设计验证和凭据策略

本文介绍在跨多个租户的教育组织中保护和管理凭据和身份验证方法所需的操作。

凭据 特定于用户的标识。 例如,其个人用户名和密码、PIN 或生物识别信息。 每个用户(包括 IT 管理员、教师、教职员工和学生)都有凭据。

身份验证方法是用户提交或证明其凭据的方式。 例如,用户在登录屏幕中或通过设置了帐户的 Microsoft Authenticator 应用输入凭据。

身份验证方法也可以细分为类别或类型,例如:

  • 登录身份验证

  • 密码重置身份验证

  • 多重身份验证

登录身份验证是用户最初输入凭据时。 自助密码重置 (SSPR) 和多重身份验证 (MFA) ,是其他类型的身份验证。

下表显示了在这些方案中如何使用各种身份验证方法。

身份验证方法 登录身份验证 SSPR 和 MFA
Password
Windows Hello 企业版
Microsoft Authenticator 应用 是 (预览版) MFA 和 SSPR
FIDO2 安全密钥 是 (预览版) 仅限 MFA
短信 是 (预览版) MFA 和 SSPR
语音呼叫 MFA 和 SSPR
安全问题 仅限 SSPR
电子邮件地址 仅限 SSPR

注意

若要启用用于登录身份验证的预览功能,请打开Azure 门户,选择“Microsoft Entra ID>安全>身份验证方法>”“身份验证方法策略” (预览版) “,并启用希望使用过多的预览方法。

身份验证类型

密码和 PIN 是常见的凭据类型。 不太常见的类型包括图片密码和模式锁。 生物识别身份验证也越来越受欢迎。 生物识别通过面部识别、指纹或视网膜打印来识别用户。

无密码身份验证

无密码解决方案是最方便、最安全的身份验证方法。 无密码身份验证消除了必须记住密码和响应多重身份验证的不便。 它更安全,因为它通过删除密码作为攻击面来降低网络钓鱼和密码喷射攻击的风险。 Microsoft 支持以下无密码身份验证方法

  • Windows Hello 企业版。 Windows Hello 企业版非常适合具有指定 Windows 电脑的用户。 生物识别和 PIN 凭据绑定到用户的电脑,这可以防止来自指定用户以外的任何人的访问,并防止未经授权的访问。 借助公钥基础结构 (PKI) 集成和对单一登录 (SSO) 的内置支持,Windows Hello 企业版提供了一种便捷的方法,用于无缝访问本地和云中的资源。

  • Microsoft Authenticator 应用。 Authenticator 应用将 iOS 或 Android 手机转换为强、无密码的凭据。 用户可以通过以下方式登录到任何平台或浏览器:向其手机发送通知,将屏幕上显示的数字与其手机上的数字匹配,然后使用其生物识别 (触摸或人脸) 或 PIN 凭据进行确认。 虽然本文引用了 Microsoft Authenticator 应用,但市场上还有其他验证器应用。

  • FIDO2 安全密钥。 FIDO2 安全密钥允许用户使用外部安全密钥或内置于设备中的平台密钥登录其资源,而无需使用用户名或密码。

有关详细信息,请参阅Microsoft Entra ID的无密码身份验证选项

密码重置身份验证

用户的密码重置是技术支持的最大数量和成本来源之一。 Microsoft Entra ID自助密码重置 (SSPR) 使用户无需管理员或技术支持参与即可更改或重置其密码。 除了降低成本外, SSPR 还可以降低用户风险并改善组织的安全状况。 如果用户的帐户被锁定或泄露,或者他们忘记了密码,他们可以按照提示解除阻止自己并恢复工作。

SSPR 的任何密码更改都要求密码符合Microsoft Entra密码策略。 这些策略确定所需的复杂性、长度、过期和可接受的字符。 如果密码不符合Microsoft Entra ID (或本地 AD) 策略要求,系统会提示用户重试。

多重身份验证

我们建议要求大学生、教师、IT 部门和其他工作人员进行 MFA。 这些组在 Internet 上可能更活跃,因此更容易受到网络攻击。

多重身份验证要求用户提供其他形式的身份验证。 它通过要求第二种形式的身份验证提供额外的安全性,例如:

  • 短信中的代码。

  • 接听电话语音呼叫。

  • 在 Microsoft Authenticator 应用中提供代码或生物识别信息。

  • 使用 OAUTH 硬件令牌。

启用 SSPR 和 Azure MFA

同时启用 SSPR 和 MFA,使环境更安全。 用户必须注册这些服务。

启用 SSPR

SSPR 在Microsoft Entra ID密码重置下的Azure 门户>进行管理,并允许你从以下身份验证方法列表中进行选择:

建议 - 按首选项顺序

  • 仅当需要重置的方法数设置为 2) (

  • 移动应用代码

  • 电子邮件

  • 移动电话 (短信)

