許多 IT 人接手公司帳號時,搜「Azure AD 設定教學」「條件式存取怎麼設」,想知道的是具體怎麼規劃與設定,例如員工帳號如何集中管理、MFA 多因素驗證如何導入、什麼的情境下該擋下或者是放行。當系統數量龐雜、帳號散落各在不同資料夾或部門,光是釐清誰擁有哪些權限,就足以讓人卻步。

在詳細開始說明之前,先和大家說明:「微軟已將過去大家熟悉的 Azure AD 更名為 Entra ID」,其功能並未刪減,而是延伸與整合。

一、迷思:Azure AD 和 Entra ID 是否相同?

是的,是同一套產品,只是新舊名稱不同。微軟已於品牌整併時將原本的目錄服務更名,並把更多身分相關能力(例如外部身分、身分治理)納入同一個產品家族,帳號、群組、應用程式指派這些日常操作的核心觀念完全沒有改變,管理的範疇都是同一件事:誰能登入以及哪些人能存取什麼資料

因此,當您看到舊文件寫著 Azure AD、新介面顯示新名稱時,不必擔心是兩套系統。把這個對應關係先釐清,後續的每一項設定才不會被名稱混淆。建議在內部文件中同時標註新舊名稱,讓資深同仁與新進人員都能對得上,交接時也會相對順暢。

Azure AD/Entra ID 名稱與功能對照

舊名稱(Azure AD 時期)現名稱(Entra ID)功能說明
Azure Active DirectoryMicrosoft Entra ID核心目錄與身分服務,管理帳號、群組、應用程式登入
Azure AD Premium P1Microsoft Entra ID P1進階授權,含條件式存取等功能
Azure AD Premium P2Microsoft Entra ID P2最高階授權,含身分保護、PIM 等進階功能
Azure AD Conditional Access條件式存取(Conditional Access)依情境決定放行、加驗或封鎖的存取控制(功能名不變,歸於 Entra 下)
Azure AD Identity ProtectionMicrosoft Entra ID Protection偵測與因應風險登入、風險使用者
Azure AD Privileged Identity Management (PIM)Microsoft Entra Privileged Identity Management特權角色的即時、限時指派與稽核
Azure AD ConnectMicrosoft Entra Connect地端 AD 與雲端身分同步的橋接工具
Azure AD Domain ServicesMicrosoft Entra Domain Services提供受管的網域服務(如傳統網域加入)
Azure AD External IdentitiesMicrosoft Entra External ID管理外部合作夥伴、顧客身分
Azure AD rolesMicrosoft Entra roles目錄層級的角色與權限指派

根據來源:微軟於 2023 年 7 月宣布將 Azure Active Directory 更名為 Microsoft Entra ID,並同步調整上述關聯產品名稱;如有更新建議您以微軟官方文件為準,不放入上表。

延伸閱讀:Azure Active Directory 外部身分識別

二、企業身分管理關鍵第一步:全面導入 MFA 多因素驗證

在所有設定之前,需要先瞭解一個觀念:「單靠密碼及防火牆,早已不足以保護企業。」因為密碼會外洩,被釣魚、被猜測或資料庫外洩的風險極高。MFA(Multi-Factor Authentication, 多重要素驗證)的價值在於:就算密碼不慎外洩,攻擊者若沒有員工手機上的第二道驗證,依然無法越雷池一步 。

MFA 多因素驗證跟密碼的差異

除了密碼,還需要再加上「持有裝置」或「本人特徵」這一關,例如登入時須在手機 App 上確認。如此一來,即使有心人士取得了密碼,仍然無法登入,這是防駭投報率最高、也最該優先處理的一步。

根據宏庭科技的經驗,導入MFA並非把功能一次全開這麼簡單,需要搭配合宜的推行策略,才能兼顧安全與員工使用體驗。

全面導入 MFA 的推行順序:建議先管理員後再延伸至全員

宏庭科技的建議是,IT 人員不要一開始就對全公司強制開啟。較穩妥的做法,是先從擁有高權限的管理員帳號著手:這批帳號一旦遭盜用,殺傷力最大,理應優先受到保護。待管理員端運作穩定、流程確認無誤後,再分階段往一般員工推行,讓同仁有足夠的適應期,也讓您有餘裕逐一處理零星狀況,避免同一時間湧入大量求助。

