由Microsoft管理的条件访问策略

如2023年10月 Microsoft数字防御报告 中所述,

...对数字和平的威胁降低了人们对技术的信任,凸显了在各个级别改善网络防御的迫切需要。

...在 Microsoft,我们的 10,000 多名安全专家每天分析超过 65 万亿个信号...推动了网络安全领域一些最具影响力的见解。 我们可以通过创新行动和集体防御来共同打造网络复原能力。

作为这项工作的一部分,我们将在全球 Microsoft Entra 租户中推出 Microsoft 托管的策略。 这些简化的条件访问策略需要多重身份验证,最近的研究发现,这可将入侵风险降低 99% 以上。

Microsoft Entra 管理中心中Microsoft托管的条件访问策略的屏幕截图。

Microsoft管理的策略是如何工作的

至少分配有条件访问管理员角色的管理员可以在 Azure 门户Microsoft Entra ID安全条件访问策略项下找到这些策略。

可以编辑策略的状态以及策略应排除的标识。 像其他条件访问策略一样,将应急帐户或紧急访问帐户排除在管理策略之外。 如果需要进行的更改超出 Microsoft 托管策略允许的范围,请考虑复制这些策略。

在租户中引入这些策略后,如果这些策略处于“仅限报告”状态,Microsoft 将在不少于 45 天后启用这些策略。 可以更快地启用这些策略,也可以通过将策略状态设置为 “关闭”来选择退出。 在启用策略前 28 天,客户会收到电子邮件和 消息中心 帖子的通知。

备注

在某些情况下,策略的启用速度可能快于 45 天。 如果此更改适用于租户:

  • 你收到的有关 Microsoft 管理策略的电子邮件和 Microsoft 365 消息中心帖子中都提到了这一点。
  • Microsoft Entra 管理中心的策略详细信息中提到了它。

策略

这些由 Microsoft 管理的策略允许管理员进行简单修改,例如排除用户或将其从仅报告模式转换为启用或停用。 组织无法重命名或删除任何 Microsoft 托管的策略。 当管理员更熟悉条件访问策略时,他们可能会选择复制策略以创建自定义版本。

随着威胁的发展,Microsoft可能会更新这些策略以使用新功能、功能或提高其有效性

阻止传统身份验证

此策略阻止使用旧式身份验证和旧式身份验证协议进行登录尝试。 这些身份验证可能来自较旧的客户端(如 Office 2010)或使用 IMAP、SMTP 或 POP3 等协议的客户端。

根据Microsoft的分析,超过 99% 的密码喷射攻击使用这些旧式身份验证协议。 禁用或阻止基本身份验证即可阻止上述攻击。

阻止设备代码流

此策略阻止设备代码流,用户在一台设备上启动身份验证,在另一台设备上完成,其令牌将发送回原始设备。 这种类型的身份验证很常见,用户无法输入其凭据,例如智能电视、Microsoft Teams 会议室设备、IoT 设备或打印机。

设备代码流很少被客户使用,但攻击者经常使用。 启用此由Microsoft管理的策略将有助于为您的组织消除此攻击向量。

用于访问Microsoft管理门户的管理员的多重身份验证

此策略涵盖高特权的 14 个管理员角色 ,这些角色访问 Microsoft管理门户,并要求他们执行多重身份验证。

此策略适用于未启用安全默认值的Microsoft Entra ID P1 和 P2 租户。

提示

要求多重身份验证的 Microsoft 托管策略不同于 2024 年 10 月开始逐步推出的 2024 年 Azure 登录的强制多重身份验证公告

所有用户的多重身份验证

此策略涵盖组织中的所有用户,并要求他们在登录时使用多重身份验证。 在大多数情况下,会话保留在设备上,用户与另一个应用程序交互时无需完成多重身份验证。

对按用户的多重身份验证用户进行多重身份验证

此策略涵盖了使用按用户 MFA(Microsoft 已不再推荐的一种配置)的用户。 条件访问提供了更好的管理员体验,其中包含许多额外功能。 将所有多重身份验证策略合并到条件访问中有助于更有针对性地要求进行多重身份验证,降低最终用户摩擦,同时保持安全态势。

此策略面向:

  • 具有 Microsoft Entra ID P1 和 P2 许可用户的组织
  • 未启用安全默认值的组织
  • 启用或强制实施每用户 MFA 的用户数少于 500 人的组织

若要将此策略应用于更多用户,请复制该策略并更改分配。

提示

使用顶部的“编辑”铅笔图标修改 Microsoft 管理的按用户多重身份验证策略可能会导致“更新失败”错误。 若要解决此问题,请在该策略的“排除的标识”部分下选择“编辑”

安全默认值策略

从使用安全默认值进行升级时,可以使用以下策略。

阻止传统身份验证

此策略阻止旧式身份验证协议访问应用程序。 旧式身份验证是指通过以下方式发出的身份验证请求:

