为零信任配置Microsoft Entra：保护租户并隔离生产系统

保护租户和隔离生产系统是设置租户边界，并使生产系统与测试和预生产环境隔离。 横向运动是 安全未来倡议的一个关键问题。

即使是较小的组织也可以通过实施更严格的来宾访问策略并限制谁可以创建租户来保护其环境。 管理多个环境的大型组织应采取措施，防止未经授权的租户蔓延和横向移动。 所有组织都可以通过这些检查减少未管理租户带来的攻击面，从而受益。

零信任安全建议

创建新租户的权限仅限于租户创建者角色

如果不存在任何限制，威胁参与者或有意但未知情的员工可以创建新的Microsoft Entra 租户。 默认情况下，创建租户的用户会自动分配全局管理员角色。 如果没有适当的控制，此作将通过在组织的治理和可见性之外创建租户来破坏标识外围。 它引入了风险，尽管影子标识平台可用于令牌颁发、品牌模拟、同意钓鱼或持久性过渡基础结构。 由于流氓租户可能不受企业行政或监视平面的束缚，因此传统防御对它的创建、活动和潜在的滥用是盲目的。

修正操作

启用 “限制非管理员用户”创建租户 设置。 对于需要创建租户的功能的用户，请为其分配租户创建者角色。 还可以查看Microsoft Entra 审核日志中的租户创建事件。

• 限制成员用户的默认权限
• 分配租户创建者角色
• 查看租户创建事件。 查找 OperationName==“Create Company”， Category == “DirectoryManagement”。

为高影响管理任务启用受保护的行动

获得租户特权访问的威胁行为体可以操控身份、访问和安全配置。 这种类型的攻击可能导致环境范围的泄露和对组织资产的控制损失。 采取措施保护与条件访问策略、跨租户访问设置、硬删除和维护安全性至关重要的网络位置相关的高影响管理任务。

受保护的操作允许管理员使用额外的安全控制来保护这些任务，例如更强大的身份验证方法（无密码的多因素认证 (MFA) 或抗钓鱼的多因素认证 (MFA)）、使用特权访问工作站 (PAW) 设备或更短的会话超时时间。

修正操作

• 在 Microsoft Entra ID 中添加、测试或移除受保护的操作

来宾访问仅限于已核准的租用用户

限制对已知和批准的租户列表的来宾访问有助于防止威胁参与者利用不受限制的来宾访问，通过泄露的外部帐户或通过在不受信任的租户中创建帐户来建立初始访问。 通过不受限制的域获得访问权限的威胁参与者可以发现内部资源、用户和应用程序来执行其他攻击。

组织应获取清单并配置允许列表或阻止列表来控制来自特定组织的 B2B 协作邀请。 如果没有这些控制，威胁参与者可能会使用社交工程技术从合法内部用户获取邀请。

修正操作

• 了解如何 设置已批准域的列表。

来宾未分配高特权目录角色

当为来宾用户分配高特权目录角色（如全局管理员或特权角色管理员）时，组织会创建严重的安全漏洞，威胁参与者可以通过泄露的外部帐户或业务合作伙伴环境利用这些漏洞进行初始访问。 由于来宾用户源自外部组织，且不直接控制安全策略，因此入侵这些外部标识的威胁参与者可以获得对目标组织的Microsoft Entra 租户的特权访问权限。

当威胁参与者通过权限提升的已泄露的来宾帐户获取访问权限时，他们可以升级自己的权限，以创建其他后门帐户、修改安全策略或为自己分配组织中的永久角色。 已泄露的特权来宾帐户使威胁参与者能够建立持久性，然后进行所有需要保持未检测到的更改。 例如，他们可以创建仅限云的帐户，绕过应用于内部用户的条件访问策略，即使在来宾的主组织检测到泄露后，也能维护访问权限。 然后，威胁参与者可以使用管理特权进行横向移动，以访问敏感资源、修改审核设置或在整个租户中禁用安全监视。 威胁参与者可以通过外部来宾帐户来源保持合理的可否认性，从而彻底破坏组织的标识基础结构。

修正操作

• 从特权角色中删除来宾用户

来宾无法邀请其他来宾

外部用户帐户通常用于向属于与企业有业务关系的组织的业务合作伙伴提供访问权限。 如果这些帐户在其组织中遭到入侵，攻击者可以使用有效的凭据获取对环境的初始访问权限，通常由于其合法性而绕过传统防御。

允许外部用户加入其他外部用户会增加未经授权的访问风险。 如果攻击者入侵外部用户帐户，他们可以使用它创建更多外部帐户，将访问点乘以访问点，并更难检测入侵。

修正操作

• 限制只能将来宾邀请到分配给特定管理员角色的用户

来宾对目录对象的访问受限

外部用户帐户通常用于向属于与企业有业务关系的组织的业务合作伙伴提供访问权限。 如果这些帐户在其组织中遭到入侵，攻击者可以使用有效的凭据获取对环境的初始访问权限，通常由于其合法性而绕过传统防御。

