Azure AD
- 添加自定义域名
- 配置Azure AD标识保护
- 自助式密码重置(SSPR)
- 多重身份验证(MFA)
- 为用户账户配置MFA
- 配置欺诈警报
- 配置受信任的IP和跳过选项
- 配置验证方法
- 部署和管理来宾账户
- 管理多个目录(租户Azure AD)
添加自定义域名
配置Azure AD标识保护
- 自动检测和修正基于标识的风险。
- 使用门户中的数据调查风险。
- 将风险检测数据导出到第三方实用程序,供进一步分析。
标识保护利用Microsoft从Azure AD组织、Microsoft 帐户中的用户群以及Xbox游戏中获得的自身经验来保护用户。Microsoft每天分析6.5万亿条信号,以识别威胁并保护客户安全。
可以将由标识保护生成并发送到标识保护的信号进一步发送给条件访问等工具,供其制定访问决策,也可以将信号发送回安全信息和事件管理(SIEM)工具,以根据组织的强制执行策略进行深入调查。
风险检测
登录风险
| 风险检测类型 | 说明 |
|---|---|
| 异常位置登录:匿名IP地址: | 从异常位置(基于用户最近的登录)进行登录。 |
| 不熟悉的登录属性: | 从匿名IP地址登录(例如:Tor浏览器,匿名程序 VPN)。使用给定用户最近未曾出现过的属性进行登录。 |
| 受恶意软件感染的IP地址: | 从受恶意软件感染的IP地址进行登录。 |
| 密码喷射: | 表示使用常见密码以统一的暴力攻击方式攻击了多个用户名。 |
| 管理员确认用户遭入侵: | 表明管理员已在有风险的用户u或使用riskyUsers API中选择了"确认用户泄露"。 |
| 可疑收件箱操作规则: | 可能表示用户的帐户被泄露,消息将被有意隐藏,邮箱将用于在组织中分发垃圾邮件或恶意软件。基于Microsoft Cloud App Security (MCAS) |
| lmpossible travel: | 可识别来源于保持一定地理距离的位置的两个用户活动(一个或多个会话),而完成这两个活动的时间段短于该用户从第一个位置旅行到第二个位置所需的时间,这表示另一个用户在使用相同的凭据。基于Microsoft Cloud App Security (MCAS) |
用户风险
| 风险检测类型 | 说明 |
|---|---|
| 凭据泄漏: | 此风险检测指示用户的有效凭据已泄漏。 |
| Azure AD 威胁智能: | Microsoft的内部和外部威胁智能源已识别出已知的攻击模式。 |
许可证要求
自助式密码重置(SSPR)
Azure Active Directory (Azure AD)自助式密码重置(SSPR)使用户能够更改或重置其密码,而不需要管理员或支持人员的于预。如果用户的帐户被锁定或用户忘记了自己的密码,他们可以按照提示取消对自己的阻止,回到工作状态。当用尸无法登录到其设备或应用程序时,此功能可减少呼叫支持人员的次数,降低生产力损失。
先决条件:
- 一个至少启用了Azure AD Free或试用版许可证的有效Azure AD租户。在免费层中,SSPR仅适用于Aure AD中的云用户。
- 一个拥有“全局管理员”特权的帐户。
- 该非管理员用户所属的组,例如SSPR-Test-Group。
- 一定要开启密码写回,使Azure AD与本地密码同步,不同步的话导致云端和本地密码不一致
多重身份验证(MFA)
多重身份验证(MFA)是在登录事件期间提示用户完成其他形式的身份识别的过程。此提示可以是让用户在手机上输入某个代码,或提供指纹扫描。需要另一种形式的身份验证时,会提高安全性,因为攻击者并不容易获取或复制进行多重身份验证所需的额外内容。
在特定的登录事件期间,可以通过Azure多重身份验证和条件访问策略来灵活地为用户启用MFA。
使用条件访问可以创建和定义策略,用于对登录事件做出反应,并在向用户授予对应用程序或服务的访问权限之前请求更多的操作。条件访问策略可以做到精细且具体,其目标是使用户能够随时随地保持工作效率,同时为组织提供保护。本教程将创建一个基本的条件访问策略,以便在用户登录到Azure门户时提示其执行MFA。
启用MFA
设置MFA用户登录后会强制使用其他安全验证
为用户账户配置MFA
条件访问
Azure Active Directory使用条件访问作为一种工具来统合信号、做出决策,以及实施组织策略。条件访问是新的标识驱动控制平面的核心。条件访问策略是一个关于分配和访问控制的if-then语句。条件访问策略可统合信号,做出决策,并实施组织策略。一个策略可以包含多个条件。
如果用户想要访问某个资源,则必须完成某个操作。示例:薪资管理人员想要访问薪资应用程序,而需要执行多重身份验证才能访问。
配置条件访问
配置欺诈警报
使用欺诈警报功能,用户可以报告欺诈性尝试访问其资源。收到未知和可疑MFA提示后,用户可以使用MicrosoftAuthenticator的应用或通过电话来报告欺诈尝试。
以下欺诈警报配置选项可用:
- 自动阻止报告欺诈的用户:如果用户报告欺诈,那么他们的帐户将被阻止90天,或者直到管理员解除阻止他们的帐户。管理员可以使用登录报表查看登录并采取相应的操作阻止将来的欺诈。然后管理员可以解除阻止用户帐户。
- 在初始问候期间报告欺诈的代码:当用户接收到执行多重身份验证的电话呼叫时,他们通常按#确认登录。如果他们想要报告欺诈,则可在按#之前输入代码。此代码默认为0,但可以自定义此代码。
配置受信任的IP和跳过选项
Azure多重身份验证的受信任的ip功能会绕过从定义的IP地址范围登录的用户的多重身份验证提示。你可以为本地环境设置受信任的IP范围,以便在用户处于这些位置之一时,没有Azure多重身份验证提示。
受信任的IP绕过只能从公司intranet内部使用。如果选择"所有联合用户”选项,并且用户从公司intranet外部登录,则用户必须使用多重身份验证进行身份验证。即使用户提供了AD FS声明,验证过程也相同。
配置验证方法
作为Azure Active Directory (Azure AD)中帐户的登录体验的一部分,用户可以通过不同的方式进行身份验证。用户名和密码是用户历来提供凭据的最常见方式。借助Azure AD中的新式身份验证和安全功能,可以使用其他身份验证方法作为基本密码的补充或替代方法。
Azure AD中的用户可以选择使用以下身份验证方法之一进行身份验证:
- 传统用户名和密码
- Microsoft Authenticator应用无密码登录
- OATH 硬件令牌或 FIDO2安全密钥
- 基于SMS的无密码登录
Azure AD中的许多帐户启用了自助服务密码重置(SSPR)或Azure多重身份验证。这些功能包括其他验证方法,如电话呼叫或安全问题。建议你要求用户注册多个验证方法。当一个方法对用户不可用时,他们可以选择使用另一种方法进行身份验证。
特别注意MFA和SSPR都需要的验证方法
部署和管理来宾账户
管理多个目录(租户Azure AD)
