设计租户配置

Microsoft Entra ID中的配置在每个租户中完成。 配置设置控制安全和访问策略。 记录安全性和访问策略,以确保租户之间的一致性(如果适用)。

跨租户的配置一致性

在拥有管理中心团队的大型 EDU 环境中,确保大多数配置在租户之间保持一致将:

  • 简化管理,提高中心 IT 团队的效率。

  • 更轻松地识别和排查问题。

  • 更轻松地跨租户开发、测试和部署软件。

  • 使跨租户的用户体验更加一致和直观。

  • 简化将用户从一个租户迁移到另一个租户的过程。

创建策略,其中哪些租户配置将由中心 IT 团队标准和管理,哪些租户配置可由特定于租户的 IT 团队进行调整。 特定于租户的管理团队可能需要具有灵活性的一些方面包括:

  • 允许外部合作伙伴访问租户。 虽然组织可能具有仅允许其他租户访问的策略,但特定区域可能需要Microsoft Entra B2B 协作允许列表的区域特定供应商。

  • 调整所需的访问策略,例如,要求托管设备满足特定于租户或区域的安全要求,或考虑托管设备的可用性。

  • 试用新功能,例如尝试 MyStaff 的区域让学校的主管为该校教职员工完成某些 IT 任务。

配置外部标识

外部标识表示来自Microsoft Entra租户外部的用户,例如来自 EDU 组织中的其他租户的用户。 在跨多个租户的大型 EDU 组织中,可以使用Microsoft Entra企业到企业 (B2B) 协作来跨这些租户提供访问权限。 Microsoft Entra B2B 允许与来自另一组织的来宾安全地共享组织的应用程序和服务,同时保持对自己的数据的控制。

控制外部协作

外部协作设置 允许你为组织中的不同类型的用户打开或关闭来宾邀请。 还可以通过分配允许单个用户邀请来宾的角色,将邀请委托给单个用户。 外部协作设置在Microsoft Entra ID下的Microsoft Entra 管理中心中管理。

允许来宾显示在全局地址列表中

可以通过以下方法之一在全局地址列表 (GAL) 中显示来宾 (外部用户) :

  • 邀请用户作为来宾使用 Microsoft Entra B2B (推荐)

  • 不建议使用 GAL 同步 ()

注意

GAL 同步不会创建用户帐户。 相反,它创建的每个联系人都是一个对象,该对象根据租户中的对象限制进行计数。

安全和访问策略

由于标识相关攻击如此普遍,管理安全性可能很困难。 使用安全默认值和访问策略,可以更轻松地帮助保护组织免受密码喷洒、重播和网络钓鱼等攻击。

安全性默认值

安全默认值 提供安全设置,我们代表你的组织进行管理,以确保你的安全,直到你准备好管理自己的标识安全情景。 启用安全默认值后,我们可使用以下预配置策略设置来帮助你保护组织:

  • 要求所有用户注册 Azure 多重身份验证

  • 要求管理员执行多重身份验证

  • 阻止旧式身份验证协议

  • 要求用户在必要时执行多重身份验证

  • 保护特权活动,例如访问Azure 门户

如果你的组织现在想要提高安全态势,但你尚未配置可靠的安全性,则建议启用安全默认值。 如果你的组织拥有Microsoft Entra ID P1 或 P2 许可证,并且当前正在使用条件访问策略来强制实施组织策略,则安全默认值可能不适合你。

在Azure 门户中启用安全性默认值,如下图所示。

Azure 门户的屏幕截图,其中包含用于启用安全默认值的开关。

面向 IT 和员工的托管设备

若要保护租户中的资源,请阻止具有未知保护级别的设备进行访问。 实现设备管理解决方案,以便用户只能使用组织管理的设备访问资源。

在 Microsoft Entra ID 中,将设备视为托管的最低要求是向 Microsoft Entra ID 注册。 管理员可以选择在 Microsoft Entra ID 中实现以下类型的设备管理:

  • 已加入混合域。 组织拥有并加入本地 Active Directory和Microsoft Entra ID的设备。 通常由组织购买和管理并由 System Center Configuration Manager管理的设备。

  • Microsoft Entra已加入域。 组织拥有并已加入组织Microsoft Entra租户的设备。 通常由组织购买和管理、加入Microsoft Entra ID并由Microsoft Intune等服务管理的设备。