具有读取目录对象权限的外部帐户为攻击者提供更广泛的初始访问权限（如果遭到入侵）。 这些帐户允许攻击者从目录中收集其他信息，以便进行侦查。

修正操作

• 限制来宾访问其自己的目录对象

为所有多租户应用程序配置应用实例属性锁

在应用程序在另一租户中预配应用程序后，应用实例属性锁可防止更改多租户应用程序的敏感属性。 如果没有锁定，关键属性（如应用程序凭据）可能会受到恶意或无意的修改，从而导致中断、风险增加、未经授权的访问或特权升级。

修正作 为所有多租户应用程序启用应用实例属性锁，并指定要锁定的属性。

• 配置应用实例锁

来宾没有长时间的登录会话

具有扩展登录会话的来宾帐户会增加威胁参与者可以利用的风险外围应用。 当来宾会话持续到必要的时间范围之外时，威胁参与者通常会尝试通过凭据填充、密码喷洒或社交工程攻击获得初始访问权限。 获得访问权限后，他们可以在长时间内保持未经授权的访问，而无需重新进行身份验证质询。 这些遭到入侵和扩展的会话：

• 允许未经授权的访问Microsoft Entra 项目，使威胁参与者能够识别敏感资源和映射组织结构。
• 允许威胁参与者使用合法身份验证令牌在网络中保留，从而使检测更具挑战性，因为活动显示为典型的用户行为。
• 通过访问共享资源、发现更多凭据或利用系统之间的信任关系等技术，为威胁参与者提供更长的时间范围来提升特权。

如果没有适当的会话控制，威胁参与者可以跨组织的基础结构实现横向移动，访问超出原始来宾帐户预期访问范围的关键数据和系统。

来宾访问受强身份验证方法的保护

外部用户帐户通常用于向属于与组织有业务关系的组织的业务合作伙伴提供访问权限。 如果这些帐户在其组织中遭到入侵，攻击者可以使用有效的凭据获取对环境的初始访问权限，通常由于其合法性而绕过传统防御。

如果多重身份验证（MFA）未普遍实施，或者存在异常，攻击者可能会获得外部用户帐户的访问权限。 他们还可能利用较弱的 MFA 方法（如短信和电话呼叫）的漏洞（如 SIM 交换或钓鱼）来拦截身份验证代码，从而获得访问权限。

一旦攻击者在没有 MFA 或具有弱 MFA 方法的会话的情况下获取对帐户的访问权限，他们可能会尝试作 MFA 设置（例如，注册攻击者控制的方法），以建立持久性，以便根据被入侵帐户的权限来规划和执行进一步的攻击。

修正操作

• 部署条件访问策略，为来宾强制实施身份验证强度。
• 对于具有更紧密的业务关系并审查其 MFA 做法的组织，请考虑部署跨租户访问设置以接受 MFA 声明。
  • 配置 B2B 协作跨租户访问设置

禁用通过用户流进行来宾自助注册

启用来宾自助注册后，威胁参与者可以通过创建合法的来宾帐户来利用它建立未经授权的访问，而无需获得授权人员的批准。 这些帐户可以限定为特定服务，以减少检测并有效地绕过基于邀请的控制，以验证外部用户合法性。

创建后，自预配的来宾帐户提供对组织资源和应用程序的持久访问权限。 威胁参与者可以使用它们执行侦察活动，以映射内部系统、识别敏感数据存储库，并规划进一步的攻击途径。 这种持久性允许攻击者在重启、凭据更改和其他中断期间保持访问权限，而来宾帐户本身提供了看似合法的标识，可能逃避专注于外部威胁的安全监视。

此外，泄露的来宾标识可用于建立凭据持久性并可能提升特权。 攻击者可以利用来宾帐户与内部资源之间的信任关系，或者将来宾帐户用作横向向更高特权组织资产移动的过渡地。

修正操作

• 使用 Microsoft Entra 外部 ID 配置来宾自助注册

配置出站跨租户访问设置

允许与未经验证的组织进行不受限制的外部协作可能会增加租户的风险外围应用，因为它允许可能没有适当安全控制的来宾帐户。 威胁参与者可以通过破坏这些松散管理的外部租户中的标识来尝试获取访问权限。 授予来宾访问权限后，他们可以使用合法的协作途径渗透租户中的资源，并尝试获取敏感信息。 威胁参与者还可以利用配置不当的权限来提升特权，并尝试不同类型的攻击。

