许多客户将其企业专用网络连接到 Microsoft 365,使其用户、设备和应用程序能够从中受益。 威胁参与者可以通过许多有记录的方式入侵这些专用网络。 Microsoft 365 起到类似神经系统的作用,为投资云现代化的组织提供支持。 保护 Microsoft 365 免受本地基础结构入侵至关重要。
本文介绍如何配置系统以帮助保护 Microsoft 365 云环境免受本地入侵:
- Microsoft Entra 租户配置设置。
- 如何安全地将 Microsoft Entra 租户连接到本地系统。
- 为保护云系统免受本地风险,需要在系统操作中做出权衡。
Microsoft强烈建议你执行本文中的指南。
本地环境中的威胁源
Microsoft 365 云环境受益于功能丰富的监视和安全基础结构。 Microsoft 365 使用机器学习和人工智能来查看全球流量。 它可以快速检测攻击,并允许你近乎实时地重新进行配置。
混合部署可将本地基础结构连接到 Microsoft 365。 在此类部署中,许多组织向本地组件委托信任,以做出关键的身份验证和目录对象状态管理决策。 如果威胁参与者入侵本地环境,则这些信任关系将成为它们也损害Microsoft 365 环境的机会。
两个主要威胁向量是联合身份验证信任关系和帐户同步。这两个向量都可以向攻击者授予对云的管理访问权限。
- 联合身份验证信任关系,例如安全断言标记语言 (SAML) 身份验证,用于通过本地标识基础结构向 Microsoft 365 进行身份验证。 如果 SAML 令牌签名证书已泄露,则拥有该证书的任何人都可以利用联合身份验证来仿冒你云中的任何用户。 为减轻此威胁向量,我们建议在可能的情况下禁用用于对Microsoft 365进行身份验证的联合信任关系。 我们还建议迁移使用本地联合基础结构的其他应用程序,以使用 Microsoft Entra 进行身份验证。
- 使用 帐户同步 来修改权限用户(包括其凭据)或在 Microsoft 365 中具有管理权限的组。 为了缓解此向量,我们建议确保同步的对象在 Microsoft 365 中不具有超出用户的权限。 可以以直接的方式或通过将其包含在受信任角色或组中来控制特权。 确保这些对象在受信任的云角色或组中没有直接或嵌套的分配。
保护 Microsoft 365 免受本地入侵
若要解决本地威胁,建议遵循下图所示的四项原则。
完全隔离 Microsoft 365 管理员帐户。 这些帐户应该:
- 云原生帐户。
- 使用 防钓鱼凭据进行身份验证。
- 受 Microsoft Entra 条件访问保护。
- 仅使用云管理的 特权访问工作站进行访问。
这些管理员帐户在使用上受到限制。 在 Microsoft 365 中,不应有任何本地帐户拥有管理特权。
有关详细信息,请参阅管理员角色和Microsoft Entra ID 中 Microsoft 365 的角色。
从 Microsoft 365 管理设备。 使用 Microsoft Entra 加入和基于云的移动设备管理 (MDM) 来消除对本地设备管理基础结构的依赖关系。 这些依赖关系可能会侵害设备和安全控制。
确保没有任何本地帐户对 Microsoft 365 拥有提升的特权。 某些帐户访问需要 NTLM、轻型目录访问协议(LDAP)或 Kerberos 身份验证的本地应用程序。 这些帐户必须位于组织的本地标识基础结构中。 确保不将这些帐户和服务帐户包括在特权云角色或组中。 确保对这些帐户的更改不会影响云环境的完整性。 特权本地软件不得影响 Microsoft 365 特权帐户或角色。
使用 Microsoft Entra 云身份验证消除对本地凭据的依赖关系。 始终使用防钓鱼身份验证方法,例如 Windows Hello 企业版、 macOS 平台凭据、密码密钥(FIDO2)、Microsoft Authenticator 密码或基于证书的身份验证。
具体安全建议
以下部分提供了有关如何实现本文中原则的指导。
隔离特权标识
在Microsoft Entra ID 中,具有特权角色的用户(例如管理员)是用于构建和管理剩余环境部分的信任的根。 实施以下做法可以最大程度地减轻入侵所造成的影响。
- 为 Microsoft Entra ID 和 Microsoft 365 特权角色使用仅限云的帐户。
- 部署特权访问设备,供使用特权访问来管理 Microsoft 365 和 Microsoft Entra ID。 请参阅设备角色和配置文件。
