你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure AD 中的安全默认值
Microsoft 正在为所有人提供安全默认值,因为管理安全性可能很困难。 与标识相关的攻击(如密码喷射、重播和网络钓鱼)在当今环境中很常见。 99.9% 以上的与标识相关的攻击都是通过多重身份验证 (MFA) 和阻止旧式身份验证才得以阻止。 目标是确保所有组织能在不增加费用的情况下至少实现基本级别的安全防护。
利用安全默认值,可以更轻松地通过预配置的安全设置来保护组织免受这些与标识相关的攻击:
目标用户
- 希望提高其安全状况但不知道如何或从哪里开始的组织。
- 使用 Azure Active Directory 许可免费层的组织。
谁应使用条件访问?
- 如果组织当前使用条件访问策略,则安全性默认值可能不适用。
- 如果贵组织具有 Azure Active Directory Premium 许可证,安全默认值可能不太适用。
- 如果你的组织有复杂的安全要求,则应考虑条件访问。
启用安全默认值
如果你的租户是在 2019 年 10 月 22 日当天或之后创建的,该租户可能已启用安全默认值。 为了保护所有用户,我们将于创建时向所有新租户推出安全默认值。
若要在目录中启用安全默认值:
- 以安全管理员、条件访问管理员或全局管理员身份登录到 Azure 门户。
- 浏览到“Azure Active Directory”>“属性” 。
- 选择“管理安全默认值”。
- 将“启用安全默认值”切换键设置为“是”。
- 选择“保存”。
强制实施的安全策略
要求所有用户注册 Azure AD 多重身份验证
租户中的所有用户都必须以 Azure AD 多重身份验证的形式注册多重身份验证 (MFA)。 用户可以在 14 天内使用 Microsoft Authenticator 应用或任何支持 OATH TOTP 的应用注册 Azure AD 多重身份验证。 14 天后,用户在完成注册之前无法登录。 用户的 14 天周期从启用安全默认值后首次成功进行交互式登录算起。
要求管理员执行多重身份验证
管理员可以增加对你环境的访问权限。 鉴于这些高权限帐户具有的权利,使用时要特别小心。 增强对特权帐户保护的一种常用方法是,要求在登录时进行更强的帐户验证。 在 Azure AD 中,可以通过要求进行多重身份验证来实现更强的帐户验证。
提示
建议为管理和标准工作效率任务设置单独的帐户,以显著减少提示管理员进行 MFA 的次数。
完成 Azure AD 多重身份验证注册后,以下 Azure AD 管理员角色在每次登录时都需要进行额外的身份验证:
- 全局管理员
- 应用程序管理员
- 身份验证管理员
- 计费管理员
- 云应用程序管理员
- 条件访问管理员
- Exchange 管理员
- 支持管理员
- 密码管理员
- 特权身份验证管理员
- 安全管理员
- SharePoint 管理员
- 用户管理员
要求用户在必要时执行多重身份验证
我们通常认为管理员帐户是唯一需要额外身份验证层的帐户。 管理员对敏感信息具有广泛的访问权限,并且可以更改订阅范围的设置, 但攻击者经常以最终用户为目标。
这些攻击者获得访问权限后,可以代表原始帐户持有者请求对特权信息的访问权限。 他们甚至可以下载整个目录,对整个组织进行网络钓鱼攻击。
提高对所有用户保护的一种常用方法是,要求对所有用户进行更强形式的帐户验证,如多重身份验证。 用户完成注册后,系统将在必要时提示用户进行其他身份验证。 Azure AD 根据位置、设备、角色和任务等因素决定何时提示用户进行多重身份验证。 此功能可保护注册到 Azure AD 的所有应用程序,包括 SaaS 应用程序。
注意
对于 B2B 直连用户,需要满足资源租户中启用的安全默认值的任何多重身份验证要求,包括由主租户中的直连用户进行的多重身份验证注册。
阻止旧式身份验证协议
为使用户轻松访问云应用,Azure AD 支持各种身份验证协议,包括旧身份验证。 术语“旧式身份验证”是指通过以下方式发出的身份验证请求:
- 不使用新式身份验证的客户端(例如 Office 2010 客户端)。
- 使用 IMAP、SMTP 或 POP3 等旧式邮件协议的任何客户端。
当今,大部分存在危害性的登录企图都来自旧式身份验证。 旧式身份验证不支持多重身份验证。 即使在目录中启用了多重身份验证策略,攻击者仍可使用旧协议进行身份验证,并绕过多重身份验证。
在租户中启用安全默认值后,旧协议发出的所有身份验证请求都将被阻止。 安全默认值会阻止 Exchange Active Sync 基本身份验证。