驗證方式的選擇上,簡訊、驗證器 App 與實體安全金鑰各有強度與體驗上的取捨,可依帳號重要性分層採用:高權限主管使用安全金鑰、一般員工以驗證器 App 為主力、過渡期再輔以簡訊。

MFA 驗證方式比較:簡訊、App、金鑰

比較項目簡訊驗證碼(SMS)驗證器 App(如 Microsoft Authenticator)實體安全金鑰(FIDO2)
安全強度較低中高最高
主要風險可能遭 SIM 卡側錄、門號劫持、簡訊攔截推播疲勞、誤按核准(可搭配數字配對降低)幾乎可抵禦網路釣魚,風險極低
使用體驗最直覺、免安裝,收碼即用需安裝 App,推播核准或輸入動態碼需隨身攜帶硬體、插入或感應
是否需連網/收訊需手機收訊推播需連網,動態碼可離線產生不需連網或收訊
導入成本低(可能有簡訊費用)低(App 免費,員工用個人手機即可)較高(須採購硬體金鑰)
適用對象過渡期、低權限帳號一般員工主力方案高權限管理員、重要主管
建議定位暫用,逐步淘汰全員預設關鍵帳號優先

補充說明:簡訊驗證易受 SIM 劫持與側錄,安全性相對最低;驗證器 App 以推播或動態碼(TOTP)運作,安全與體驗均衡;FIDO2 實體金鑰採公開金鑰加密、可抵禦網路釣魚,為現行最高強度做法。上述為業界普遍共識的分層採用邏輯,非特定單一數據來源。

常見導入阻力與應對配套

要讓同仁配合,建議讓公司同仁盡可能的理解這套系統所扮演的角色。Entra ID 是企業的身分中樞,它管理所有員工帳號、決定每一個人能登入哪些系統、能碰觸哪些資料。您可以把它想成公司的門禁總管:員工要進入任何一道門,都要先經過它驗證身分、檢查權限。

當同仁明白多驗一次不是刁難,而是這位「門禁總管」在替全公司把關,導入時的阻力自然會下降。搭配清楚的說明與教學,讓每個人知道為什麼要做、對自己有什麼保障,配套到位,推行就會順暢許多。建議可以採取以下三步驟配套措施:

  • 提供清晰的教學:教導員工下載並使用包含通知功能的 Microsoft Authenticator App,比輸入簡訊驗證碼更方便 。  
  • 設定信任的裝置與位置:透過條件式存取,設定在公司內部網路或已受管理的設備登入時,減少重複驗證的次數。
  • 保留備援驗證方式:確保員工在手機遺失或更換設備時,有其他方式可以登入,減輕 IT 客服的負擔。

宏庭科技有相當多的輔導經驗,如您的企業有需要或已經選擇了宏庭科技的服務,可以隨時與我們聯繫洽詢

三、條件式存取怎麼設?打造專屬的零信任防線

完成 MFA的導入後,條件式存取會是相當實用的功能,因為它不再用同一套標準對待每一次登入,而是看情境決定放行或驗證。舉例來說,同一位員工,在公司內用公司電腦登入時直接放行;但若在外面、用一台陌生的裝置登入,系統就要求再次驗證,甚至直接擋下。這種「依情況決定信任程度」的判斷,正是條件式存取的核心邏輯,也是零信任防線最實際的落地方式。

常見條件式存取情境與對應政策

情境(IF:判斷條件)對應政策(THEN:控制動作)設定用意
公司內網+受管裝置登入直接放行,不重複要求驗證已知環境降低干擾,維持作業效率
從境外或非常用地區 IP 登入要求 MFA 再次驗證攔截異地盜用,確認為本人
使用未納管的個人裝置存取敏感系統封鎖,或僅允許唯讀、限制下載防止資料外流到不受控裝置
系統判定為高風險登入(異常行為)直接封鎖並通知管理員阻斷明顯攻擊,即時示警
存取財務、人資等機密應用程式強制 MFA,並要求使用受管瀏覽器高敏感資源提高門檻
管理員或高權限帳號登入一律強制 MFA,可縮短連線時效高權限風險大,加嚴管控
舊版驗證通訊協定(Legacy Auth)登入直接封鎖舊協定不支援 MFA,為常見破口
一般員工於上班時間、常用裝置登入放行,僅定期要求重新驗證兼顧安全與日常順暢