- 部署Microsoft Entra Privileged Identity Management (PIM),以便实时访问具有特权角色的所有人工帐户。 需要防钓鱼身份验证才能激活角色。
- 提供允许使用必要的最低特权来完成所需任务的管理角色。 请参阅 Microsoft Entra ID 中按任务显示的最低特权角色。
- 若要启用同时包括委托和多个角色的丰富角色分配体验,请考虑使用 Microsoft Entra 安全组或 Microsoft 365 组。 我们统称为这些 云组。
- 启用基于角色的访问控制。 请参阅分配 Microsoft Entra 角色。 使用 Microsoft Entra ID 中的管理单元 将角色的范围限制为组织一部分。
- 部署紧急访问帐户,而不是本地密码保管库来存储凭据。 请参阅 在 Microsoft Entra ID 中管理紧急访问帐户。
有关详细信息,请参阅安全特权访问和Microsoft Entra ID 中管理员的安全访问做法。
使用云身份验证
凭据是主要的攻击向量。 实施以下做法,使凭据更安全:
部署无密码身份验证。 尽可能通过部署无密码凭据来减少密码的使用。 可以在云中直接管理和验证这些凭据。 有关详细信息,请参阅 Microsoft Entra ID 中的防钓鱼无密码身份验证部署入门。 从以下身份验证方法中选择:
部署多重身份验证。 有关详细信息,请参阅规划 Microsoft Entra 多重身份验证部署。 使用 Microsoft Entra 多重身份验证预配多个强凭据。 这样,访问云资源时,除了本地密码外,还需要 Microsoft Entra ID 管理的凭据。 有关详细信息,请参阅通过凭据管理来构建复原能力和使用 Microsoft Entra I 创建可复原的访问控制管理策略。
通过设备实现SSO的现代化。 利用 Windows 11、 macOS、Linux 和移动设备的新式单一登录(SSO)功能。
考虑。 混合帐户密码管理需要密码保护代理和密码写回代理等混合组件。 如果攻击者入侵本地基础结构,他们可以控制这些代理所在的计算机。 此漏洞不会损害云基础结构。 对特权角色使用云帐户不会保护这些混合组件免受本地入侵。
Microsoft Entra 中的默认密码过期策略将同步本地帐户的帐户密码设置为 永不过期。 可以使用本地 Active Directory 密码设置来缓解此设置。 如果 Active Directory 实例遭到入侵并禁用同步,请设置 CloudPasswordPolicyForPasswordSyncedUsersEnabled 选项以强制更改密码或从密码移动到 防钓鱼密码身份验证。
预配从云进行用户访问
“预配”是指在应用程序或标识提供者中创建用户帐户和组。
我们建议采用以下预配方法:
从云 HR 应用到 Microsoft Entra ID 的预配。 这种预配可隔离本地入侵。 这种隔离不会中断从云 HR 应用到 Microsoft Entra ID 的“加入者-转移者-离开者”循环。
云应用程序。 在可能的情况下,在 Microsoft Entra ID 中部署应用预配 ,而不是本地预配解决方案。 此方法可保护您的某些软件即服务(SaaS)应用程序免受恶意攻击者在本地发生入侵的威胁。
外部标识。 使用 Microsoft Entra 外部 ID B2B 协作 来减少依赖本地帐户进行与合作伙伴、客户和供应商的外部协作。 认真评估与其他标识提供者的任何直接联合。 我们建议通过以下方式限制 B2B 来宾帐户:
- 将来宾访问权限限制为浏览目录中的组和其他属性。 使用外部协作设置来限制来宾读取他们不是成员的群组的权限。
- 阻止对 Azure 门户进行访问。 可以指定极少量的必要例外项。 创建包含所有来宾和外部用户 的条件访问 策略。 然后实施某个策略来阻止访问。
断开连接的林。 使用 Microsoft Entra 云预配连接到断开连接的林。 此方法无需建立可能扩大本地违规所造成影响的跨林连接或信任。 有关详细信息,请参阅 What is Microsoft Entra Connect Cloud Sync。
考虑。 用于预配混合帐户时,来自云 HR 系统的 Microsoft Entra ID 依赖于使用本地同步来完成从 Active Directory 到 Microsoft Entra ID 的数据流。 如果同步中断,Microsoft Entra ID 中不会提供新员工记录。
使用云组进行协作和访问
