坐收事半功倍之效—探索 Microsoft Entra 的最新技術

本文作者: 身分識別和網路存取總裁 Joy Chik

今年，全球依舊面臨眾多難關。無論是不曾停歇的疫情、職場重新洗牌，還是經濟上的不確定性，事實證明，唯一不變的之處就是萬物皆變¹。在此一經濟現況下，許多組織紛紛開始著重提高效率。此舉也讓安全性團隊 (和其他所有人) 備感壓力。對許多安全性團隊而言，追求效率意味著減少所用資源，即便網路攻擊數量節節攀升也一樣。那麼，究竟該如何應對？答案在於：尋找可坐收事半功倍之效的方法。 

不同於一般常識，只要改變自身的思維模式，事半功倍並不一定要與辛苦畫上等號。眼前的重重挑戰可帶來一大契機，讓貴組織主動出擊，並在不使用更多資源的情況下提升效能。

在上週的 Microsoft Ignite 大會中，我們分享了許多有助於坐收事半功倍之效的最新創新技術。我們在身分識別方面推出了三項功能：完整的身分識別控管解決方案、憑證式驗證 (CBA)，以及工作負載身分識別。這三項功能皆隸屬於 Microsoft Entra，也就是我們在 2022 年初推出的全新身分識別和存取產品系列。Microsoft Entra 產品系列備有最新創新技術，當中涵蓋：

• Microsoft Azure Active Directory，包含在我們旗艦版雲端身分識別產品 Microsoft Entra (Azure AD) 當中。
• Microsoft Entra 權限管理，為我們的雲端基礎架構權利管理產品。
• Microsoft Entra 驗證識別碼，為我們的分散式身分識別產品。
• Microsoft Entra Identity Governance，為我們的身分識別控管產品。
• Microsoft Entra 工作負載身分識別，這款產品可針對非自然人身分識別提供進階安全性和控管機制。

此外，我們也探索了 Microsoft Entra 可透過哪三大策略來協助您強化安全性、提高效率，並降低整體成本：

1. 整合單點式解決方案和廠商，以消弭任何不必要的項目。
2. 充分運用現有項目，以盡可能提高您的投資報酬率 (ROI)。
3. 採用最新的安全性創新技術，以防範不斷進化的威脅。

整合單點式解決方案和廠商

在整合過程中，您需要評估目前使用的工具，以及其所提供的價值。首先，請務必回答幾個基本問題：目前的工具能否保護您的整體基礎架構？您能否淘汰環境中多餘的工具？

客戶經常向我們提到，傳統身分識別控管單點式解決方案，除了無法透過擴充來因應複雜的雲端和混合式環境之外，還需整合存取權限管理工具。我們深知，讓身分識別控管解決方案滿足現代化環境和混合式工作型態的需求，有著無可比擬的重要性。

我們在 Ignite 大會上發表的 Microsoft Entra Identity Governance 是一款完善的身分識別控管解決方案，現在提供預覽版。這款透過雲端交付的服務不僅包含 Azure AD 中的現有功能，更隨附多款進階工具，能簡化身分識別管理和控管作業。Microsoft Entra Identity Governance 的新功能包括：

• 生命週期工作流程：目前已進入預覽階段。您可以使用這項功能自訂工作流程，並將重複的工作自動化，例如新進員工報到作業，以及員工離職後的清理作業。
• 權責區分：現已公開推出，且包含在權利管理功能當中。這項功能會將檢查和其他控制項自動化，以確保身分識別不會遭到過度存取。舉例來說，交易過程需牽涉到不只一人，就能降低詐騙的風險。
• 連回地端環境：Microsoft Entra Identity Governance 也支援佈建置您的地端應用程式。只要重複使用現有連接器設定，即可從 Microsoft Identity Manager 輕鬆進行移轉。

充分運用現有項目

另一項可削減成本並提高效率的重要策略，就是讓現有的解決方案發揮更高的價值。此一做法可帶領您快速實現成果，若能在過程中減少傳統地端架構，效果更是顯著。

全球數十萬個組織都已具備 Azure AD。但我們經常發現：由於客戶並未體認到它的完整潛力，因此，仍舊保有不必要的地端身分識別架構。

我們持續擴充 Azure AD 功能，上週更發表了 Microsoft Entra 憑證式驗證 (CBA) 的正式版。將 CBA 納入 Microsoft Entra 旗下，可為有意將驗證移往雲端者消除眼前的最後一道重大障礙。

