设计新式身份验证和授权策略
本单元讨论新式身份验证的一些特定策略:
- 条件性访问
- 连续访问评估
- 威胁情报集成
- 风险评分
条件性访问
用户可能会从任意位置使用各种设备和应用访问你组织的资源。 作为一名 IT 管理员,你需要确保这些设备符合安全性和符合性标准。 仅关注谁可以访问资源不再能满足需求。
为了平衡安全性与工作效率,在做出访问控制决策之前,需要考虑如何访问资源。 使用 Microsoft Entra 条件访问时,可以满足此要求。 使用条件访问,可以根据访问云应用的条件做出自动访问控制决策。
最佳做法:管理和控制对公司资源的访问。
详细信息:根据 SaaS 应用和 Microsoft Entra ID 连接的应用的组、位置和应用程序敏感度配置常见的 Microsoft Entra 条件访问策略。
最佳做法:阻止旧身份验证协议。
详细信息:攻击者每天都在利用旧协议中的弱点,尤其是密码喷射攻击。 配置条件访问来阻止旧协议。
连续访问评估
令牌过期和刷新是业界的一种标准机制。 当客户端应用程序(如 Outlook)连接到服务(如 Exchange Online)时,API 请求通过 OAuth 2.0 访问令牌得到授权。 默认情况下,访问令牌的有效期为一小时,超过此时间后,客户端会重定向回 Microsoft Entra ID 来刷新这些令牌。 该刷新期间为重新评估用户访问策略提供了机会。 例如,我们可能会选择不刷新令牌,原因是存在条件访问策略,或是用户在目录中已被禁用。
对用户条件发生变化之后、强制实施策略更改之前的这段滞后时间,客户表达了忧虑。 Microsoft Entra ID 已经尝试了降低令牌寿命的“生硬”方法,但发现这种方法会降低用户体验和可靠性,而不会消除风险。
对策略冲突或安全问题的及时响应实际上需要令牌颁发者 (Microsoft Entra ID) 和信赖方(令牌提供到的应用)之间进行“对话”。 这种双向对话提供了两项重要功能。 信赖方可以查看属性更改(例如网络位置),并通知令牌颁发者。 通过此对话,令牌颁发者也可通知信赖方由于帐户泄露、禁用或其他问题而停止采用给定用户的令牌。 此对话的机制是连续访问评估 (CAE)。 关键事件评估的目标是使响应接近实时,但由于事件传播时间的原因,可能会观察到长达 15 分钟的延迟;但是,IP 位置策略的实施是即时的。
连续访问评估的初始实现侧重于 Exchange、Teams 和 SharePoint Online。
在 Azure 政府租户(GCC High 和 DOD)中,Exchange Online 提供持续访问评估。
主要优点
- 用户终止或密码更改/重置:用户会话吊销近乎实时执行。
- 网络位置更改:条件访问位置策略近乎实时执行。
- 可以使用条件访问位置策略阻止将令牌导出到受信任网络外部的计算机。
方案
可以通过两种方案进行连续访问评估、关键事件评估和条件访问策略评估。
关键事件评估
连续访问评估是通过允许服务(例如 Exchange Online、SharePoint Online 和 Teams)订阅关键 Microsoft Entra 事件来实现的。 然后,可以近乎实时地评估和强制实施这些事件。 关键事件评估不依赖于条件访问策略,因此,可在任何租户中使用。 当前评估以下事件:
- 用户帐户已删除或禁用
- 用户的密码已更改或已重置
- 是否为用户启用了多重身份验证
- 管理员显式撤销用户的所有刷新令牌
- Microsoft Entra ID 保护检测到高用户风险
此过程会导致用户在关键事件发生后的数分钟内失去对 Microsoft 365 客户端应用中的组织 SharePoint Online 文件、电子邮件、日历或任务和 Teams 的访问权限。
条件访问策略评估
Exchange Online、SharePoint Online、Teams 和 MS Graph 能够同步要在服务本身中评估的关键条件访问策略。
此过程会导致用户在网络位置发生更改后立即失去对 Microsoft 365 客户端应用或 SharePoint Online 中的组织文件、电子邮件、日历或任务的访问权限。
| Outlook Web | Outlook Win32 | Outlook iOS | Outlook Android | Outlook Mac | |
|---|---|---|---|---|---|
| SharePoint Online | 支持 | 受支持 | 受支持 | 受支持 | 支持 |
| Exchange Online | 支持 | 受支持 | 受支持 | 受支持 | 支持 |
| Office Web 应用 | Office Win32 应用 | Office for iOS | Office for Android | Office for Mac | |
|---|---|---|---|---|---|
| SharePoint Online | 不支持* | 支持 | 受支持 | 受支持 | 支持 |
| Exchange Online | 不支持 | 支持 | 受支持 | 受支持 | 支持 |
| OneDrive web | OneDrive Win32 | OneDrive iOS | OneDrive Android | OneDrive Mac | |
|---|---|---|---|---|---|
| SharePoint Online | 支持 | 不支持 | 支持 | 受支持 | 不支持 |
| Teams Web | Teams Win32 | Teams iOS | Teams Android | Teams Mac | |
|---|---|---|---|---|---|
| Teams 服务 | 部分支持 | 部分支持 | 部分支持 | 部分支持 | 部分支持 |
| SharePoint Online | 部分支持 | 部分支持 | 部分支持 | 部分支持 | 部分支持 |
| Exchange Online | 部分支持 | 部分支持 | 部分支持 | 部分支持 | 部分支持 |
Microsoft Entra Identity Protection
标识保护使组织能够完成三项关键任务:
- 自动检测和修正基于标识的风险。
- 使用门户中的数据调查风险。
- 将风险检测数据导出到其他工具。
Identity Protection 利用 Microsoft 从 Microsoft Entra ID 在组织中的定位、Microsoft 帐户中的用户群以及 Xbox 游戏中获得的经验来保护用户。 Microsoft 每天分析数万亿条信号,以识别威胁并保护客户安全。
可以将由标识保护生成并发送到标识保护的信号进一步发送给条件访问等工具,供其制定访问决策,也可以将信号发送回安全信息和事件管理 (SIEM) 工具,以进行深入调查。
检测风险
标识保护识别许多类型的风险,包括:
- 匿名 IP 地址使用
- 异常位置登录
- 受恶意软件感染的 IP 地址
- 不熟悉的登录属性
- 凭据泄露
- 密码喷射
- 等等...