使用云组可将协作和访问与本地基础结构分离。
- 协作。 将 Microsoft 365 组和 Microsoft Teams 展开新型协作。 停用本地通讯组列表,并在 Outlook 中将通讯组列表升级到 Microsoft 365 组。
- 访问。 使用 Microsoft Entra 安全组或 Microsoft 365 组授权访问 Microsoft Entra ID 中的应用程序。 若要控制对本地应用程序的访问,请考虑 使用 Microsoft Entra Cloud Sync 将组预配到 Active Directory。
- 许可。 使用基于组的许可,通过云专用组配置Microsoft服务。 此方法可将组成员身份控制与本地基础结构分离。
考虑用于访问的组的所有者作为特权标识,以避免本地入侵中成员身份接管。 接管包括直接的本地组成员身份操作或可能影响Microsoft 365动态组成员身份的本地属性操作。
从云中管理设备
使用 Microsoft Entra 功能安全地管理设备。
使用移动设备管理策略部署 Microsoft Entra 关联的 Windows 11 工作站。 启用 Windows Autopilot 以实现完全自动化的预配体验。 请参阅 “规划Microsoft Entra 联接实现。
将 Windows 11 工作站与部署的最新更新配合使用。
- 弃用运行 Windows 10 及更早版本的计算机。
- 请勿将具有服务器操作系统的计算机部署为工作站。
使用 Microsoft Intune 作为所有设备管理工作负载(包括 Windows、macOS、iOS、Android 和 Linux)的授权。
部署特权访问设备。 有关详细信息,请参阅设备角色和配置文件。
工作负载、应用程序和资源
本部分提供防止对工作负载、应用程序和资源的本地攻击的建议。
- 本地单一登录 (SSO) 系统。 弃用任何本地联合身份验证和 Web 访问管理基础结构。 将应用程序配置为使用 Microsoft Entra ID。 如果使用 AD FS 进行联合身份验证,请参阅 了解将应用程序身份验证从 AD FS 迁移到 Microsoft Entra ID 的阶段。
- 支持新式身份验证协议的 SaaS 和业务线 (LOB) 应用程序。 在 Microsoft Entra ID 中使用单一登录。 将应用配置为使用 Microsoft Entra ID 进行身份验证,以减少本地入侵的风险。
- 旧版应用程序。 可以使用 Microsoft Entra Private Access 启用对不支持新式身份验证的旧应用程序的身份验证、授权和远程访问。 第一步是使用 Microsoft Entra Private Access 快速访问启用对内部网络的新式访问。 此步骤提供了一种使用条件访问安全功能替换 VPN 一次性配置的快速简便方法。 接下来,为每个基于 TCP 或基于 UDP 的应用程序配置访问权限。
- 条件访问。 定义 SaaS、LOB 和旧版应用程序的条件访问策略,以强制实施防钓鱼 MFA 和设备符合性等安全控制。 有关详细信息,请阅读 规划Microsoft Entra 条件访问部署。
- 访问生命周期。 使用 Microsoft Entra ID Governance 来控制应用程序和资源的访问生命周期,以实现最低特权访问。 仅当用户因执行其任务而真正具有相应需求时,才为其提供相关信息和资源的访问权限。 将 SaaS、LOB 和旧版应用程序与 Microsoft Entra ID Governance 集成。 Microsoft Entra ID 权利管理自动执行访问请求工作流、访问分配、评审和过期。
- 应用程序和工作负荷服务器。 可以将需要服务器的应用程序或资源迁移到 Azure 基础结构即服务(IaaS)。 使用 Microsoft Entra 域服务 取消对本地 Active Directory 实例的信任和依赖。 若要实现这种分离,请确保用于 Microsoft Entra 域服务的虚拟网络未连接到企业网络。 使用凭据分层。 应用程序服务器通常被视为第 1 层资产。 有关详细信息,请参阅企业访问模型。
条件访问策略
使用 Microsoft Entra 条件访问来解释信号,并使用这些信号做出身份验证决策。 有关详细信息,请参阅条件访问部署计划。
- 尽可能地使用条件访问来阻止旧式身份验证协议。 此外,使用应用程序特定的配置在应用程序级别禁用旧式身份验证协议。 请参阅 “阻止旧式身份验证 ”和 “旧式身份验证协议”。 查找 Exchange Online 和 SharePoint Online 的特定详细信息。
