在 Azure AD 中实施条件访问以加强安全性

在 Azure AD 中实施条件访问以加强安全性

2024年5月1日

本技术和教育文章旨在指导安全分析师、IT 管理员和系统工程师在 Microsoft Entra ID(以前称为 Azure Active Directory)中实施和优化条件访问。条件访问是 Microsoft 的旗舰零信任策略执行机制,使组织能够根据实时条件(例如用户身份、位置、设备运行状况和会话风险)来控制对资源的访问 [1]。

简介

在当今的安全环境中,网络威胁复杂且远程工作盛行,传统的网络边界保护已不再足够。 Azure AD 条件访问使组织能够从静态安全方法转向动态、自适应方法,在这种方法中,每次访问尝试都会在被授予之前进行评估。这可确保在特定条件下仅向受信任的用户和设备授予访问权限,从而更有效地保护公司数据和应用程序 [2]。

本实用指南将涵盖创建和配置条件访问策略,包括要求多重身份验证 (MFA)、支持的设备、可信位置和旧身份验证阻止。将提供分步说明、配置示例和验证方法,以便读者可以实施和加强其组织的安全态势,确保对资源的访问安全且合规。

为什么条件访问至关重要?

  • 零信任:是实现零信任模型的策略引擎,显式验证每个访问请求。
  • 自适应控制:允许访问策略根据实时风险信号动态调整。
  • 全面保护:保护云端和本地的身份、设备、数据和应用程序。
  • MFA 和设备合规性:更轻松地实施 MFA 并要求合规或加入 Azure AD 的设备进行访问。
  • 降低风险:帮助降低凭证盗窃、未经授权的设备访问和可疑位置访问等风险。

先决条件

要在 Azure AD 中实施条件访问,您将需要以下项目:

  1. 许可:Microsoft Enroll ID Premium P1 或 P2(以前称为 Azure AD Premium P1 或 P2)许可证。条件访问是这些许可证的独特功能[3]。
  2. 管理访问权限:在 Microsoft Entra 管理中心 (https://entra.microsoft.com) 中具有“条件访问管理员”、“安全管理员”或“全局管理员”角色的帐户。
  3. 用户和组:Microsoft Entra ID 中用于测试策略的用户和安全组。
  4. 配置多重身份验证 (MFA):对于需要 MFA 的策略,用户必须配置并注册 MFA。
  5. 托管设备(可选):对于需要受支持的设备或 Azure AD/混合加入的设备的策略,设备必须由 Microsoft Intune 或 Azure AD 加入的设备进行管理。

分步:配置条件访问策略

让我们创建一些基本的条件访问策略来加强安全性。

1. 访问Microsoft Portal 进入管理中心

  1. 打开浏览器并导航至“https://entra.microsoft.com”。
  2. 使用具有必要权限的帐户登录。
  3. 在左侧导航窗格中,选择“保护”>“条件访问”。

2. 创建要求所有用户(不包括紧急帐户)进行 MFA 的策略

对于大多数组织来说,这是一项基本策略,确保除了紧急/紧急访问帐户之外的所有访问尝试都需要 MFA。

  1. 在“条件访问”页面上,单击“新建策略”>“创建新策略”。
  2. 名称01 - 要求所有用户进行 MFA

  3. 分配 > 身份用户或工作负载

    • 包括中,选择所有用户
    • 删除 下,选择 用户和组 并添加您的 emer 访问帐户Agency/break-glass(受到高度保护的帐户,可用于在 MFA 故障或目录不可用时访问租户)。

  4. 云资源或操作

    • 包括 下,选择 所有云应用程序

  5. 授予

    • 选择授予访问权限
    • 检查需要多重身份验证
    • 单击“选择”。

  6. 启用策略:选择“仅报告”(在应用之前测试影响)或“已启用”。

    • 提示:始终从“仅报告”开始,以监控策略的影响而不应用它,检查输入日志是否有可能不需要的块。
  7. 单击“创建”。

3. 创建阻止旧身份验证的策略

旧版身份验证(例如 POP、IMAP、SMTP、基本身份验证)不支持 MFA,是常见的攻击媒介。阻止它至关重要。

  1. 在“条件访问”页面上,单击“新建策略”>“创建新策略”。
  2. 名称02 - 阻止旧版身份验证
  3. 分配 > 身份用户或工作负载:选择所有用户(不包括您的紧急帐户)。
  4. 云资源或操作:选择所有云应用程序

  5. 条件 > 客户端申请

    • 将“客户端应用程序”设置为“是”。
    • 检查“Exchange ActiveSync 客户端”和“其他客户端”。

  6. 访问控制 > 授予

    • 选择阻止访问
    • 单击“选择”。

  7. 启用策略:选择“仅报告”或“已启用”。

  8. 单击“创建”。

4. 创建需要兼容设备才能访问关键应用程序的策略

此策略确保只有符合安全标准(例如,由 Intune 管理)的设备才能访问敏感应用。

  1. 在“条件访问”页面上,单击“新建策略”>“创建新策略”。
  2. 名称03 - 关键应用程序需要兼容设备
  3. 分配 > 身份用户或工作负载:选择所有用户(或特定组)。