建議設定邏輯:條件式存取以「看是誰、從哪、用什麼裝置、風險多高」為判斷基準,符合信任條件即放行、可疑則加驗、明顯高風險則封鎖。上表為實務常見情境的通用對應,非特定單一來源;實際政策仍須依貴組織的角色、資源敏感度與作業習慣調整。

條件式存取四大規範建議:看誰、從哪、用什麼裝置、風險多高

條件式存取的判斷建立在四大基準之上:看是誰、從哪裡登入、用什麼裝置、行為風險多高,再據此決定是否放行。運作上可分為三個層次:

第一,核心輸入:多維度訊號(Signals,即「IF」條件):包含登入者身分、來源 IP 與地理位置、裝置是否受管、本次登入的風險評分。

第二,核心決策:控制與獎懲(Decisions,即「THEN」控制):符合條件即放行、可疑則要求 MFA、明顯高風險則直接封鎖。

第三,存取後的持續監控(Session Controls):放行之後仍可限制下載、要求使用受管瀏覽器或縮短連線時效,確保信任不會一次給到底。

常見規則設定範圍(境外登入加驗證、未納管裝置擋下)

實務上最常設定的規則,包括:從境外 IP 登入時要求額外驗證、使用未納管的個人裝置存取敏感系統時直接擋下、判定為高風險的登入則予以封鎖,這能讓安全與效率取得平衡,同時,建議設定時由寬到嚴、逐步收斂,先確保不影響日常作業,再逐項提高門檻。

設定時最常遇到的問題(規則衝突、管理員連自己都鎖住)

因為第一次設置,企業往往不小心將規則設得太嚴、又沒有預留例外,結果連管理員自己都被鎖住無法登入。為避免這類情況發生,我們會建議設定條件式存取時,請務必先保留一個緊急存取帳號,並將其排除在最嚴格的政策之外。

同時,建議先以「僅監控」模式試跑一段時間,觀察哪些正常登入會被誤擋,調整妥當後再正式套用。這是避免一個設定失誤就可能導致全公司登不進來的最後一道防線。

四、帳號生命週期與 SSO 集中管理:避免離職帳號擴大風險

許多資安破口,並非來自高深的攻擊手法,而是源於離職帳號忘記撤回權限,這很簡單的事情,卻簡單的容易因為疏忽而遺忘,要杜絕這類風險,關鍵在於有系統地管理帳號的整個生命週期。

到職、調動、離職的帳號流程

完整的流程應涵蓋員工在職的每個節點。到職時,依角色以群組指派對應權限,避免逐一手動設定造成錯誤的權限指派;跨部門調動時,同步調整權限,該收回的舊權限一併收回,避免權限隨資歷不斷累積;離職當天,第一時間停用帳號、收回所有存取權限。把這套標準作業流程固定下來,就不必再依賴管理員或員工去記「某人上週離職了」,安全性也更有保障。

以單一登入(SSO)集中管理點

單一登入(SSO)帶來的好處相當直接:員工只需記住一組密碼,就能通行各項應用程式,不必在一堆帳密之間切換。對 IT 人員而言,則是最大的價值在能將管理集中:「當員工離職時,您只需要在同一個關卡停用」,即可一次收回所有系統的存取權,既省時又安全;登入點收斂成一處,MFA 與條件式存取也有地方統一套用。

五、規劃 Entra ID 的常見順序

若您是從零開始規劃,有一個合理的推進順序:先盤點現況、再開 MFA、接著設定條件式存取、最後建立定期檢視機制。依此順序推進,每一步都建立在前一步的基礎之上,不會白費工,也不會顧此失彼。

盤點現況 → 開 MFA → 設定條件式存取 → 建立檢核機制

第一步,盤點現況,先攤開目前有哪些帳號、權限如何配置,許多公司光是完成盤點,就能清出一堆問題,例如殭屍帳號、權限過大或共用帳號。

第二步,全面開啟 MFA,把基本防線先架起來。

第三步,以條件式存取做環境化的管控,讓信任程度隨情境調整。

第四步,建立定期檢視的機制,讓整套設定得以持續維持在健康狀態。

中小企業與大型組織的規劃差異

規模不同,規劃的深度也應不同。中小企業人數少、架構單純,重點放在把 MFA 與基本的條件式存取做起來,就能收到很大的效果;大型組織則部門眾多、角色複雜,還須加上細緻的權限分層與帳號生命週期管理。請勿把大型組織的複雜度硬套在小團隊上,也不宜以小公司的簡便做法應付大型組織的需求。

