許多 IT 人接手公司帳號時,搜「Azure AD 設定教學」「條件式存取怎麼設」,想知道的是具體怎麼規劃與設定,例如員工帳號如何集中管理、MFA 多因素驗證如何導入、什麼的情境下該擋下或者是放行。當系統數量龐雜、帳號散落各在不同資料夾或部門,光是釐清誰擁有哪些權限,就足以讓人卻步。
在詳細開始說明之前,先和大家說明:「微軟已將過去大家熟悉的 Azure AD 更名為 Entra ID」,其功能並未刪減,而是延伸與整合。
目錄
目錄
一、迷思:Azure AD 和 Entra ID 是否相同?
是的,是同一套產品,只是新舊名稱不同。微軟已於品牌整併時將原本的目錄服務更名,並把更多身分相關能力(例如外部身分、身分治理)納入同一個產品家族,帳號、群組、應用程式指派這些日常操作的核心觀念完全沒有改變,管理的範疇都是同一件事:誰能登入以及哪些人能存取什麼資料。
因此,當您看到舊文件寫著 Azure AD、新介面顯示新名稱時,不必擔心是兩套系統。把這個對應關係先釐清,後續的每一項設定才不會被名稱混淆。建議在內部文件中同時標註新舊名稱,讓資深同仁與新進人員都能對得上,交接時也會相對順暢。
Azure AD/Entra ID 名稱與功能對照
| 舊名稱(Azure AD 時期) | 現名稱(Entra ID) | 功能說明 |
| Azure Active Directory | Microsoft Entra ID | 核心目錄與身分服務,管理帳號、群組、應用程式登入 |
| Azure AD Premium P1 | Microsoft Entra ID P1 | 進階授權,含條件式存取等功能 |
| Azure AD Premium P2 | Microsoft Entra ID P2 | 最高階授權,含身分保護、PIM 等進階功能 |
| Azure AD Conditional Access | 條件式存取(Conditional Access) | 依情境決定放行、加驗或封鎖的存取控制(功能名不變,歸於 Entra 下) |
| Azure AD Identity Protection | Microsoft Entra ID Protection | 偵測與因應風險登入、風險使用者 |
| Azure AD Privileged Identity Management (PIM) | Microsoft Entra Privileged Identity Management | 特權角色的即時、限時指派與稽核 |
| Azure AD Connect | Microsoft Entra Connect | 地端 AD 與雲端身分同步的橋接工具 |
| Azure AD Domain Services | Microsoft Entra Domain Services | 提供受管的網域服務(如傳統網域加入) |
| Azure AD External Identities | Microsoft Entra External ID | 管理外部合作夥伴、顧客身分 |
| Azure AD roles | Microsoft Entra roles | 目錄層級的角色與權限指派 |
根據來源:微軟於 2023 年 7 月宣布將 Azure Active Directory 更名為 Microsoft Entra ID,並同步調整上述關聯產品名稱;如有更新建議您以微軟官方文件為準,不放入上表。
延伸閱讀:Azure Active Directory 外部身分識別
二、企業身分管理關鍵第一步:全面導入 MFA 多因素驗證
在所有設定之前,需要先瞭解一個觀念:「單靠密碼及防火牆,早已不足以保護企業。」因為密碼會外洩,被釣魚、被猜測或資料庫外洩的風險極高。MFA(Multi-Factor Authentication, 多重要素驗證)的價值在於:就算密碼不慎外洩,攻擊者若沒有員工手機上的第二道驗證,依然無法越雷池一步 。
MFA 多因素驗證跟密碼的差異