  • 已注册Microsoft Entra。 组织拥有的设备或用于访问公司资源的个人设备。 通常是用于访问公司资源的个人设备。 组织可能需要通过移动设备管理 (MDM) 注册设备,或者通过移动应用程序管理 (MAM) 强制实施设备,而无需注册即可访问资源。 此功能可由 Microsoft Intune 等服务提供。

若要了解详细信息,请参阅 选择集成方法

为了进一步增强安全性,我们还建议为 IT 和员工创建Microsoft Entra条件访问策略。 使用条件访问,可以创建授予访问权限的单个策略:

  • 到所选云应用。

  • 对于所选用户和组。

  • 需要托管设备。

对管理员使用 MFA

分配有提升权限的帐户是攻击者的宝贵目标。 若要最大程度地降低特权帐户泄露的风险,请使用强身份验证凭据(例如 Azure 多重身份验证 (MFA) )预配具有提升权限的所有帐户。

建议至少 创建条件访问策略,要求 对以下管理角色进行 MFA:

  • 计费管理员

  • 条件访问管理员

  • Exchange 管理员

  • 全局管理员

  • 支持人员 (密码) 管理员

  • 安全管理员

  • SharePoint 管理员

  • 用户管理员

如果用户可以使用多重身份验证方法,请对有权访问敏感信息(如学生记录)的用户强制实施 MFA。

风险策略

使用Microsoft Entra ID,管理员可以创建策略来防范某些类型的风险

  • 登录风险。 给定身份验证请求未由标识所有者授权的概率。

  • 用户风险。 给定标识或帐户泄露的概率。

登录风险策略和用户风险策略可自动响应环境中的风险检测,并允许用户自行修正风险。

具有Microsoft 365 A5许可证 (或Microsoft Entra ID P2 许可证) 的教育组织可以使用Microsoft Entra ID 保护来保护其帐户。 还可以创建 基于登录风险的条件访问策略基于用户风险的条件访问策略

配置用户风险策略,以便 高风险用户在 登录后需要更改其密码。

最佳做法

  • 定义条件访问策略,以强制实施标识安全态势,并将登录风险和用户风险降到最低。 这应包括对 MFA 的控件和基于设备的控件,以便仅通过托管设备和预期位置启用访问。

  • 所有应用程序都应应用显式条件访问策略。

  • 通过应用于具有相同要求的多个应用,最大程度地减少条件访问策略的数量。

  • 通过设置 紧急访问帐户 来规划中断,以减轻意外锁定的影响。

  • 仅报表模式下配置条件访问策略。

有关单个环境的条件访问策略的一般指导,检查 CA 最佳做法Microsoft Entra操作指南

应用注册

只有具有提升权限的用户才能执行将应用程序添加到应用程序库或将应用程序配置为使用应用程序代理等任务。 但是,默认情况下,目录中的所有用户都可以注册应用程序和服务主体对象。 他们还有权决定哪些应用程序可以通过用户同意访问其组织数据。

建议 禁用用户同意 ,以便非特权帐户无法在租户中创建应用程序和服务主体对象。 而是 委托团队成员应用程序管理角色 ,例如应用程序管理员、应用程序开发人员或云应用程序管理员角色。 使用角色将集中决策过程,以同意组织的安全和标识团队。

应用集成

如果可能,请使用 Microsoft Entra 应用程序库集成受支持的 SaaS 应用程序,可在其中找到使用 Microsoft Entra ID 的预配置应用。 如果应用程序在 Microsoft Entra 应用程序库中不可用,则可以在Microsoft Entra 管理中心中添加未列出的应用程序

在混合环境中,可以使用 Microsoft Entra 应用程序代理启用对旧应用程序的安全远程访问。 应用程序代理使用户能够使用其Microsoft Entra帐户访问本地 Web 应用,而无需使用 VPN。

或者,如果当前正在使用以下任何第三方应用程序交付或网络解决方案,则可以保护对旧版应用的访问:

设计租户安全性

除了上述建议外,我们还建议通过在Microsoft Entra 管理中心中配置以下设置来进一步锁定租户。

用户设置

设置 原因
管理门户
限制对Microsoft Entra管理门户的访问 此设置将阻止非特权帐户访问Azure 门户的“Microsoft Entra ID”部分。
LinkedIn帐户连接 无需业务
应用注册
用户可以注册应用程序 对于教育组织Microsoft建议防止非特权帐户在租户中创建应用程序和服务主体对象。 而是将团队成员显式分配到应用程序管理角色,例如应用程序管理员、应用程序开发人员或云应用程序管理员角色。

外部标识设置

设置 原因
仅允许来自同一组织的租户
来宾权限有限 来宾来自知名租户。
管理员和具有“来宾邀请者”角色的用户可以邀请 当仅允许对指定域的邀请时,可以委托来宾邀请。
成员可以邀请,来宾可以邀请 通过仅允许某些管理员或具有来宾邀请者角色的管理员/用户邀请来宾,更好地控制邀请谁加入租户。
为来宾启用电子邮件一次性密码(预览) 来宾来自知名租户。
通过用户流 (预览版) 启用来宾自助服务注册 仅允许对指定的域发出邀请,而用户帐户Microsoft Entra其他租户中的帐户。
协作限制 - 仅允许对指定域的邀请 最严格的 Microsoft建议对具有多个租户的大型组织使用 B2B 协作功能在租户之间提供访问权限的大型组织使用此设置。
将协作设置设置为“仅允许对 (限制性最严格的) 的指定域的邀请时,会将属于组织的所有域包含在 允许列表中,这将自动拒绝对任何其他域的邀请。 或者,如果你的学校与其他组织建立了合作关系,你可以通过将邀请添加到允许列表来限制这些组织的邀请。
允许自己组织外部的协作
来宾权限有限 来宾可以来自自己的组织外部,此设置将限制他们执行某些目录任务,例如枚举用户、组或其他目录对象。
管理员和具有“来宾邀请者”角色的用户可以邀请 当协作限制设置为允许将邀请发送到任何域时,我们建议通过一组委派的管理员控制邀请。
成员可以邀请,来宾可以邀请 通过仅允许某些管理员或具有来宾邀请者角色的管理员/用户邀请来宾,更好地控制邀请谁加入租户。
为来宾启用电子邮件一次性密码(预览) 从组织外部邀请用户时,建议使用 OTP。
通过用户流 (预览版) 启用来宾自助服务登录 最好控制邀请,而不要让来宾自助注册租户。
协作限制 - 允许将邀请发送到任何域 最具包容性 需要与多个其他租户协作时(例如,与合作伙伴、外部顾问、其他教育组织协作时)的建议设置。

用户功能预览设置

设置 原因
用户可以将预览功能用于我的应用 None/Selected/All 设置取决于我的应用门户及其功能的使用情况和需求。 可以考虑使用 我的应用 门户仅向员工或包括学生在内的所有人提供对组织的基于云的应用的访问权限。
用户可以使用组合的安全信息注册体验 全部 建议使用增强的身份验证方法,例如无密码凭据和条件访问来保护安全信息注册。
管理员可以访问“我的员工” None/Selected/All 设置取决于“我的员工”的使用情况和需求。 可以考虑使用“我的员工”将常见的支持任务委托给员工。
“我的教职员工”允许你委托给权威人物(例如学校校长)的权限,以确保其教职员工能够访问其Microsoft Entra帐户。 组织可以将重置密码或更改电话号码等常见任务委托给学校主任,而不是依赖于中心支持人员。 使用“我的员工”,无法访问其帐户的用户只需几个选择即可重新获得访问权限,无需支持人员或 IT 人员。