授權等級的影響(進階功能需要對應方案)

需特別提醒您,條件式存取、PIM 特權管理、Access Reviews 等進階功能,通常需要對應到較高的授權等級,並非每個方案都內含。規劃前,請務必先確認手上的授權涵蓋哪些功能,以免設計了一套實際上用不了的方案,或臨時才發現需要補足授權,容易造成管理混亂。

六、為什麼選宏庭科技協助企業企業身分管理

身分管理牽涉的從來不只是單一設定,而是政策如何設計、規劃如何落地、與公司實際運作是否契合的整體判斷。宏庭科技的價值,在於從帳號現況盤點開始,一路協助企業規劃 Entra ID、設計條件式存取政策、並建立定期檢視機制,從評估到落地一條龍陪同,而非只是只交付某個階段的設定。

不只是設定工具,還幫企業訂出貼合組織的政策

同樣一套工具,政策訂得好不好,導入的結果差異非常大,例如哪些角色能有哪些權限、什麼情境需要加驗證、多久檢核一次,每一項都是決策。宏庭科技除了替您完成設定,更會針對貴組織的實際運作,把每個步驟背後的政策一併訂清楚,讓工具真正發揮價值。

如何避開條件式存取設定錯誤導致「無法登入」

條件式存取一旦設定失誤,可能導致全公司都登不進來,這類陷阱往往要有實戰經驗才閃得過。宏庭科技清楚知道哪裡該先保留緊急帳號、哪些規則該先測試再上線,能協助企業避開這些會釀成大事的實作地雷,安全地把每一條規則落地。

七、常見問題 FAQ

Q1:開 MFA 員工會不會很反彈、很難推?

A:初期一定會有些摩擦,但配套做好就能大幅降低。提供清楚的教學、設定可信任裝置以減少重複驗證、先從管理員推行再擴及全員並給予適應期,根據我們的經驗,多數員工使用一兩次後就習慣了,會抗拒通常是溝通不足造成,而一時的不便,換來的安全卻非常值得。

Q2:用 Microsoft 365 就內含這些功能嗎?

A:基礎的身分與部分 MFA 能力,Microsoft 365 已有內含;但條件式存取、PIM、Access Reviews 等進階功能,通常需要對應到較高的授權等級。規劃前,建議請先盤點現有授權涵蓋哪些範圍,再決定是否補足,以免多花費用或設計了用不上的功能。

Q3:公司原本就有的地端 AD,導入時需要一起處理嗎?

A:需要一併納入規劃。多數企業會採混合架構,讓地端帳號與雲端身分同步,員工使用同一組帳密。地端與雲端如何銜接、哪些帳號該同步,屬於盤點階段就要確認的項目,避免後續兩邊各自為政。

Q4:權限與政策設定完成後,多久該檢視一次?

A:身分設定不是一次到位就永遠適用。建議至少每季檢視一次權限配置與存取政策,並在人員調動、離職或組織異動時即時調整。定期檢視能清出過期權限與殭屍帳號,是維持這道門長期有效的關鍵。

Q5:緊急存取帳號(break-glass)一定要設嗎?該怎麼準備?

A:強烈建議設置。它是條件式存取或 MFA 設定失誤導致無法登入時的最後退路。做法是保留一至兩組高權限帳號、排除在最嚴格政策之外,妥善保管憑證並限制日常使用,僅在緊急情況啟用。

身分管理,永遠是企業資安的第一道門

員工帳號,就是每一家公司的第一道門。從企業資安投報率最高的起點著手:把 Entra ID 規劃妥當、MFA 全面開啟、條件式存取依情境管控、帳號生命週期持續顧好,這道門守住了,後面的資安佈局才有意義。若您希望把企業身分管理從零規劃到落地,歡迎聯絡宏庭科技的專業團隊,我們將從盤點現況開始,陪您一步步把這道門建得穩固。

宏庭科技取得數發部人工智慧技術服務機構能量登錄認證

想順利導入?歡迎洽詢宏庭科技