除了密碼,還需要再加上「持有裝置」或「本人特徵」這一關,例如登入時須在手機 App 上確認。如此一來,即使有心人士取得了密碼,仍然無法登入,這是防駭投報率最高、也最該優先處理的一步。
根據宏庭科技的經驗,導入MFA並非把功能一次全開這麼簡單,需要搭配合宜的推行策略,才能兼顧安全與員工使用體驗。
全面導入 MFA 的推行順序:建議先管理員後再延伸至全員
宏庭科技的建議是,IT 人員不要一開始就對全公司強制開啟。較穩妥的做法,是先從擁有高權限的管理員帳號著手:這批帳號一旦遭盜用,殺傷力最大,理應優先受到保護。待管理員端運作穩定、流程確認無誤後,再分階段往一般員工推行,讓同仁有足夠的適應期,也讓您有餘裕逐一處理零星狀況,避免同一時間湧入大量求助。
驗證方式的選擇上,簡訊、驗證器 App 與實體安全金鑰各有強度與體驗上的取捨,可依帳號重要性分層採用:高權限主管使用安全金鑰、一般員工以驗證器 App 為主力、過渡期再輔以簡訊。
MFA 驗證方式比較:簡訊、App、金鑰
| 比較項目 | 簡訊驗證碼(SMS) | 驗證器 App(如 Microsoft Authenticator) | 實體安全金鑰(FIDO2) |
| 安全強度 | 較低 | 中高 | 最高 |
| 主要風險 | 可能遭 SIM 卡側錄、門號劫持、簡訊攔截 | 推播疲勞、誤按核准(可搭配數字配對降低) | 幾乎可抵禦網路釣魚,風險極低 |
| 使用體驗 | 最直覺、免安裝,收碼即用 | 需安裝 App,推播核准或輸入動態碼 | 需隨身攜帶硬體、插入或感應 |
| 是否需連網/收訊 | 需手機收訊 | 推播需連網,動態碼可離線產生 | 不需連網或收訊 |
| 導入成本 | 低(可能有簡訊費用) | 低(App 免費,員工用個人手機即可) | 較高(須採購硬體金鑰) |
| 適用對象 | 過渡期、低權限帳號 | 一般員工主力方案 | 高權限管理員、重要主管 |
| 建議定位 | 暫用,逐步淘汰 | 全員預設 | 關鍵帳號優先 |
補充說明:簡訊驗證易受 SIM 劫持與側錄,安全性相對最低;驗證器 App 以推播或動態碼(TOTP)運作,安全與體驗均衡;FIDO2 實體金鑰採公開金鑰加密、可抵禦網路釣魚,為現行最高強度做法。上述為業界普遍共識的分層採用邏輯,非特定單一數據來源。
常見導入阻力與應對配套
要讓同仁配合,建議讓公司同仁盡可能的理解這套系統所扮演的角色。Entra ID 是企業的身分中樞,它管理所有員工帳號、決定每一個人能登入哪些系統、能碰觸哪些資料。您可以把它想成公司的門禁總管:員工要進入任何一道門,都要先經過它驗證身分、檢查權限。
當同仁明白多驗一次不是刁難,而是這位「門禁總管」在替全公司把關,導入時的阻力自然會下降。搭配清楚的說明與教學,讓每個人知道為什麼要做、對自己有什麼保障,配套到位,推行就會順暢許多。建議可以採取以下三步驟配套措施:
- 提供清晰的教學:教導員工下載並使用包含通知功能的 Microsoft Authenticator App,比輸入簡訊驗證碼更方便 。
- 設定信任的裝置與位置:透過條件式存取,設定在公司內部網路或已受管理的設備登入時,減少重複驗證的次數。
- 保留備援驗證方式:確保員工在手機遺失或更換設備時,有其他方式可以登入,減輕 IT 客服的負擔。
宏庭科技有相當多的輔導經驗,如您的企業有需要或已經選擇了宏庭科技的服務,可以隨時與我們聯繫洽詢。
三、條件式存取怎麼設?打造專屬的零信任防線
完成 MFA的導入後,條件式存取會是相當實用的功能,因為它不再用同一套標準對待每一次登入,而是看情境決定放行或驗證。舉例來說,同一位員工,在公司內用公司電腦登入時直接放行;但若在外面、用一台陌生的裝置登入,系統就要求再次驗證,甚至直接擋下。這種「依情況決定信任程度」的判斷,正是條件式存取的核心邏輯,也是零信任防線最實際的落地方式。
常見條件式存取情境與對應政策
| 情境(IF:判斷條件) | 對應政策(THEN:控制動作) | 設定用意 |
| 公司內網+受管裝置登入 | 直接放行,不重複要求驗證 | 已知環境降低干擾,維持作業效率 |