如果存在两个建议的选项,则不建议使用

  • Office 电话 (语音呼叫)

  • 安全问题

注意

启用的身份验证方法将可供租户的每个成员使用。 由于安全问题是最不安全的选项,建议不要启用它,除非没有其他方法可用。 对办公室电话的电话呼叫可能会受到威胁,除非没有其他选项,否则不建议这样做。

建议向租户中的所有人提供 SSPR,但小学和中学学生除外。 这些学生可能无法访问所需的第二种身份验证形式。 对于这些学生,应为教师或其他教职员工分配 密码管理员角色。 若要为除这些学生以外的所有用户启用 SSPR,请执行以下操作:

  1. 在Azure 门户中创建具有描述性名称(例如“SSPR”)的 Microsoft 365 组。 添加除中小学生以外的所有人。 在 Microsoft Entra ID 中,可以创建基于属性的规则来为组启用动态成员身份。 如果你已在捕获指示学生级别的属性,则建议使用此方法。 如果需要包括外部来宾,请参阅动态组和Microsoft Entra B2B 协作

  2. 导航到“Microsoft Entra ID>安全>密码重置”,选择“已选择”,然后选择该组。

图片 1.

启用 Azure MFA

我们建议在租户中启用 MFA,并要求 IT 管理员以及有权访问学生记录(而不是自己或子女)的任何人员进行 MFA。 使用条件访问策略强制实施 MFA。

启用 MFA 后,用户应将以下选项之一设置为其默认多重身份验证方法:

  • Microsoft Authenticator - 通知 (最推荐)

  • Microsoft Authenticator 应用或硬件令牌 - 代码

  • 短信

  • 电话呼叫 (最不推荐)

注意

建议不要为小学、初中和高中学生启用 MFA。 MFA 通常用于防止恶意参与者入侵和损害帐户。 学生应只能访问自己的信息,但损害的可能性有限。 此外,年轻学生可能无法访问第二种形式的身份验证。

可通过两种方法启用 Azure MFA。 建议使用 Microsoft Entra ID 保护,通过将条件访问策略配置为要求 MFA 注册来管理推出。 标识保护要求管理员具有Microsoft Entra ID P2 许可证。 请参阅 如何:配置 Azure 多重身份验证注册策略

如果没有Microsoft Entra ID P2 许可证,仍可使用条件访问策略在特定情况下要求 Azure 多重身份验证。 如果管理员没有Microsoft Entra ID P2 许可证,请参阅教程:使用 Azure 多重身份验证保护用户登录事件

启用组合安全信息注册

通过组合的安全信息注册,用户可以注册一次,并享受 SSPR 和 Azure 多重身份验证 (MFA) 的优势。

为所有用户启用组合注册,并创建条件访问策略,要求注册为其启用了 SSPR 的相同用户。 可以使用同一个Office 365组。 要求注册会强制用户何时以及如何注册 SSPR 和 Azure MFA。

仅当条件访问策略的条件要求用户执行此操作时,才会触发 SSPR 和 MFA。 必须创建条件访问策略才能强制实施安全策略。

注意

对于 2020 年 8 月之前创建的租户,必须启用 组合安全信息注册。 对于 2020 年 8 月之后创建的租户,默认启用此功能。

有关详细信息,请参阅在 Microsoft Entra ID 中启用组合安全信息注册

培训用户

用户必须先注册其安全信息,然后才能开始使用 SSPR 或 MFA。 我们建议你了解用户体验,然后制定计划来根据需要共享用户意识和教育用户。

有关详细信息,请参阅以下最终用户文档:

Microsoft 为 MFASSPR 提供最终用户通信模板。 可以修改这些模板以帮助教育用户。 我们还为各种身份验证方法提供部署计划。 请参阅 部署身份验证

安装 Microsoft Authenticator 应用

将 Microsoft Authenticator 应用用于 SSPR 或 MFA 的用户必须安装最新版本的 Microsoft Authenticator 应用。

如果当前不在移动设备上,用户仍可以通过从 Microsoft Authenticator 页面向自己发送下载链接来获取 Microsoft Authenticator 应用。

Microsoft Entra密码保护

尽管你尝试为用户提供 有关如何选择密码的指导,但密码通常会出现弱或不安全的情况。 用户基于易于记住的术语(例如学校名称、团队吉祥物、热门教师名称等)创建密码的情况并不少见。

Microsoft Entra密码保护默认包括全局禁止密码列表。 这些列表会自动应用于所有用户,以检测和阻止容易受到密码喷射攻击的密码。 若要支持自己的安全需求,可以在 自定义禁止密码列表中定义自己的条目。 当用户更改或重置其密码时,会检查这些禁止的密码列表以强制使用更强的密码。