  • 不使用新式身份验证的客户端(例如 Office 2010 客户端)
  • 使用 IMAP、SMTP 或 POP3 等旧式邮件协议的任何客户端
  • 任何登录都会尝试使用传统身份验证。

大部分存在危害性的登录尝试都来自旧式身份验证。 由于旧式身份验证不支持多重身份验证,因此攻击者可以使用较旧的协议绕过多重身份验证要求。

需要对 Azure 管理进行多重身份验证

此策略涵盖所有用户尝试访问通过 Azure 服务管理 API 管理的各种 Azure 服务,包括:

  • Azure 门户
  • Microsoft Entra 管理中心
  • Azure PowerShell
  • Azure 命令行接口 (CLI)

用户必须完成多重身份验证才能访问这些资源。

需要对管理员进行多重身份验证

此策略适用于具有高特权管理员角色的用户:

  • 全局管理员
  • 应用程序管理员
  • 身份验证管理员
  • 计费管理员
  • 云应用管理员
  • 条件访问管理员
  • Exchange 管理员
  • 服务台管理员
  • 密码管理员
  • 特权身份验证管理员
  • 特权角色管理员
  • 安全管理员
  • SharePoint 管理员
  • 用户管理员

这些帐户必须使用多重身份验证登录到任何应用程序。

需要对所有用户进行多重身份验证

此策略适用于组织中的所有用户,并要求对每次登录进行多重身份验证。 在大多数情况下,会话会保留在设备上,因此用户在与其他应用程序交互时无需完成多重身份验证。

监控和审查

托管策略和登录日志是两个位置,可在其中查看这些策略对组织的影响。

查看托管策略的 “策略影响 ”选项卡,查看策略如何影响环境的摘要。

显示策略对组织的影响的屏幕截图。

分析 Microsoft Entra 登录日志 ,查看有关策略如何影响登录活动的详细信息。

  1. 至少以报告读取者身份登录到 Microsoft Entra 管理中心
  2. 浏览到“标识”“监视和运行状况”>“登录日志”。>
  3. 使用以下部分或全部筛选器:
    • 当具有要调查的特定事件时,使用“关联 ID”。
    • 要查看策略失败和成功事件,使用“条件访问”。
    • 使用用户名查看与特定用户相关的信息。
    • 当需要限定在相关时间范围内时,使用“日期”。
  4. 选择特定的登录事件,然后选择 条件访问
    • 若要进一步调查,请选择 “策略名称 ”,向下钻取到策略的配置。
  5. 浏览其他选项卡以查看用于条件访问策略评估的客户端用户和设备详细信息

常见问题

什么是条件访问?

条件访问是一项 Microsoft Entra 功能,允许组织在访问资源时强制实施安全要求。 条件访问通常用于强制实施多重身份验证、设备配置或网络位置要求。

这些策略可以视为“如果……那么……”的逻辑表达式。

如果分配(用户、资源和条件)为真,那么便应用策略中的访问控制(授权和/或会话)。 如果 (If) 你是想要访问某个 Microsoft 管理门户的管理员,那么 (then) 你必须执行多重身份验证来证明确实是你自己。

如果想要进行更多更改,该怎么办?

管理员可以选择在策略列表视图中使用“复制”按钮来复制这些策略,从而对其进行进一步更改。 此新策略可使用与任何其他条件访问策略相同的配置方式,从 Microsoft 推荐的位置开始。 请小心那些更改可能导致安全态势下降。

这些策略涵盖了哪些管理员角色?

  • 全局管理员
  • 应用程序管理员
  • 身份验证管理员
  • 计费管理员
  • 云应用管理员
  • 条件访问管理员
  • Exchange 管理员
  • 服务台管理员
  • 密码管理员
  • 特权身份验证管理员
  • 特权角色管理员
  • 安全管理员
  • SharePoint 管理员
  • 用户管理员

如果我使用不同的解决方案进行多重身份验证,该怎么办?

使用外部身份验证方法的多重身份验证满足Microsoft托管策略的 MFA 要求。

通过联合标识提供者(IdP)完成多重身份验证后,根据配置,它可能满足Microsoft Entra ID MFA 要求。 有关详细信息,请参阅使用来自联合 IdP 的 MFA 声明实现 Microsoft Entra ID 多重身份验证 (MFA) 控制

如果我使用自定义控制措施,会发生什么?

自定义控制措施不满足多重身份验证声明要求。 如果你的组织使用自定义控件,则应迁移到外部身份验证方法,替换自定义控件。 外部身份验证提供程序必须支持外部身份验证方法,并提供集成所需的配置指南。

如何监视Microsoft更改这些策略或添加新策略时?

具有 AuditLog.Read.AllDirectory.Read 权限的管理员可以查询审核日志,了解策略类别中Microsoft托管策略管理器启动的条目。