jwnfld3/azure-access-mgmt

GitHub: jwnfld3/azure-access-mgmt

一套Microsoft Entra ID身份与访问管理的实战实验指南，涵盖RBAC角色配置、条件访问策略和身份安全最佳实践。

Stars: 0 | Forks: 1

# Microsoft Entra ID 身份与访问管理 ## 定义：Entra ID 身份与访问管理 (IAM) Microsoft Entra ID Identity and Access Management 是一项基于云的身份服务，使组织能够安全管理用户身份验证以及对应用程序、设备和组织资源的访问。它提供了身份验证、授权和身份治理功能，以确保只有经过授权的用户才能访问关键系统，同时保持符合组织的安全策略。 ### 对象：本实验专为希望在 **Entra ID（原 Azure AD）** 中获得保护身份安全实践经验的 **网络安全专业人员、云管理员和 IT 安全分析师** 设计。 ### 内容：本实验将指导配置 **RBAC（基于角色的访问控制）**，以增强安全性并强制实施最小权限访问。 ### 时机：在 **授予用户访问云资源的权限之前**，实施 IAM 最佳实践至关重要，可防止 **未经授权的访问、账户泄露和权限提升攻击**。 ### 地点：本实验将在 **Microsoft Entra Portal** 中进行，使用 **Entra ID、Conditional Access 和 Security Center** 进行身份治理和保护。 ### 原因：有效的 **身份与访问管理 (IAM)** 是抵御网络威胁的 **第一道防线**。**80% 的违规行为** 与凭证薄弱或受损有关。本实验有助于： - 保护用户身份并强制实施最小权限。 - 使用 Conditional Access 和 MFA 防止未经授权的访问。 - 通过即时访问保护特权账户。 ## 实验要求 - **Microsoft Entra 订阅**（免费试用版或现有租户）。 - Entra ID 中的 **Global Administrator** 或 **Security Administrator** 角色。 - 一个用于应用安全策略的 **测试用户账户**。 **点击下方图片查看全尺寸版本** ## 实验设置与步骤 ### 1. 配置基于角色的访问控制 (RBAC) 以实现最小权限 Azure 中的 **基于角色的访问控制 (RBAC)** 是一个系统，通过在特定范围（如订阅、资源组或单个资源）向身份分配角色来管理用户和服务权限。RBAC 遵循 **最小权限原则**，确保用户和服务仅拥有执行其任务所需的最小访问权限。 ### 关键概念： - **角色定义**：权限的集合。Azure 提供内置角色（如 Owner、Contributor 和 Reader），并支持自定义角色。 - **分配**：角色分配将安全主体（用户、组或服务主体）绑定到特定范围内的角色。 - **范围**：定义访问的边界，包括订阅、资源组和单个资源。 ### 为何重要： - 通过防止对关键资源的不必要访问来 **提高安全性**。 - 通过实现对权限的细粒度控制来 **支持合规性**。 - **最大限度地降低** 环境中意外或恶意更改的风险。 ### 最小权限最佳实践： - 授予所需的最低访问级别。 - 当内置角色过于宽泛时，使用 **自定义角色**。 - 定期 **审查和审核** 角色分配。 - 将角色分配给 **组** 而不是单个用户，以便于管理。 #### 目标：使用 **Entra ID RBAC** 限制访问，确保用户仅拥有其工作所需的权限。 #### 步骤： 1. 导航到 **Entra ID → Users → 选择一个用户 → Assigned Roles → Add assignments → Directory Readers → Next → Assign**。点击 "Refresh" 以确保角色已添加到用户。刷新后，分配尚未激活，因为需要将其设置为激活状态。导航到 "Eligible Assignments" 并在 Action 类别下选择 "Update"。激活后，需要提供说明才能完成激活。之后，分配将显示在 "Active Assignments" 下。 ![image](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/5d54fa2ef5031240.png) ![image](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/548118b0d4031314.png) ![image](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/17adc0b6ec031329.png) ![image](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/25517cacc8031342.png) ![image](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/fdb3eafee5031357.png) ![image](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/8bf4a5a6df031412.png) ![image](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/667a8419a6031426.png) ![image](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/29befb6c95031439.png) ![image](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/8a8dd3a72d031455.png) ![image](https://github.com/user-attachments/assets/41fbb903-bb1c-4d64-b09e-119dea30034e) ![image](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/5011467f49031540.png) ![image](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/1cad42b493031555.png) ## 结论在本实验中，探讨了 **Entra ID IAM** 的关键原则。我们配置了 Azure Active Directory、基于角色的访问控制 (RBAC) 和 Conditional Access 策略，以管理和保护用户对 Azure 资源的访问。这些实践对于维护安全的云环境以及确保只有经过授权的个人才能访问敏感资源至关重要。

标签：AI合规, Azure Active Directory, Azure Portal, GitHub Advanced Security, IAM, IT 管理, JSONLines, MFA, Microsoft Azure, Microsoft Entra ID, PE 加载器, PIM, RBAC, Streamlit, 云计算, 人工智能安全, 合规性, 基于角色的访问控制, 多因素认证, 安全加固, 安全实验室, 安全配置, 教程, 文档, 最小权限原则, 条件访问策略, 混合身份, 渗透测试框架, 特权身份管理, 网络安全, 网络调试, 脚本, 自动化, 规则引擎, 访问控制, 账户保护, 身份与访问管理, 身份安全, 防御, 隐私保护, 零信任