除了 CBA 之外，我們也發表了多項功能，可望將能抵禦網路釣魚的多重要素驗證 (MFA) 化為現實。在後續即將推出的條件式存取驗證強度預覽版中，您將可要求使用能抵禦網路釣魚的 MFA。舉例來說，您的原則可在極度敏感的應用程式或資料存取作業中，要求使用能抵禦網路釣魚的 MFA，如此一來，就需使用 FIPS FIDO2 安全性金鑰進行額外的驗證。這個機制可運用在包括企業對企業 (B2B) 來賓在內的任何使用者帳戶上，任何租用戶內，以及所有 Microsoft 雲端中。後續即將推出的驗證方法原則增強功能，則能協助您依照自身的步調，排除多種有機可趁的網路釣魚方法，例如文字訊息。

這些能抵禦網路釣魚的新 MFA 功能不僅對所有客戶而言至關重要，更特別嘉惠受到嚴格管制的產業，例如應美國白宮網路安全性行政命令要求 (White House Executive Order on cybersecurity)，必須部署能抵禦網路釣魚的 MFA 之美國聯邦機構。歡迎深入了解上述功能，以及近期發表的其他 Azure Government 功能。

您也可以將身分識別基礎架構現代化，並將所有應用程式驗證從 Active Directory Federation Server (AD FS) 移至 Microsoft Entra 的 Azure AD 中，以充分運用您的解決方案。如此一來，您的使用者就能享有 Microsoft Entra 帶來的所有優勢，包括單一登入、條件式存取，以及身分識別保護。

我們深知，從 AD FS 進行移轉的作業，仍需仰賴一定的心力來完成，不過，鑑於 AD FS 已成為主要攻擊途徑，現在正是著手現代化的大好時機。為了簡化從 AD FS 進行移轉的作業，我們提供了完善的自助式和合作夥伴引導式評估，以及多項規劃工具。過去一年，我們也新增了超過 20 項功能，以確保凡是可在 AD FS 中進行的操作，皆能透過 Azure AD 來完成。

採用最新的安全性創新技術

整合您的身分識別解決方案，並充分發揮工具的效益，確實可讓您在短期內實現事半功倍之效。不過，鑑於網路攻擊不斷進化，您要如何做好萬全的準備？Benjamin Franklin 曾說過：「預防勝於治療。」在安全性領域中，這意味著在攻擊手法不斷進化之下，您應該挹注投資於可搶先加以防範的系統上。

工作負載身分識別正是持續進化的領域之一。過去的身分識別系統旨在管理自然人身分識別，不過，工作負載也需進行驗證和授權。為了存取雲端資源，並與其他工作負載通訊，企業必須仰賴安全無虞且受管理的身分識別。

CyberArk 在今年進行的一項研究顯示，68% 的工作負載可存取敏感資料和資產²。因此，這個問題不容小覷。過去三年內，Microsoft Entra 中的工作負載身分識別數量已達原先的三倍以上。現在，非自然人身分識別的數量遠比自然人身分識別更多，並達到 5:1 的比例，在五年之內，此一比例可望突破 20:1。

我們在 Ignite 大會上宣布：Microsoft Entra 工作負載身分識別將於 2022 年 11 月推出正式版。這款解決方案可將條件式存取和身分識別保護等進階功能延伸至非自然人身分識別，以協助保護您的工作負載。

這個 Microsoft Entra 系列生力軍可協助您使用同樣熟悉的系統、使用者介面 (UI) 及架構，以控制存取權限、偵測風險，並將行為模式可預測性較低的工作負載存取生命週期予以簡化。

現在，您可以將零信任原則套用至工作負載，以強化自身的防禦能力。

立即坐收事半功倍之效

事半功倍雖為一大挑戰，卻也成為新的常態。在雙方共同旅程中的每個階段，我們將致力於提供所需的工具和資源，以確保貴組織安全無虞。在此同時，敬請思考本部落格所提供的幾項策略，以強化您的防禦機制，同時提升效率。

我深信，即便身處具備重重挑戰的艱困環境中，各位都可實現出色的成果，也期望 Microsoft Entra 中的各項創新技術能助您一臂之力，讓每個人都可安全存取各種內容。

若要深入了解近期的發表內容，歡迎觀賞我的 Ignite 研討會。

深入了解 Microsoft Entra。

如需深入了解 Microsoft 安全性解決方案，請前往我們的網站。歡迎將安全性部落格加入書籤中，一手掌握 Microsoft 專家所提供的安全性建議。此外，也請透過 @MSFTSecurity 關注我們，以獲得網路安全的最新消息和更新資訊。

¹ 簡化員工上線程序：Microsoft 如何回應職場重新洗牌，Joy Chik，2022 年 5 月 31 日。

² CyberArk 2022 年身分識別安全性威脅現況報告，CyberArk，2022 年。