Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Прежде чем любой пользователь сможет использовать Azure, им требуется безопасное и хорошо управляемое удостоверение. Идентификатор Microsoft Entra — это основа управления удостоверениями и доступом в Azure. В этой статье описаны основные шаги по созданию надежной основы идентификации. Независимо от того, настраиваете ли вы новый тенант или усиливаете безопасность в существующем, эти рекомендации помогут защитить доступ к облачным ресурсам с самого начала.
Необходимые условия:создание учетной записи Azure. Стартапы видят, имеет ли вы право на кредиты Azure.
Создание отдельных учетных записей пользователей
Каждый пользователь, которому требуется доступ к Azure, должен иметь собственную учетную запись пользователя в Microsoft Entra. Эта настройка помогает обеспечить подотчетность и упрощает отслеживание изменений и применение политик безопасности.
Добавьте личный домен. При создании клиента Microsoft Entra он поставляется с доменом по умолчанию (yourtenant.onmicrosoft.com). При добавлении личного домена (например, contoso.com), пользователи могут войти с знакомыми именами, например [email protected]. Если вы создаете учетные записи перед добавлением личного домена, их необходимо обновить позже. Подробные инструкции см. в разделе "Добавление имени личного домена" в клиент в Microsoft Entra.
Создайте уникальную учетную запись для каждого пользователя. Не разрешайте общие учетные записи. Общие учетные записи затрудняют отслеживание и назначение ответственности за изменения. Инструкции см. в руководстве по созданию, приглашению и удалению пользователей в Microsoft Entra.
Создание учетных записей аварийного доступа. Создайте две учетные записи аварийного доступа , чтобы обеспечить доступ к клиенту, если обычные методы входа завершаются ошибкой.
Назначение ролей управления удостоверениями
Microsoft Entra использует управление доступом на основе ролей (RBAC) для назначения ролей пользователям, группам, назначаемым ролями или субъектам-службам. Эти роли определяют действия, которые они могут выполнять в Microsoft Entra, Microsoft 365 Admin Center, Microsoft Defender, Microsoft Purview и т. д. Она включает создание учетных записей, управление группами и настройку политик безопасности.
Используйте встроенные роли. Корпорация Майкрософт предоставляет предопределенные роли для распространенных задач. Каждая роль имеет определенный набор разрешений. Например, роль администратора пользователя может создавать учетные записи пользователей и управлять ими. Просмотрите список встроенных ролей Microsoft Entra и назначьте только то, что вам нужно.
Назначение ролей на основе минимальных привилегий. Предоставить пользователям разрешения, необходимые только для выполнения их работы. Если кому-то не нужно управлять Microsoft Entra, Microsoft 365 Admin Center, Microsoft Defender или Microsoft Purview, оставьте их обычным пользователем без назначений ролей.
Используйте JIT-доступ. Если у вашей организации есть лицензия microsoft Entra Privileged Identity Management (PIM), пользователи могут активировать повышенные разрешения только при необходимости и в течение ограниченного времени. Эта настройка снижает риск наличия слишком большого количества пользователей с постоянным высоким уровнем доступа.
Ограничение доступа к роли глобального администратора. Роль глобального администратора имеет полный контроль над клиентом Microsoft Entra. Не используйте эту роль для повседневных задач.
Регулярно просматривайте назначения ролей. Проверьте, кто имеет роли, назначенные и удалите все, которые больше не нужны. Встроенные отчеты и оповещения можно использовать для мониторинга изменений.
Дополнительные сведения см. в рекомендациях по ролям Microsoft Entra.
Настройка многофакторной проверки подлинности
Многофакторная проверка подлинности (MFA) помогает защитить организацию от скомпрометированных учетных данных и несанкционированного доступа.
Общие сведения о безопасности по умолчанию. Новые клиенты Microsoft Entra имеют параметры безопасности по умолчанию , включенные автоматически. Эти параметры требуют, чтобы все пользователи регистрируются для MFA, требуют от администраторов выполнять MFA каждый вход и требовать от конечных пользователей выполнять MFA при необходимости.
Используйте условный доступ для расширенных сценариев. Если ваша организация нуждается в большей гибкости, вы можете создать политики условного доступа для принудительного применения MFA только в определенных ситуациях, например при входе пользователей из незнакомых расположений. Параметры безопасности и условный доступ нельзя использовать одновременно. Чтобы включить условный доступ, необходимо сначала отключить параметры безопасности по умолчанию и получить лицензию premium. См. раздел "Безопасный вход пользователей с помощью многофакторной проверки подлинности Microsoft Entra".