风险信号可能会触发修正措施,例如要求:执行 Azure 多重身份验证、使用自助式密码重置来重置其密码或阻止访问直到管理员执行操作。
要详细了解这些风险以及其他风险,包括如何或何时计算风险,请参阅什么是风险一文。
调查风险
管理员可以查看检测结果,并按需对其执行手动操作。 管理员可以使用以下三项主要报告在标识保护中进行调查:
- 有风险用户
- 有风险的登录
- 风险检测
有关详细信息,请参阅如何:调查风险一文。
风险级别
标识保护将风险分为三个级别:低、中和高。
Microsoft 没有提供有关如何计算风险的具体详细信息。 每个级别的风险都会提高用户或登录受到威胁的置信度。 例如,与某用户的一个实例出现不熟悉的登录属性相比,将凭据泄露给另一个用户所带来的威胁性更高。
注意
也可在标识保护中创建基于风险的策略,但建议使用条件访问策略执行此操作。
基于风险的条件访问策略
当检测到登录操作或用户面临风险时,可以应用访问控制策略来保护组织。 此类策略称为“基于风险的策略”。
Microsoft Entra 条件访问提供两种风险条件:“登录风险”和“用户风险”。 组织可以通过配置这两种风险条件并选择一种访问控制方法来创建基于风险的条件访问策略。 每次登录期间,标识保护都会将检测到的风险级别发送到条件访问,如果满足策略条件,则将应用基于风险的策略。
下图举例说明了在登录风险级别为中或高时强制实施需要多重身份验证的策略。
上面的示例还演示了基于风险的策略的主要优点:自动风险修正。 当用户成功完成所需的访问控制(如安全密码更改)时,将修正其风险。 该登录会话和用户帐户不会面临风险,管理员无需执行任何操作。
允许用户使用此过程进行自我修正将减少管理员的风险调查和修正工作,同时保护组织免受安全威胁。 有关风险修正的详细信息,请参阅修正风险和解除阻止用户一文。
基于登录风险的条件访问策略
在每次登录期间,标识保护都会实时分析数百个信号,并计算登录风险级别,该级别表示给定身份验证请求未获授权的概率。 随后系统会将此风险级别发送给条件访问,其中将评估组织已配置的策略。 管理员可以配置基于登录风险的条件访问策略,以基于登录风险强制实施访问控制,包括以下要求:
- 阻止访问
- 允许访问
- 要求多重身份验证
如果在登录时检测到风险,用户可以执行所需的访问控制(例如多重身份验证)来自我修正和关闭有风险的登录事件,以防止给管理员带来不必要的干扰。
基于用户风险的条件访问策略
标识保护将分析有关用户帐户的信号,并根据用户遭入侵的概率计算风险分数。 如果用户的登录行为存在风险或其凭据遭到泄露,标识保护将使用这些信号来计算用户风险级别。 管理员可以配置基于用户风险的条件访问策略,以基于用户风险强制实施访问控制,包括以下要求:
- 阻止访问
- 允许访问,但需要安全密码更改。
安全密码更改将修正用户风险并关闭有风险的用户事件,以防给管理员带来不必要的干扰。
受保护的操作
Microsoft Entra ID 中受保护的操作是已分配有条件访问策略的权限。 当用户尝试执行受保护操作时,他们必须首先满足分配给所需权限的条件访问策略。 例如,若要允许管理员更新条件访问策略,可以要求管理员首先满足防钓鱼 MFA 策略。
为何使用受保护操作?
如果要添加额外的保护层,请使用受保护操作。 受保护操作可以应用于需要强条件访问策略保护的权限,与使用的角色或用户授予权限的方式无关。 由于实施策略发生在用户尝试执行受保护操作时,而不是在用户登录或规则激活期间执行,因此仅在需要时才会提示用户。
哪些策略通常与受保护操作一起使用?
建议在所有帐户上使用多重身份验证,尤其是具有特权角色的帐户。 受保护操作可用于需要额外安全性的场合。 下面是一些常见的更强大的条件访问策略。
哪些权限可用于受保护操作?
条件访问策略可应用于有限的权限集。 可以在以下区域使用受保护操作:
- 条件访问策略管理
- 跨租户访问设置管理
- 定义网络位置的自定义规则
- 受保护操作管理