- 实施建议的标识和设备访问配置。 请参阅常见零信任标识和设备访问策略。
- 如果使用的 Microsoft Entra ID 版本不包括条件访问,请使用Microsoft Entra ID 中的安全默认值。 有关 Microsoft Entra 功能许可的详细信息,请参阅Microsoft Entra 定价指南。
监视器
将环境配置为保护 Microsoft 365 免受本地入侵的影响后,主动监视环境。 有关详细信息,请参阅 What is Microsoft Entra monitoring。
除了特定于你组织的任何场景外,还要监视以下关键场景。
可疑活动。 监视所有 Microsoft Entra 风险事件以查找可疑活动。 请参阅如何:调查风险。 Microsoft Entra ID Protection 原生集成 Microsoft Defender for Identity。 定义网络命名位置,以免基于位置的信号产生干扰性的检测结果。 请参阅在条件访问策略中使用位置条件。
用户和实体行为分析(UEBA)警报。 使用 UEBA 获取有关异常情况检测的见解。 Microsoft Defender for Cloud Apps 在云中提供 UEBA。 请参阅调查风险用户。 可以将 Microsoft Defender for Identity 与本地 UEBA 进行集成。 Microsoft Defender for Cloud Apps 读取 Microsoft Entra ID 保护发出的信号。 请参阅 “启用实体行为分析”来检测高级威胁。
紧急访问帐户活动。 监视使用紧急访问帐户的任何访问活动。 请参阅 在 Microsoft Entra ID 中管理紧急访问帐户。 创建警报以便于调查。 此监视必须包含以下操作:
- 登录
- 凭据管理
- 对组成员身份进行的任何更新
- 应用程序分配
特权角色活动。 配置和查看由 Microsoft Entra Privileged Identity Management (PIM) 生成的 安全警报 。 每当直接分配用户时就生成警报,以此监视 PIM 外部的特权角色直接分配。
Microsoft Entra 配置适用于整个租户范围。 对租户范围的配置所做的任何更改都应在系统中生成警报。 包括(但不限制为)以下更改:
- 已更新自定义域
- 在 Microsoft Entra B2B 中对允许列表和阻止列表做出的更改
- Microsoft Entra B2B 通过直接联合或社交登录对允许的标识提供者(例如 SAML 标识提供者)进行更改
- 条件访问或风险策略更改
应用程序对象和服务主体对象
- 可能需要条件访问策略的新应用程序或服务主体
- 添加到服务主体的凭据
- 应用程序同意活动
自定义角色
- 对自定义角色定义做出更新
- 新建的自定义角色
有关本主题的完整指导,请查看 Microsoft Entra 安全操作指南。
日志管理
定义日志存储和保留策略、设计与实施方案,促使工具集保持一致。 考虑安全信息和事件管理(SIEM)系统,如 Microsoft Sentinel,以及常见查询、调查和取证指南。
Microsoft Entra 日志。 始终如一地遵循诊断、日志保留和 SIEM 引入等设置的最佳做法,引入生成的日志和信号。
Microsoft Entra ID 为 多个身份日志提供 Azure Monitor 集成。 有关详细信息,请参阅 Azure Monitor 中的 Microsoft Entra 活动日志 和 使用 Copilot 调查风险用户。
混合基础结构操作系统安全日志。 由于暴露面影响,将所有混合身份基础设施操作系统日志作为第 0 层系统进行存档并仔细监控。 包括以下元素:
- Microsoft Entra Private Access 和 Microsoft Entra 应用程序代理的专用网络连接器。
- 密码写回代理。
- 密码保护网关计算机。
- 具有 Microsoft Entra 多重身份验证 RADIUS 扩展的网络策略服务器(NPS)。
- Microsoft Entra Connect。
- 必须部署 Microsoft Entra Connect Health 以监视标识同步。
有关本主题的综合指南,请查看 事件响应执行手册 和 使用 Copilot 调查风险用户