| 從境外或非常用地區 IP 登入 | 要求 MFA 再次驗證 | 攔截異地盜用,確認為本人 |
| 使用未納管的個人裝置存取敏感系統 | 封鎖,或僅允許唯讀、限制下載 | 防止資料外流到不受控裝置 |
| 系統判定為高風險登入(異常行為) | 直接封鎖並通知管理員 | 阻斷明顯攻擊,即時示警 |
| 存取財務、人資等機密應用程式 | 強制 MFA,並要求使用受管瀏覽器 | 高敏感資源提高門檻 |
| 管理員或高權限帳號登入 | 一律強制 MFA,可縮短連線時效 | 高權限風險大,加嚴管控 |
| 舊版驗證通訊協定(Legacy Auth)登入 | 直接封鎖 | 舊協定不支援 MFA,為常見破口 |
| 一般員工於上班時間、常用裝置登入 | 放行,僅定期要求重新驗證 | 兼顧安全與日常順暢 |
建議設定邏輯:條件式存取以「看是誰、從哪、用什麼裝置、風險多高」為判斷基準,符合信任條件即放行、可疑則加驗、明顯高風險則封鎖。上表為實務常見情境的通用對應,非特定單一來源;實際政策仍須依貴組織的角色、資源敏感度與作業習慣調整。
條件式存取四大規範建議:看誰、從哪、用什麼裝置、風險多高
條件式存取的判斷建立在四大基準之上:看是誰、從哪裡登入、用什麼裝置、行為風險多高,再據此決定是否放行。運作上可分為三個層次:
第一,核心輸入:多維度訊號(Signals,即「IF」條件):包含登入者身分、來源 IP 與地理位置、裝置是否受管、本次登入的風險評分。
第二,核心決策:控制與獎懲(Decisions,即「THEN」控制):符合條件即放行、可疑則要求 MFA、明顯高風險則直接封鎖。
第三,存取後的持續監控(Session Controls):放行之後仍可限制下載、要求使用受管瀏覽器或縮短連線時效,確保信任不會一次給到底。
常見規則設定範圍(境外登入加驗證、未納管裝置擋下)
實務上最常設定的規則,包括:從境外 IP 登入時要求額外驗證、使用未納管的個人裝置存取敏感系統時直接擋下、判定為高風險的登入則予以封鎖,這能讓安全與效率取得平衡,同時,建議設定時由寬到嚴、逐步收斂,先確保不影響日常作業,再逐項提高門檻。
設定時最常遇到的問題(規則衝突、管理員連自己都鎖住)
因為第一次設置,企業往往不小心將規則設得太嚴、又沒有預留例外,結果連管理員自己都被鎖住無法登入。為避免這類情況發生,我們會建議設定條件式存取時,請務必先保留一個緊急存取帳號,並將其排除在最嚴格的政策之外。
同時,建議先以「僅監控」模式試跑一段時間,觀察哪些正常登入會被誤擋,調整妥當後再正式套用。這是避免一個設定失誤就可能導致全公司登不進來的最後一道防線。
四、帳號生命週期與 SSO 集中管理:避免離職帳號擴大風險
許多資安破口,並非來自高深的攻擊手法,而是源於離職帳號忘記撤回權限,這很簡單的事情,卻簡單的容易因為疏忽而遺忘,要杜絕這類風險,關鍵在於有系統地管理帳號的整個生命週期。
到職、調動、離職的帳號流程
完整的流程應涵蓋員工在職的每個節點。到職時,依角色以群組指派對應權限,避免逐一手動設定造成錯誤的權限指派;跨部門調動時,同步調整權限,該收回的舊權限一併收回,避免權限隨資歷不斷累積;離職當天,第一時間停用帳號、收回所有存取權限。把這套標準作業流程固定下來,就不必再依賴管理員或員工去記「某人上週離職了」,安全性也更有保障。
以單一登入(SSO)集中管理點
單一登入(SSO)帶來的好處相當直接:員工只需記住一組密碼,就能通行各項應用程式,不必在一堆帳密之間切換。對 IT 人員而言,則是最大的價值在能將管理集中:「當員工離職時,您只需要在同一個關卡停用」,即可一次收回所有系統的存取權,既省時又安全;登入點收斂成一處,MFA 與條件式存取也有地方統一套用。
五、規劃 Entra ID 的常見順序
若您是從零開始規劃,有一個合理的推進順序:先盤點現況、再開 MFA、接著設定條件式存取、最後建立定期檢視機制。依此順序推進,每一步都建立在前一步的基礎之上,不會白費工,也不會顧此失彼。
盤點現況 → 開 MFA → 設定條件式存取 → 建立檢核機制
