Azure AD
一:添加自定义域名
将下列信息填入到DNS服务商
过一段时间就会验证通过
配置Azure AD身份保护(Identity Protection)
标识是ID的意思
标识保护是风险检测的意思
一定要开启P2订阅,才会有用户的风险策略
标识保护是一种使组织能够完成三项关键任务的工具:
- 自动检测和修正基于标识的风险。
- 使用门户中的数据调查风险。
- 将风险检测数据导出到第三方实用程序,供进一步分析。
标识保护利用Microsoft从Azure AD组织、Microsoft 帐户中的用户群以及Xbox游戏中获得的自身经验来保护用户。Microsoft每天分析6.5万亿条信号,以识别威胁并保护客户安全。
可以将由标识保护生成并发送到标识保护的信号进一步发送给条件访问等工具,供其制定访问决策,也可以将信号发送回安全信息和事件管理(SIEM)工具,以根据组织的强制执行策略进行深入调查。
风险检测
登录风险
| 风险检测类型 | 说明 |
|---|---|
| 异常位置登录:匿名IP地址: | 从异常位置(基于用户最近的登录)进行登录。 |
| 不熟悉的登录属性: | 从匿名IP地址登录(例如:Tor浏览器,匿名程序 VPN)。使用给定用户最近未曾出现过的属性进行登录。 |
| 受恶意软件感染的IP地址: | 从受恶意软件感染的IP地址进行登录。 |
| 密码喷射: | 表示使用常见密码以统一的暴力攻击方式攻击了多个用户名。 |
| 管理员确认用户遭入侵: | 表明管理员已在有风险的用户u或使用riskyUsers API中选择了"确认用户泄露"。 |
| 可疑收件箱操作规则: | 可能表示用户的帐户被泄露,消息将被有意隐藏,邮箱将用于在组织中分发垃圾邮件或恶意软件。基于Microsoft Cloud App Security (MCAS) |
| lmpossible travel: | 可识别来源于保持一定地理距离的位置的两个用户活动(一个或多个会话),而完成这两个活动的时间段短于该用户从第一个位置旅行到第二个位置所需的时间,这表示另一个用户在使用相同的凭据。基于Microsoft Cloud App Security (MCAS) |
用户风险
| 风险检测类型 | 说明 |
|---|---|
| 凭据泄漏: | 此风险检测指示用户的有效凭据已泄漏。 |
| Azure AD 威胁智能: | Microsoft的内部和外部威胁智能源已识别出已知的攻击模式。 |
等级是 Azure定死了,但是可以更改风险访问策略
许可证要求
二:Azure AD Privileged Identity (PIM)
使你能够管理、控制和监视对组织中重要资源的访问。这些资源包括 Azure AD、Azure 和其他 Microsoft Online Services(如 Microsoft 365 或 Microsoft Intune)中的资源
许可证要求:Azure AD Premium P2 license (Azure AD 高级 P2 许可证)
使用原因
组织希望最大限度地减少有权访问安全信息或资源的人数,因为这会降低:
- 恶意行为者获得访问权限
- 授权用户无意中影响了敏感资源
但是,用户仍需要在 Azure AD、Azure、Microsoft 365 或 SaaS 应用中执行特权操作。组织可以授予用户对 Azure 和 Azure AD 资源的实时特权访问权限,并可以监督这些用户使用其特权访问权限执行的操作
作用
特权身份管理提供基于时间和批准的角色激活,以降低对所关注的资源的过多、不必要或滥用访问权限的风险。以下是特权身份管理的一些主要功能
- 提供对 Azure AD 和 Azure 资源的即时特权访问
- 使用开始日期和结束日期分配对资源的有时限访问
- 需要批准才能激活特权角色
- 强制执行多重身份验证以激活任何角色
- 使用理由来了解用户激活的原因
- 激活特权角色时获取通知
- 进行访问审查以确保用户仍然需要角色
- 下载内部或外部审计的审计历史
- 防止删除最后一个活动的全局管理员角色分配
对于 Privileged Identity Management 中的 Azure AD 角色,只有处于 Privileged Role Administrator 或 Global Administrator 角色的用户才能管理其他管理员的分配。 全局管理员、安全管理员、全局读者和安全读者还可以在 Privileged Identity Management 中查看对 Azure AD 角色的分配。
对于 Privileged Identity Management 中的 Azure 资源角色,只有订阅管理员、资源所有者或资源用户访问管理员可以管理其他管理员的分配。 默认情况下,作为特权角色管理员、安全管理员或安全读者的用户无权查看 Privileged Identity Management 中对 Azure 资源角色的分配。
三:自助式密码重置(SSPR)
Azure Active Directory (Azure AD)自助式密码重置(SSPR)使用户能够更改或重置其密码,而不需要管理员或支持人员的于预。如果用户的帐户被锁定或用户忘记了自己的密码,他们可以按照提示取消对自己的阻止,回到工作状态。当用尸无法登录到其设备或应用程序时,此功能可减少呼叫支持人员的次数,降低生产力损失。
先决条件:
- 一个至少启用了Azure AD Free或试用版许可证的有效Azure AD租户。在免费层中,SSPR仅适用于Aure AD中的云用户。
- 一个拥有“全局管理员”特权的帐户。
- 该非管理员用户所属的组,例如SSPR-Test-Group。
- 一定要开启密码写回,使Azure AD与本地密码同步,不同步的话导致云端和本地密码不一致
