格的 Microsoft Entra 角色指派。 他們將必須個別啟用每個角色,這麼做可能會降低生產力。 更糟的是,他們也可能獲得數十或數百個 Azure 資源指派,使得問題更加惡化。
在此情況下,您應該針對群組使用 Privileged Identity Management (PIM)。 建立適用於群組的 PIM,並為其授與對多個角色的永久存取 (Microsoft Entra ID 和/或 Azure)。 讓該使用者成為此群組的合格成員或擁有者。 只要啟用一次,就可以存取所有已連結的資源。
9.使用 Microsoft Entra 角色的雲端原生帳戶
避免使用本地同步的帳戶來指派 Microsoft Entra 角色。 如果您的內部部署帳戶遭到入侵,它也可能會危害您的 Microsoft Entra 資源。