Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Microsoft Entra ID中的配置设置可以通过目标或整个租户的管理操作影响Microsoft Entra租户中的任何资源。
什么是配置?
配置是指对 Microsoft Entra ID 中的更改,这些更改会影响 Microsoft Entra 服务或功能的行为或能力。 例如,配置条件访问策略时,可以更改谁可以访问目标应用程序以及可以在什么情况下访问这些应用程序。
你需要了解对组织很重要的配置项目。 以下配置对安全状况具有重大影响。
租户范围配置
外部标识:租户的管理员可标识和控制可在租户中设置的外部标识。 它们决定:
- 是否允许租户中的外部身份。
- 从哪些域可以添加外部身份。
- 用户是否可以邀请来自其他租户的用户。
命名位置:管理员可以创建命名位置,然后可以使用命名位置:
- 禁止从特定位置登录。
- 触发诸如多因素身份验证的条件访问策略。
允许的身份验证方法:管理员设置租户允许的身份验证方法。
自助服务选项:管理员设置自助密码重置等自助服务选项,并在租户级别创建Office 365组。
可以限定某些租户范围配置的执行,前提是全局策略不会覆盖这些配置。 例如:
- 如果租户配置为允许外部标识,则资源管理员仍然可以从访问资源中排除这些标识。
- 如果租户配置为允许个人设备注册,则资源管理员可以将这些设备排除在访问特定资源外。
- 如果已配置命名位置,资源管理员可以配置策略,允许或排除这些位置的访问。
条件访问配置
条件访问策略是访问控制配置,可将信号组合在一起,以做出决策并强制实施组织策略。
若要了解有关条件访问策略的详细信息,请参阅 Microsoft Entra ID 中的条件访问是什么?。
注意事项
虽然配置可更改对象或策略的行为或功能,但并非所有对对象的更改都是配置。 可以更改与项关联的数据或属性,例如更改用户地址,而不影响该用户对象的功能。
什么是错误配置
错误配置是资源或策略的配置,它与组织策略或计划不同,并且会导致意外或不必要的后果。
租户范围设置或条件访问策略配置错误可能严重影响贵组织的安全与公众形象:
更改管理员、租户用户和外部用户与租户中资源交互的方式:
- 对资源访问的不必要限制。
- 放宽敏感资源的访问控制。
更改您的用户与其他租户以及外部用户与您的租户交互的能力。
导致拒绝服务,例如,不允许客户访问其帐户。
破坏数据、系统和应用程序之间的依赖关系,导致业务流程失败。
何时会发生错误配置?
最有可能发生配置错误的情况是:
- 临时更改期间出错。
- 由于故障排除练习而导致的错误。
- 不良行为者出于恶意而采取了行动。
防止配置错误
对 Microsoft Entra 租户的预期配置所做的更改应遵循可靠的变更管理流程,包括:
- 记录更改,包括先前状态和预期更改后状态。
- 使用 Privileged Identity Management (PIM) 确保有意更改的管理员必须故意升级其特权才能执行此作。 若要了解有关 PIM 的详细信息,请参阅 什么是 Privileged Identity Management?。
- 使用强审批工作流进行更改,例如,需要批准 PIM 升级权限。
监视配置更改
在防止配置错误的同时,不应将变更标准设得过高,以免影响管理员有效地开展工作。
通过密切关注 Microsoft Entra 审核日志 中的以下操作来监视配置更改:
- 添加
- 创建
- 更新
- 设置
- 删除
下表包含可在审核日志中查找的信息性条目。
条件访问和身份验证方法配置更改
条件访问策略是在 Azure 门户中的 Conditional Access 页上创建的。 在策略的条件访问策略详细信息页中,对策略进行更改。
| 服务筛选器 | 活动 | 潜在影响 |
|---|---|---|
| 条件性访问 | 添加、更新或删除条件访问策略 | 在不该允许或阻止用户访问时进行允许或阻止。 |
| 条件性访问 | 添加、更新或删除命名位置 | 条件访问策略使用的网络位置未按预期配置,这会在条件访问策略条件中造成差距。 |