智能锁定 还有助于保护你免受使用暴力破解方法猜测用户密码的恶意参与者的伤害。 默认情况下,智能锁定在 10 次尝试失败后,将帐户锁定一分钟,防止登录尝试。 每次登录尝试失败后,帐户都会再次锁定,最初锁定一分钟,在后续尝试中会更长的时间。 所有Microsoft Entra客户始终启用智能锁定。 默认设置提供安全性和可用性的平衡。 使用特定于组织的值自定义智能锁定设置需要用户Microsoft Entra ID P1 或更高版本的许可证。

安全报告

若要限制你受到潜在威胁的影响,请使用 Microsoft Entra ID 中可用的报告功能。 Microsoft Entra ID支持审核日志和登录报告、有关风险检测的安全报告,以及有助于了解 Azure MFA 和 SSPR 身份验证方法在组织中的工作方式的报告。

标识保护

Microsoft Entra ID具有许多可自动识别和生成警报的功能,以消除检测和响应攻击之间的延迟。 若要充分利用这些功能,建议使用 Microsoft Entra ID 保护。 此功能需要Microsoft Entra ID P2 许可证。 建议至少对所有管理员使用标识保护。

管理员在标识保护中用于调查有三个关键报告:

  • 风险用户报告。 用户风险指示用户标识泄露的可能性,并根据该标识 的用户风险检测 进行计算。 用户风险策略是一种条件访问策略,用于评估特定用户或组的风险级别。 根据低、中和高风险级别,可以将策略配置为使用多重身份验证阻止访问或要求进行安全密码更改。

  • 风险登录报告。 登录风险是指帐户所有者以外的其他人尝试使用该标识登录的可能性。 登录风险策略是一种条件访问策略,用于评估特定用户或组的风险级别。 根据 (高/中/低) 的风险级别,可以将策略配置为阻止访问或强制进行多重身份验证。 请确保对中等或更高风险登录强制进行多重身份验证。

  • 风险检测报告。 使管理员能够识别和修正以下类型的风险检测:

    • 非典型旅行

    • 匿名 IP 地址

    • 不熟悉的登录属性

    • 恶意软件链接的 IP 地址

    • 泄露的凭据

    • Microsoft Entra威胁情报

以下资源可帮助你实施风险管理策略。

Microsoft 在有限时间内维护标识保护报告中的信息。 建议定期将其导出并存档到其他工具中,以便进一步调查和关联。 Microsoft Graph API 允许收集此数据,以便在安全与信息事件管理 (SIEM) 解决方案等工具中进一步处理。 若要了解如何实现这些报表,请参阅 Microsoft Entra ID 保护 和 Microsoft Graph 入门

审核日志和登录报告

审核日志报告合并了以下报告:

  • 审核报告

  • 密码重置活动

  • 密码重置注册活动

  • 自助服务组活动

  • Office365 组名称更改

  • 帐户预配活动

  • 密码滚动更新状态

  • 帐户预配错误

身份验证方法用法 & 见解

Microsoft Entra ID提供了可用于确保用户已注册 MFA 和 SSPR 的报告。 尚未注册的用户可能需要接受有关此过程的教育。

身份验证方法 使用情况 & 见解报表 包含有关 MFA 和 SSPR 使用情况的信息,并让你深入了解每个方法在组织中的工作方式。 访问登录活动 (以及审核和风险检测) Microsoft Entra ID对于故障排除、使用情况分析和取证调查至关重要。

建议

建议教师、管理员和 IT 人员尽可能使用无密码身份验证方法之一。 当必须使用密码时,请参阅 Microsoft 的密码指南

身份验证方法

下表汇总了帐户类型以及针对所有三种身份验证类型的建议:

帐户类型 登录 SSPR Azure MFA
小学生 () Password
学生 (中学) Password
学生 (高中) 密码或 PIN
如果智能手机可用,则验证器应用
学生的个人电子邮件
短信
语音呼叫
学生 (大学) 密码或 PIN
如果智能手机可用,则验证器应用
Authenticator 应用
短信
个人电子邮件
Authenticator 应用
短信
Phone
教师 Windows Hello 企业版 (PIN 或生物识别)
FIDO 2 安全密钥
•Authenticator 应用
短信
个人电子邮件
Authenticator 应用
短信
Phone
IT 人员 无密码 (PIN、生物识别、FIDO 2 安全密钥) Authenticator 应用
短信
个人电子邮件
Authenticator 应用
短信
Phone
家长 密码 (Azure AD B2C) Authenticator 应用
短信
语音呼叫
个人电子邮件
Authenticator 应用
短信
Phone

凭据分发

建议使用以下方法之一向中小学学生分发身份验证:

  • 家长的电子邮件

  • 家长手机或座机电话

  • 学生的个人电子邮件 (是否存在)