  4. 云资源或操作

    • 包括 下,选择 选择应用程序 并选择关键应用程序(例如 SharePoint Online、Dynamics 365、业务线应用程序)。

  5. 授予

    • 选择授予访问权限
    • 选中需要将设备标记为受支持
    • 单击“选择”。

  6. 启用策略:选择“仅报告”或“已启用”。

  7. 单击“创建”。

5. 创建策略以阻止来自不受信任位置的访问

此策略有助于防止来自已知为攻击源的地理区域或 IP 地址的访问。

  1. 首先,您需要在 Azure AD 中创建命名位置(Named Locations)来定义可信位置(例如公司办公室、VPN)。

    • 在 Microsoft 登录管理中心,转到 保护 > 条件访问 > 命名位置
    • 单击 新国家/地区位置新 IP 范围位置 以设置您的可信位置。

  2. 在“条件访问”页面上,单击“新建策略”>“创建新策略”。

  3. 名称04 - 阻止来自不受信任位置的访问
  4. 分配 > 身份用户或工作负载:选择所有用户
  5. 云资源或操作:选择所有云应用程序

  6. 条件 > 地点

    • 将“位置”设置为“是”。
    • 包括中,选择任何位置
    • 排除 下,选择 选定位置,然后选择您已定义为受信任的“命名位置”。

  7. 访问控制 > 授予

    • 选择阻止访问
    • 单击“选择”。
  8. 启用策略:选择“仅报告”或“已启用”。
  9. 单击“创建”。

验证和测试

验证条件访问策略对于确保它们按预期工作并且不会导致不必要的阻塞至关重要。

1. 使用“假设”工具

“假设”工具允许您模拟条件访问策略对特定用户或场景的影响。

  1. 在“条件访问”页面上,单击如果
  2. 配置测试场景(用户、应用程序、IP 地址、设备等)。
  3. 单击 假设 查看将应用哪些策略以及结果(授予或阻止访问)。

2. 检查输入日志

入站日志提供有关每次访问尝试的详细信息,包括评估了哪些条件访问策略以及结果。

  1. 在 Microsoft 登录管理中心中,转到 监控和运行状况 > 入站日志
  2. 按用户、应用程序或状态(例如“失败”)过滤日志以调查访问尝试。
  3. 单击日志条目可查看详细信息,包括“条件访问”选项卡,该选项卡将显示应用的策略和结果。

3. 测试用户的真实测试

在不同场景(例如,从不受信任的位置进行访问、使用不受支持的设备、没有 MFA)对测试用户进行测试,以确认策略的预期行为。

安全提示和最佳实践

  • 仔细规划:根据组织的需求和零信任原则规划您的条件访问策略。从一小部分政策开始,逐步扩大。
  • **仅报告模式:始终首先在仅报告模式下部署新策略,以评估其影响并进行调整,然后再在启用模式下应用它们。
  • 紧急帐户:始终从所有条件访问策略中排除紧急/打破玻璃访问帐户,以避免意外锁定。
  • 阻止旧身份验证:这是减少攻击面的最有效策略之一。
  • 要求所有用户使用 MFA:保护身份的基本策略。
  • 托管设备:需要托管设备(加入 Azure AD 或启用 Intune)才能访问敏感资源。
  • 命名位置:使用命名位置定义可信网络并阻止来自不受信任位置的访问。
  • 持续审查和调整:定期审查和调整您的条件访问策略,以适应威胁环境和业务需求的变化。
  • 文档:保留条件访问策略的清晰文档,包括其目的、范围和任何排除情况。

常见故障排除

  • 意外阻止的用户:使用“假设”工具和登录日志来识别导致阻止的策略。检查保单包含和排除内容。
  • 未应用策略:检查策略是否处于“已启用”模式,并且用户和应用程序是否在策略范围内。检查输入日志以查看策略是否已评估。
  • MFA 问题:确保用户已注册 MFA 方法。检查 MFA 提供商的连接问题。
  • 合规设备问题:在 Intune 中检查设备的合规性状态。确保设备已加入 Azure AD 或向 Intune 注册。
  • 策略冲突:条件访问会评估所有策略并应用限制最严格的策略。如果存在冲突的政策,请调整它们以确保达到预期的行为。

结论

在 Azure AD 中实施条件访问是构建基于零信任模型的强大且自适应的安全体系结构的基本支柱。通过使组织能够根据各种条件设置精细的访问策略,条件访问显着加强了对身份和资源的保护,使其免受网络威胁。战略策略配置与严格的测试以及持续的审查和优化周期相结合,使安全团队能够确保访问始终经过验证、最低权限并适应风险环境。借助条件访问,公司可以保护其最有价值的资产,同时使用户能够在任何地方、在任何设备上安全、高效地工作。

参考资料:

[1] 微软学习。 什么是条件访问?。网址:[https://learn.microsoft.com/pt-br/entra/identity/conditional-access/overview](https://learn.microsoft.com/pt-br/entra/身份/条件访问/概述) [2] 微软学习。 规划条件接收的实施。位于:https://learn.microsoft.com/pt-br/entra/identity/conditional-access/plan-conditional-access [3] 微软学习。 有条件访问的许可证要求。网址:https://learn.microsoft.com/pt-br/entra/identity/conditional-access/overview#license-requirements