第一步,盤點現況,先攤開目前有哪些帳號、權限如何配置,許多公司光是完成盤點,就能清出一堆問題,例如殭屍帳號、權限過大或共用帳號。
第二步,全面開啟 MFA,把基本防線先架起來。
第三步,以條件式存取做環境化的管控,讓信任程度隨情境調整。
第四步,建立定期檢視的機制,讓整套設定得以持續維持在健康狀態。
中小企業與大型組織的規劃差異
規模不同,規劃的深度也應不同。中小企業人數少、架構單純,重點放在把 MFA 與基本的條件式存取做起來,就能收到很大的效果;大型組織則部門眾多、角色複雜,還須加上細緻的權限分層與帳號生命週期管理。請勿把大型組織的複雜度硬套在小團隊上,也不宜以小公司的簡便做法應付大型組織的需求。
授權等級的影響(進階功能需要對應方案)
需特別提醒您,條件式存取、PIM 特權管理、Access Reviews 等進階功能,通常需要對應到較高的授權等級,並非每個方案都內含。規劃前,請務必先確認手上的授權涵蓋哪些功能,以免設計了一套實際上用不了的方案,或臨時才發現需要補足授權,容易造成管理混亂。
六、為什麼選宏庭科技協助企業企業身分管理
身分管理牽涉的從來不只是單一設定,而是政策如何設計、規劃如何落地、與公司實際運作是否契合的整體判斷。宏庭科技的價值,在於從帳號現況盤點開始,一路協助企業規劃 Entra ID、設計條件式存取政策、並建立定期檢視機制,從評估到落地一條龍陪同,而非只是只交付某個階段的設定。
不只是設定工具,還幫企業訂出貼合組織的政策
同樣一套工具,政策訂得好不好,導入的結果差異非常大,例如哪些角色能有哪些權限、什麼情境需要加驗證、多久檢核一次,每一項都是決策。宏庭科技除了替您完成設定,更會針對貴組織的實際運作,把每個步驟背後的政策一併訂清楚,讓工具真正發揮價值。
如何避開條件式存取設定錯誤導致「無法登入」
條件式存取一旦設定失誤,可能導致全公司都登不進來,這類陷阱往往要有實戰經驗才閃得過。宏庭科技清楚知道哪裡該先保留緊急帳號、哪些規則該先測試再上線,能協助企業避開這些會釀成大事的實作地雷,安全地把每一條規則落地。
七、常見問題 FAQ
Q1:開 MFA 員工會不會很反彈、很難推?
A:初期一定會有些摩擦,但配套做好就能大幅降低。提供清楚的教學、設定可信任裝置以減少重複驗證、先從管理員推行再擴及全員並給予適應期,根據我們的經驗,多數員工使用一兩次後就習慣了,會抗拒通常是溝通不足造成,而一時的不便,換來的安全卻非常值得。
Q2:用 Microsoft 365 就內含這些功能嗎?
A:基礎的身分與部分 MFA 能力,Microsoft 365 已有內含;但條件式存取、PIM、Access Reviews 等進階功能,通常需要對應到較高的授權等級。規劃前,建議請先盤點現有授權涵蓋哪些範圍,再決定是否補足,以免多花費用或設計了用不上的功能。
Q3:公司原本就有的地端 AD,導入時需要一起處理嗎?
A:需要一併納入規劃。多數企業會採混合架構,讓地端帳號與雲端身分同步,員工使用同一組帳密。地端與雲端如何銜接、哪些帳號該同步,屬於盤點階段就要確認的項目,避免後續兩邊各自為政。
Q4:權限與政策設定完成後,多久該檢視一次?
A:身分設定不是一次到位就永遠適用。建議至少每季檢視一次權限配置與存取政策,並在人員調動、離職或組織異動時即時調整。定期檢視能清出過期權限與殭屍帳號,是維持這道門長期有效的關鍵。
Q5:緊急存取帳號(break-glass)一定要設嗎?該怎麼準備?
A:強烈建議設置。它是條件式存取或 MFA 設定失誤導致無法登入時的最後退路。做法是保留一至兩組高權限帳號、排除在最嚴格政策之外,妥善保管憑證並限制日常使用,僅在緊急情況啟用。
身分管理,永遠是企業資安的第一道門
員工帳號,就是每一家公司的第一道門。從企業資安投報率最高的起點著手:把 Entra ID 規劃妥當、MFA 全面開啟、條件式存取依情境管控、帳號生命週期持續顧好,這道門守住了,後面的資安佈局才有意義。若您希望把企業身分管理從零規劃到落地,歡迎聯絡宏庭科技的專業團隊,我們將從盤點現況開始,陪您一步步把這道門建得穩固。