bounty将在7小时后过期。回答此问题可获得+100的声望奖励。Karthikeyan Vijayakumar希望吸引更多人关注此问题:我正在设置Azure云基础架构,作为此练习的一部分,我希望创建AD组并向其授予所需权限,稍后将团队添加到相应的AD组中。
示例:全局管理员将成为名为“租户管理员”的AD组的一部分,该组将拥有全局管理员权限。
到目前为止,我的Azure租户有五个订阅(连接、管理、身份、生产、开发)。
我已经确定了以下AD组列表,并且正在根据您的现有实施寻找最佳实践或建议。
我正在设置Azure云基础架构,作为此练习的一部分,我希望创建AD组并为其提供所需权限,稍后将团队添加到相应的AD组中。
到目前为止,我的Azure租户有五个订阅(连接、管理、身份、生产、开发)。我已确定以下AD组列表,正在根据您的现有实施寻找最佳做法或建议。
1条答案
按热度按时间iqjalb3h1#
考虑到您列出的5个AD组满足您的组织要求,并且您稍后将向这些组添加predefined或自定义Azure AD角色-您可能仍需要为您确定的组遵循这些检查和最佳做法。您应注意,以下一些注意事项/功能配置将需要Azure AD P1/P2许可证:
1.分配至少两个仅限云的永久全局管理员帐户,以便在紧急情况下使用。这些帐户不是每天都要使用,并且应具有长而复杂的密码-more here。
1.仅为管理员提供他们需要访问的区域的访问权限。并非所有管理员都需要是全局管理员-more here。
1.定期重置密码可鼓励用户增加其现有密码-此处提供更多信息。
1.阻止POP、SMTP、IMAP和MAPI等无法实施MFA的旧身份验证协议,使其成为对手的首选入口点-more here。
1.强制用户在使用条件访问策略访问敏感应用程序时执行两步验证-more here。
1.为您组织中的用户启用对风险登录和受损凭据的跟踪-more here。
1.启用自动化以触发MFA、密码重置和阻止有风险的登录等事件-more here。
1.通过允许访客用户使用自己的工作、学校或社交身份登录应用和服务,与访客用户协作-more here。
1.决定你的组织允许使用哪些设备。考虑注册与加入,自带设备与公司提供的设备-more here。
1.确定组织中可以且应该使用Azure AD管理的应用程序(内部部署、SaaS应用程序和其他LOB应用程序)。
1.从正常的日常用户帐户中删除管理角色。使管理用户在通过MFA检查后有资格使用其角色,提供业务理由或发布到期批准-more here。
1.与安全性和领导团队合作创建访问查看策略,以根据您组织的策略查看管理访问权限-more here。
1.使用动态组可根据某些属性(例如部门、职务、地区和其他属性)自动将用户分配到组-more here。
1.从AD帐户生命周期中删除手动步骤以防止未经授权的访问。将标识同步到Azure AD -more here。