| 身份验证方法 | 更新身份验证方法策略 | 用户可以使用较弱的身份验证方法,不然其使用的方法将受到阻止。 |
用户和密码重置配置更改
Azure门户用户设置页上进行了用户设置更改。 在密码重置页上进行密码重置更改。 在如下表所述的审核日志中记录了这些页面的更改。
| 服务筛选器 | 活动 | 潜在影响 |
|---|---|---|
| 核心目录 | 更新公司设置 | 用户可能可以注册应用程序,也可能事与愿违,无法注册。 |
| 核心目录 | 设置公司信息 | 用户可能或可能无法访问Microsoft Entra管理门户,与意向相反。 登录页面不代表公司的品牌,从而可能对声誉造成损害。 |
| 核心目录 |
活动:更新服务主体 Target:Office 365 LinkedIn连接 |
与意向相反,用户可能无法使用LinkedIn连接其Microsoft Entra帐户。 |
| 自助服务组管理 | 更新 MyApps 功能值 | 用户可能可以使用用户功能,也可能事与愿违,无法使用。 |
| 自助服务组管理 | 更新 ConvergedUXV2 功能值 | 用户可能可以使用用户功能,也可能事与愿违,无法使用。 |
| 自助服务组管理 | 更新 MyStaff 功能值 | 用户可能可以使用用户功能,也可能事与愿违,无法使用。 |
| 核心目录 |
活动:更新服务主体 目标:Microsoft 密码重置服务 |
用户可能能够或无法重置密码,这与他们的意愿相违。 用户被要求或不被要求注册自助服务密码重置,这可能与意图相反。 用户可以通过未批准的方法重置密码,例如,通过安全问题进行重置。 |
外部标识配置更改
可以在 Azure 门户中的 External 标识或 External 协作设置页上更改这些设置。
| 服务筛选器 | 活动 | 潜在影响 |
|---|---|---|
| 核心目录 | 添加、更新或删除跨租户访问设置中的伙伴关系 | 用户拥有对应该被阻止的租户的出站访问权限。 应被阻止网络访问的外部租户用户还是具有入站访问权限。 |
| B2C | 创建或删除身份提供商 | 应能够进行协作的用户的标识提供者缺失,从而阻止了这些用户的访问。 |
| 核心目录 | 在租户上设置目录功能 | 与预期相比,外部用户对 Directory 对象的可见性更大或更少。 外部用户可能会邀请其他外部用户加入您的租户,这与原先的意图相悖,也可能不会。 |
| 核心目录 | 在域中设置联合身份验证配置 | 外部用户邀请可能会或可能不会发送给其他租户中的用户,这与预期相反。 |
| 授权策略 | 更新授权策略 | 外部用户邀请可能会或可能不会发送给其他租户中的用户,这与预期相反。 |
| 核心目录 | 更新策略 | 外部用户邀请可能会或可能不会发送给其他租户中的用户,这与预期相反。 |
自定义角色和移动性定义的配置更改
| 服务筛选器 | 活动/门户 | 潜在影响 |
|---|---|---|
| 核心目录 | 添加角色定义 | 自定义角色范围比预期范围更窄或更宽。 |
| PIM | 更新角色设置 | 自定义角色范围比预期范围更窄或更宽。 |
| 核心目录 | 更新角色定义 | 自定义角色范围比预期范围更窄或更宽。 |
| 核心目录 | 删除角色定义 | 缺少自定义角色。 |
| 核心目录 | 添加委托权限授予 | 移动设备管理或移动应用程序管理配置缺失或配置错误,导致设备或应用程序管理失败。 |
审核日志详细信息视图
在审核日志中选择一些审核条目将提供有关旧配置值和新配置值的详细信息。 例如,对于条件访问策略配置更改,可以在以下屏幕截图中看到信息。
使用工作簿跟踪更改
Azure Monitor工作簿可帮助监视配置更改。
敏感操作报告工作簿可以帮助识别可能指示盗用的可疑应用程序和服务主体活动,包括:
- 修改后的应用程序或服务主体凭据或身份验证方法。
- 向服务主体授予的新权限。
- 服务主体的目录角色和组成员身份更新。
- 修改后的联邦设置。
跨租户访问活动工作簿可帮助你监视用户正在访问外部租户中的哪些应用程序,以及租户外部用户正在访问哪些应用程序。 使用此工作簿可在不同租户中查找入站或出站应用程序访问中的异常变化。