警告
启用安全默认值之前,请确保管理员没有使用旧身份验证协议。 有关详细信息,请参阅如何弃用旧身份验证。
保护特权活动,如访问 Azure 门户
组织会使用各种通过 Azure 资源管理器 API 管理的 Azure 服务,包括:
- Azure 门户
- Azure PowerShell
- Azure CLI
使用 Azure 资源管理器来管理服务是一种高度特权操作。 Azure 资源管理器可以改变租户范围的配置,例如服务设置和订阅计费。 单因素身份验证容易受到各种攻击,如网络钓鱼和密码喷射。
务必要对希望访问 Azure 资源管理器和更新配置的用户的标识进行验证。 在允许他们访问之前,你会通过要求更多身份验证来验证其身份。
在租户中启用安全默认值后,任何访问以下服务的用户都必须完成多重身份验证:
- Azure 门户
- Azure PowerShell
- Azure CLI
此策略适用于访问 Azure 资源管理器的所有用户,无论他们是管理员还是普通用户。
注意
默认情况下,2017 之前的 Exchange Online 租户已禁用新式身份验证。 为了避免在对这些租户进行身份验证时出现登录循环,必须启用新式身份验证。
注意
Azure AD Connect 同步帐户将从安全默认值中排除,系统不会提示该帐户注册或执行多重身份验证。 组织不应出于其他目的使用此帐户。
部署注意事项
身份验证方法
安全默认值用户需要使用 Microsoft Authenticator 应用通过通知选项注册和使用 Azure AD 多重身份验证。 用户可以使用来自 Microsoft Authenticator 应用的验证码,但只能使用通知选项进行注册。 用户还可以使用任何通过 OATH TOTP 生成代码的第三方应用程序。
警告
如果使用安全默认设置,请不要为你的组织禁用方法。 禁用方法可能会导致将你自己锁定在租户之外。 在 MFA 服务设置门户中启用所有可供用户使用的方法。
备份管理员帐户
每个组织都应该至少配置两个备份管理员帐户。 我们称之为“紧急访问帐户”。
这些帐户可用于无法正常使用管理员帐户的场景。 例如:具有最新全局管理员访问权限的人员离开了组织。 Azure AD 将阻止删除最后一个全局管理员帐户,但不会阻止从本地删除或禁用该帐户。 这两种情况都可能使组织无法恢复帐户。
紧急访问帐户:
- 在 Azure AD 中被分配了全局管理员权限。
- 不每日使用。
- 使用复杂的长密码进行保护。
这些紧急访问帐户的凭据应脱机存储在安全位置,例如防火保险箱。 只有获得授权的个人才能访问这些凭据。
要创建紧急访问帐户,请执行以下操作:
- 以现有全局管理员身份登录到 Azure 门户。
- 浏览到“Azure Active Directory”>“用户”。
- 选择“新建用户”。
- 选择“创建用户”。
- 为帐户指定用户名。
- 为帐户指定名称。
- 为帐户创建一个复杂的长密码。
- 在“角色”下,分配全局管理员角色。
- 在“使用位置”下,选择相应的位置。
- 选择“创建”。
可以选择使用 Azure AD PowerShell 为这些帐户禁用密码过期。
有关紧急访问帐户的更多详细信息,请参阅在 Azure AD 中管理紧急访问帐户一文。
B2B 用户
任何访问你目录的 B2B 来宾用户或 B2B 直连用户都会被视为与组织用户相同的用户。
禁用的 MFA 状态
如果贵组织以前是基于每用户 Azure AD 多重身份验证的用户,则你在查看多重身份验证状态页时,若没有看到处于“启用”或“已执行”状态的用户,请不必担心。 “已禁用”是使用安全默认值或基于条件访问的 Azure AD 多重身份验证的用户的相应状态。
条件性访问
你可以使用条件访问配置类似于安全默认值的策略,但要具有更细的粒度。 使用条件访问策略,你可以选择其他身份验证方法,并且可以排除用户,这些功能在安全默认值中不可用。 如果在当前环境中使用条件访问,则不能使用安全默认值。
如果要启用条件访问来配置一组策略,这将是保护标识的良好起点:
禁用安全默认值
选择实施条件访问策略来取代安全默认值的组织必须禁用安全默认值。
若要在目录中禁用安全默认值:
- 以安全管理员、条件访问管理员或全局管理员身份登录到 Azure 门户。
- 浏览到“Azure Active Directory”>“属性” 。
- 选择“管理安全默认值”。
- 将“启用安全默认值”切换键设置为“否”。
- 选择“保存”。
后续步骤
- 博客:安全默认值简介
- 常用条件访问策略
- 有关 Azure AD 许可的更多信息,请参阅 Azure AD 定价页。