  • 提供给教师的学生临时密码的打印副本

  • 将密码发布到学生的注册地址

对于教师、IT 管理员、其他教职员工以及高中或大学生,请使用以下方法之一:

  • 将临时密码通过电子邮件发送到个人电子邮件地址

  • 通过短信发送临时密码

  • 临时密码的打印副本

密码安全建议

IT 管理员应始终

  • 强制初始密码或首次密码过期

  • 实现密码更改或重置的自动通知

此外,请向所有用户提供以下密码安全建议:

  • 不要以不安全的方式记下或存储密码。

  • 不要重复使用密码 - 维护密码历史记录。

  • 请勿与任何人共享密码。

  • 使用通行短语而不是密码。

  • 如果/怀疑帐户已泄露,请更改密码。

  • 在第一次使用之前重置提供的密码。

挑战和缓解措施

管理凭据可能具有挑战性。 本部分介绍Microsoft Entra ID中的功能,这些功能可帮助你缓解最常见的挑战。

密码有效期

我们不建议将密码过期作为安全措施,因为密码可能会在学校假期期间过期,这可能会导致技术支持人员大量使用。 这种高容量尤其会影响未为 SSPR 设置的年轻学生,因为他们可能无法访问其他形式的身份验证。 多重身份验证、条件访问策略和安全监视比密码过期更好地缓解问题。

如果组织当前启用了密码过期,我们建议全局管理员或用户管理员使用 Microsoft Azure AD 模块Windows PowerShell设置用户密码永不过期,或使用 [Set-MsolPasswordPolicy cmdlet] (/powershell/module/msonline/set-msolpasswordpolicy 来修改过期期限。

注意

自 2024 年 3 月 30 日起,Azure AD 和 MSOnline PowerShell 模块已弃用。 若要了解详细信息,请阅读 弃用更新。 在此日期之后,对这些模块的支持仅限于 Microsoft Graph PowerShell SDK 和安全修补程序的迁移帮助。 弃用的模块将继续运行到 2025 年 3 月 30 日。

建议迁移到 Microsoft Graph PowerShell,以便与以前为 Azure AD) Microsoft Entra ID (交互。 有关常见的迁移问题,请参阅 迁移常见问题解答注意: MSOnline 1.0.x 版可能会在 2024 年 6 月 30 日之后遇到中断。

更新用户信息

管理员通常管理用户详细信息:每个用户的设备、安全信息和密码。 手动更新此信息非常繁琐且耗时。

若要解决此挑战,管理员应要求用户使用 “我的帐户”。 “我的帐户”是一个自助服务门户,使最终用户能够:

  • 设置自助式密码重置

  • 配置双因素身份验证

  • 更改密码

  • 如果设备丢失或被盗,请禁用设备

维护组订阅

学生和教职员工经常发现自己需要访问组以进行访问或通信。 教育机构中组的数量和用户需求变化的频率可能会使组管理成为管理员的一项艰巨任务。

在 Microsoft 365 EDU 中,从学校数据同步创建的每个组都会自动添加到学校管理单元,以便为学校中的组提供委派和限定范围的管理。

对于单个组的委派和管理,还有两个附加选项。

委派组管理 使管理员能够将组成员身份的管理委托给业务所有者。 例如,如果你的学校有一个只有特定系的学生才能访问的应用,你通常会将用户添加到组并分配该组访问权限。 然后,可以将成员资格管理职责委托给该部门的员工。 然后,该部门将管理组中的成员身份,该组提供对应用程序的访问权限。 在学术环境中,我们建议这样做,而不要进行自助服务组管理。

自助服务组管理使每个用户(包括学生)都可以在Microsoft Entra ID中创建和管理自己的安全组或 Microsoft 365 组。 组的所有者可以批准或拒绝成员身份请求,并且可以委托对组成员身份的控制。 全面评估允许学生创建组是否是组织所需的状态。

注意

委派组管理和自助服务组管理功能仅适用于 Microsoft 365 组和Microsoft Entra安全组。 它们不适用于已启用邮件的安全组或通讯组列表。

密码太多,无法记住

学生和教职员工访问多个应用程序以完成其学校工作,这可能需要他们记住多个唯一密码。 Microsoft 提供了多种缓解措施。

建议对所有兼容应用程序启用Microsoft Entra单一登录 (SSO) ,以便用户可以使用其组织凭据访问所有资源。

Windows 10 Microsoft Entra加入Microsoft Entra混合联接的设备将无缝访问已启用 SSO 的应用程序,前提是已登录用户具有访问权限。

如果你的组织是混合组织,并且有运行 Windows 8 或更低版本的计算机,则还可以实现无缝单一登录。 无缝 SSO 可避免教师和教职员工从组织网络登录时出现密码提示。