如果不审查你与之协作的组织的安全性，恶意外部帐户可以持久保存未检测到、泄露机密数据并注入恶意有效负载。 这种类型的暴露可能会削弱组织控制，并启用跨租户攻击，绕过传统的外围防御并破坏数据完整性和作复原能力。 Microsoft Entra 中出站访问的跨租户设置提供默认情况下阻止与未知组织的协作的功能，从而减少攻击面。

修正操作

• 跨租户访问概述
• 跨租户访问设置
• 修改出站访问设置

来宾不在租户中拥有应用

如果不限制来宾用户注册和拥有应用程序，威胁参与者可以利用外部用户帐户通过可能逃避传统安全监视的应用程序注册建立对组织资源的持久后门访问。 当来宾用户拥有应用程序时，泄露的来宾帐户可用于利用可能具有广泛权限的来宾拥有的应用程序。 此漏洞使威胁参与者能够请求访问敏感组织数据，例如电子邮件、文件和用户信息，而无需对内部用户拥有的应用程序进行相同级别的审查。

此攻击途径很危险，因为来宾拥有的应用程序可配置为请求高特权权限，并且一旦获得许可，就会向威胁参与者提供合法的 OAuth 令牌。 此外，来宾拥有的应用程序可以充当命令和控制基础结构，因此威胁执行组件可以在检测到和修正泄露的来宾帐户后维护访问权限。 应用程序凭据和权限可能独立于原始来宾用户帐户保留，因此威胁参与者可以保留访问权限。 来宾拥有的应用程序也使安全审核和治理工作复杂化，因为组织可能对外部用户注册的应用程序的目的和安全状况具有有限的可见性。 应用程序生命周期管理中的这些隐藏弱点使得通过看似合法的应用程序注册来评估授予非Microsoft实体的数据访问的真正范围变得困难。

修正操作

• 从应用程序和服务主体中删除来宾用户作为所有者，并实施控制以防止将来的来宾用户应用程序所有权。
• 限制来宾用户访问权限

所有客人都有赞助商

邀请外部来宾有利于组织协作。 但是，如果没有为每个来宾分配的内部发起人，这些帐户可能会保留在目录中，而无需明确的责任。 这种监督会产生风险：威胁参与者可能会损害未使用或未受监视的来宾帐户，然后在租户中建立初始立足点。 将访问权限授予为明显的“合法”用户后，攻击者可能会探索可访问的资源并尝试特权提升，最终可能会公开敏感信息或关键系统。 因此，不受监视的来宾帐户可能会成为未经授权的数据访问或重大安全漏洞的载体。 典型的攻击序列可能使用以下模式，所有模式都以标准外部协作者为掩码实现：

1. 通过泄露的来宾凭据获得的初始访问权限
2. 由于缺乏监督，持久性。
3. 如果来宾帐户拥有组成员身份或提升的权限，则进一步升级或横向移动。
4. 执行恶意目标。

要求为每个来宾帐户分配给发起人，从而直接缓解此风险。 此类要求可确保每个外部用户都链接到应定期监视和证明来宾持续访问需求的责任内部方。 Microsoft Entra ID 中的发起人功能通过跟踪邀请者并防止“孤立”来宾帐户激增来支持问责。 当发起人管理来宾帐户生命周期（例如在协作结束时删除访问权限）时，威胁参与者利用被忽视的帐户的机会将大幅减少。 此最佳做法与Microsoft指南一致，要求为业务来宾提供赞助，作为有效的来宾访问治理策略的一部分。 它在启用协作和执行安全性之间达成平衡，因为它保证每个来宾用户的状态和权限仍在进行内部监督中。

修正操作

• 对于没有发起方的每个来宾用户，在 Microsoft Entra ID 中分配发起人。
  • 在 Microsoft Entra 管理中心向来宾用户添加发起人
  • 使用 Microsoft Graph 向来宾用户添加发起人

已禁用或删除非活动来宾标识

当来宾标识保持活动状态但长时间未使用时，威胁参与者可以利用这些休眠帐户作为进入组织的入口途径。 非活动来宾帐户表示严重的攻击面，因为它们通常保持对资源、应用程序和数据的持久访问权限，同时不受安全团队监视。 威胁参与者经常通过凭据填充、密码喷洒或损害来宾的主组织获取横向访问权限来针对这些帐户。 非活动来宾帐户泄露后，攻击者可以利用现有访问权限授予来：

• 在租户中横向移动
• 通过组成员身份或应用程序权限提升特权
• 通过创建更多服务主体或修改现有权限等技术建立持久性

这些帐户长时间的休眠使攻击者可以延长停留时间，以便进行侦察、外泄敏感数据，并在未检测到的情况下建立后门，因为组织通常将监视工作集中在活动内部用户而不是外部来宾帐户上。

修正操作

• 监视和清理过时的来宾帐户