组管理设置

设置 原因
自助服务组管理
所有者可以在访问面板中管理组成员身份请求 EDU 租户中的组可能具有敏感的资源访问 (例如,访问应结构化和管理的学生信息) 。 对于这些方案,不建议使用用户启动的管理
限制用户访问访问面板中的组功能的能力。 无论此设置的值如何,管理员 (全局、组和用户管理员) 都将具有访问权限 EDU 租户中的组可能具有敏感的资源访问 (例如,访问应结构化和管理的学生信息) 。 对于这些方案,不建议使用用户启动的管理
安全组
用户可以在 Azure 门户中创建安全组 EDU 租户中的组可能具有敏感的资源访问 (例如,访问应结构化和管理的学生信息) 。 对于这些方案,不建议使用用户启动的管理
可在 Azure 门户中将成员分配为组所有者的所有者 None EDU 租户中的组可能具有敏感的资源访问 (例如,访问应结构化和管理的学生信息) 。 对于这些方案,不建议使用用户启动的管理
Office 365 组
用户可以在 Azure 门户中创建Office 365组 EDU 租户中的组可能具有敏感的资源访问 (例如,访问应结构化和管理的学生信息) 。 对于这些方案,不建议使用用户启动的管理
可在 Azure 门户中将成员分配为组所有者的所有者 None EDU 租户中的组可能具有敏感的资源访问 (例如,访问应结构化和管理的学生信息) 。 对于这些方案,不建议使用用户启动的管理

企业应用程序设置

设置 原因
企业应用程序
用户可以同意应用代表他们访问公司数据 应使用管理员同意请求工作流,通过具有已建立所有权的已定义流程审查需要同意的应用程序
用户可以同意应用访问其拥有的组的公司数据 应使用管理员同意请求工作流,通过具有已建立所有权的已定义流程审查需要同意的应用程序
用户可以将库应用添加到其访问面板 EDU 租户中的组可能具有敏感的资源访问 (例如,访问应结构化和管理的学生信息) 。 对于这些方案,不建议使用用户启动的管理
预览版) (管理员同意请求
用户可以请求管理员同意他们无法同意的应用 启用此设置将使租户中的所有用户都能够请求同意,这可能会导致向管理员发送许多同意请求。 如果管理员无法或不想管理请求,用户可能会感到困惑。
选择要查看管理员同意请求的用户 不适用 仅当启用管理员同意请求功能时适用
所选用户将收到请求电子邮件通知 不适用 仅当启用管理员同意请求功能时适用
所选用户将收到请求过期提醒 不适用 仅当启用管理员同意请求功能时适用
同意请求在) (天后过期 不适用 仅当启用管理员同意请求功能时适用
Office 365设置
用户只能在Office 365门户中看到Office 365应用 使用我的应用门户时,如果希望Office 365应用显示在我的应用中,则此设置应设置为“否”。 我的应用门户概述应用/access-panel-deployment-plan

标识治理设置

通过指定当外部用户丢失其上次访问包分配时会发生什么情况,管理通过访问包添加的外部用户的生命周期。

设置 原因
阻止外部用户登录到此目录 当外部用户失去对任何访问包的最后一个分配时,你应该阻止,然后从租户中删除他们。 ​
删除外部用户 当外部用户失去对任何访问包的最后一个分配时,你应该阻止,然后从租户中删除他们。 ​
从此目录删除外部用户之前的天数 30 当外部用户丢失了对任何访问包的最后一次分配时,你应该阻止,然后从租户中删除他们

密码重置设置

设置 原因
Properties
已启用自助密码重置 选择用户 对于可以使用手机发送文本并可以安装和设置Microsoft Authenticator 应用的所有用户,我们建议使用自助密码重置。
身份验证方法
重置所需的方法数 2 两种方法在可用性和安全性之间提供平衡。
用户可用的方法 仅移动应用通知、移动应用代码、电子邮件和移动电话 (短信) 移动应用提供最现代且最安全的加密方法。 ​
然后,可以将电子邮件或短信用作另一个选项。
强烈建议将无密码身份验证方法部署到 EDU 租户中的帐户。 这可改善用户体验。
注册
要求用户在登录时注册? 使用此值时,帐户将中断,以在首次登录时向 SSPR 提供注册。 这有助于加入具有一致基线的帐户。
要求用户重新确认其身份验证信息的天数 180
通知
在密码重置时通知用户? 通知将提供此敏感凭据管理操作的可见性。
当其他管理员重置其密码时通知所有管理员? 通知将提供此敏感凭据管理操作的可见性。

安全设置

设置 原因
身份验证方法策略
FIDO2 安全密钥 是 - 选择用户  
Microsoft Authenticator 无密码登录 是 - 选择用户
短信 电话号码必须分配给需要使用此功能的所有用户。
如果此功能没有强大的用例,则不保证添加电话号码的开销。

后续步骤

设计帐户策略