官网
https://passwordreset.microsoftonline.com/
密码重置通知
管理员更改密码后,其他管理员会收到信息
例:一个环境中有四个管理员。 管理员 A 使用 SSPR 重置其密码。 管理员 B、C 和 D 收到一封电子邮件,提醒他们密码已重置,自身则不会收到消息
四:多重身份验证(MFA)
多重身份验证(MFA)是在登录事件期间提示用户完成其他形式的身份识别的过程。此提示可以是让用户在手机上输入某个代码,或提供指纹扫描。需要另一种形式的身份验证时,会提高安全性,因为攻击者并不容易获取或复制进行多重身份验证所需的额外内容。
在特定的登录事件期间,可以通过Azure多重身份验证和条件访问策略来灵活地为用户启用MFA。
使用条件访问可以创建和定义策略,用于对登录事件做出反应,并在向用户授予对应用程序或服务的访问权限之前请求更多的操作。条件访问策略可以做到精细且具体,其目标是使用户能够随时随地保持工作效率,同时为组织提供保护。本教程将创建一个基本的条件访问策略,以便在用户登录到Azure门户时提示其执行MFA。
启用MFA
设置MFA用户登录后会强制使用其他安全验证
Azure AD OAuth 2.0 认证
https://learn.microsoft.com/en-us/azure/active-directory/fundamentals/auth-oauth2
- OAuth 2.0是用于授权的行业协议。它允许用户授予对其受保护资源的有限访问权限。OAuth专门用于超文本传输协议(HTTP),它将客户端角色与资源所有者分离。客户端请求访问由资源所有者控制并由资源服务器托管的资源。资源服务器在资源所有者的批准下颁发访问令牌。客户端使用访问令牌访问资源服务器托管的受保护资源。
五:条件访问 Conditional access
Azure Active Directory使用条件访问作为一种工具来统合信号、做出决策,以及实施组织策略。条件访问是新的标识驱动控制平面的核心。条件访问策略是一个关于分配和访问控制的if-then语句。条件访问策略可统合信号,做出决策,并实施组织策略。一个策略可以包含多个条件。
如果用户想要访问某个资源,则必须完成某个操作。示例:薪资管理人员想要访问薪资应用程序,而需要执行多重身份验证才能访问。
配置条件访问Conditional access
设置条件
授权
测试 what if
设置受信任的IP
在多重认证服务设置页面,可以识别企业内网用户通过选择跳过来自联合用户的请求的多重身份验证
只能是公司内网IP地址,外网环境使用conditonal access,这个是legacy的功能
六:配置欺诈警报
使用欺诈警报功能,用户可以报告欺诈性尝试访问其资源。收到未知和可疑MFA提示后,用户可以使用MicrosoftAuthenticator的应用或通过电话来报告欺诈尝试。
以下欺诈警报配置选项可用:
- 自动阻止报告欺诈的用户:如果用户报告欺诈,那么他们的帐户将被阻止90天,或者直到管理员解除阻止他们的帐户。管理员可以使用登录报表查看登录并采取相应的操作阻止将来的欺诈。然后管理员可以解除阻止用户帐户。
- 在初始问候期间报告欺诈的代码:当用户接收到执行多重身份验证的电话呼叫时,他们通常按#确认登录。如果他们想要报告欺诈,则可在按#之前输入代码。此代码默认为0,但可以自定义此代码。
配置受信任的IP和跳过选项
公司内部,或者受信任IP会跳过验证
Azure多重身份验证的受信任的ip功能会绕过从定义的IP地址范围登录的用户的多重身份验证提示。你可以为本地环境设置受信任的IP范围,以便在用户处于这些位置之一时,没有Azure多重身份验证提示。
受信任的IP绕过只能从公司intranet内部使用。如果选择"所有联合用户”选项,并且用户从公司intranet外部登录,则用户必须使用多重身份验证进行身份验证。即使用户提供了AD FS声明,验证过程也相同。
七:配置验证方法
作为Azure Active Directory (Azure AD)中帐户的登录体验的一部分,用户可以通过不同的方式进行身份验证。用户名和密码是用户历来提供凭据的最常见方式。借助Azure AD中的新式身份验证和安全功能,可以使用其他身份验证方法作为基本密码的补充或替代方法。
Azure AD中的用户可以选择使用以下身份验证方法之一进行身份验证:
- 传统用户名和密码
- Microsoft Authenticator应用无密码登录
- OATH 硬件令牌或 FIDO2安全密钥
- 基于SMS的无密码登录
Azure AD中的许多帐户启用了自助服务密码重置(SSPR)或Azure多重身份验证。这些功能包括其他验证方法,如电话呼叫或安全问题。建议你要求用户注册多个验证方法。当一个方法对用户不可用时,他们可以选择使用另一种方法进行身份验证。
特别注意MFA和SSPR都需要的验证方法
考点是同时满足MFA和SSPR的有那些
部署和管理来宾账户
批量邀请
邀请外部用户
管理多个目录(租户Azure AD)
目录就是租户,就是Azure AD
两个租户里的内容可以完全不同,收费是主账户进行缴费
B2B 协作概述
- Azure 活动目录 (AD) B2B 协作是外部标识中的一项功能,可用于邀请来宾用户与你的组织进行协作。通过 B2B 协作,您可以安全地与外部用户共享公司的应用程序和服务,同时保持对自己公司数据的控制。与外部合作伙伴(无论大小)安全可靠地工作,即使他们没有 Azure AD 或 IT 部门。
- 开发人员可以使用 Azure AD 企业对企业 API 自定义邀请过程或编写自助服务注册门户等应用程序
286
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
