前言:
本系列實驗將引導用戶完成O365 企業移動性和安全性(Enterprise Mobility Security)的常用操作和配置,本着實用性和安全性的原則,該系列實驗會建議一些最佳實踐。本系列實驗主要分為以下幾個階段:
- 將Azure AD 登陸和審核日志發送到Azure Monitor
- 用戶自助密碼重設&條件訪問策略強制用戶使用MFA二次驗證&啟用標識保護配置風險檢測
- 使用 Privileged Identity Management建立管理角色的審批和授權
- 使用Intune 管理設備和移動設備
- 使用Azure Information Protection 保護雲中數據
- 使用Azure Advanced Treat Protection保護混合環境的安全
環境要求:
- O365企業版 E1/E3/E5(有O365國際版許可即可);
- EMS E3/E5(部分用到E5的部分會做說明);
- Azure訂閱
實驗說明:
在企業管理中,通常要求用戶可以在忘記密碼的時候自助重置密碼,並且要求用戶(所有或者部分)在登錄是強制進行二次認證(短信或電話),本篇實驗將引導完成相關配置。
實驗步驟:
1. 用戶自助密碼重設
實驗開始前,我們再次梳理下現在的賬戶狀態:
主要全局管理員:admin@M365n634099.onmicrosoft.com
備用全局管理員:user0@M365n634099.onmicrosoft.com
本實驗需要額外創建:
用戶:meganb@M365n634099.onmicrosoft.com
組:mfagroup@M365n634099.onmicrosoft.com
密碼重置屬性將針對組mfagroup設置。
在https://admin.microsoft.com/Adminportal/Home?source=applauncher#/homepage 登錄管理員賬號創建如下,將組管理員設置為meganb@M365n634099.onmicrosoft.com,組成員也設置為:
meganb@M365n634099.onmicrosoft.com
登錄https://portal.azure.com 管理員賬號,找到Azure Active Directory->密碼重置->屬性,在 已啟用自助服務密碼重置,選擇 選定->mfagroup。
在密碼重置->注冊中, 將 要求用戶在登錄時注冊? 按鈕置為【是】,保存。這個邏輯是,你要自助重置密碼,大多數情況是你忘記了原始密碼,這種情況下如果要重置,后台需要你確認你是誰,所以要求你先注冊你的電話號碼和郵件在系統中,這樣你重置密碼的時候可以通過電話接受驗證碼來驗證你是你。
在密碼重置->通知 中,按如下配置保存。
在密碼重置->自定義 中,如下,電子郵件可填寫重置密碼有障礙時尋求支持的管理員郵件地址。
配置完成后,保存。保存成功后,再回到https://office.com 登錄,用meganb@M365n634099.onmicrosoft.com 輸入賬號后選擇【忘記了密碼】,會出現如下提示:
按照提示
按照提示點擊 set it up now,設置電話號碼和郵箱,點擊完成。
輸入郵件或者短信中的驗證碼后成功修改密碼。
再回到https://portal.azure.com 用管理員賬號登錄查看,AAD->用戶->所有用戶,點擊meganb@M365n634099.onmicrosoft.com 這個用戶,->身份驗證方法, 查看這里的身份驗證信息就是上一步set up it now中填寫的信息,這個用於驗證你的身份。
設置密碼時通常需要考慮如何避免設置過於簡單的密碼,企業需要配置自定義禁止密碼列表(需要 Active Directory Premium P1 或 P2 許可證)。
在AAD->身份驗證方法->密碼保護中設置,保存。
如需配置用戶密碼過期時間等,可參考https://docs.microsoft.com/zh-cn/azure/active-directory/authentication/concept-sspr-policy#set-a-password-to-never-expire 用Power Shell做相應配置。
2.條件訪問策略強制用戶使用MFA二次驗證。
再次梳理下現在的賬戶狀態:
主要全局管理員:admin@M365n634099.onmicrosoft.com
備用全局管理員:user0@M365n634099.onmicrosoft.com
用戶:meganb@M365n634099.onmicrosoft.com
組:mfagroup@M365n634099.onmicrosoft.com ,該組內的用戶已配置自助密碼設置。
接下來實驗要對除了管理員賬戶以外的所有用戶實施強制MFA策略。
先看下傳統做法:在AAD->用戶->所有用戶中,如下,點擊多重身份驗證 ,可以到一個多重身份驗證的頁面,有選擇的針對某個客戶 啟用或者禁用 MFA,如下:
這樣做的弊端是,開始MFA需要客戶有一個電話或郵箱信息,第1個實驗中用戶重置密碼也需要一個電話或郵箱信息做認證,從安全角度講,我們希望這兩套電話/郵箱信息是一致的,也就是配置了密碼自助的用戶在配置MFA的時候不需要重復輸入這些信息,EMS中現在有個處於public preview的功能叫做【密碼和MFA的聯合注冊】,配置步驟如下:AAD->用戶設置->點擊【管理用戶功能預覽設置】,選擇【全部】,保存。
做好以上配置后,我們來到AAD->條件訪問策略->新建策略,為該策略起一個名稱,【分配】里,“用戶和組”里,“包括”選擇“所有用戶”,排除“備用管理員賬戶”;“雲應用或操作”選擇“所有應用”,“訪問控制”選擇“要求多身份驗證”,保存之前會提示要不要避開自己(當前管理員賬號),這里選擇避開,保存。這樣就強制要求除了兩個全局管理員之外的所有用戶登錄時啟動MFA做驗證。
回到https://office.com 用用戶meganb@M365n634099.onmicrosoft.com 登錄后提示:
由於開啟了聯合注冊,二次認證時自然向第1步實驗中注冊的電話號碼發送了短信驗證碼,成功登錄。
風險檢測說明 https://docs.microsoft.com/zh-cn/azure/active-directory/reports-monitoring/concept-risk-events
3. 啟用標識保護配置風險檢測
AAD風險檢測使用自適應機器學習算法和試探法來檢測與用戶帳戶相關的可疑操作,需要使用
使用Azure Active Directory 標識保護功能(需要 Azure AD Premium P2 許可證),首先在Azure Portal上搜索 Azure AD 標識保護,搜索結果 點擊 第二個(不帶預覽版的字樣);
進入MFA注冊->用戶,設置包括所有人,排除userr0;
強制執行策略 [開],保存。此時admin賬戶也會被強制執行MFA。下面設置一個【登錄風險】的條件控制:條件選擇【中等及以上】(此處風險級別的划分可參考:https://docs.microsoft.com/zh-cn/azure/active-directory/reports-monitoring/concept-risk-events ),按如下配置,最終設置為,監測到有登錄風險存在時,立即強制修改密碼。
參考文檔:
https://docs.microsoft.com/zh-cn/azure/active-directory/authentication/tutorial-risk-based-sspr-mfa
https://docs.microsoft.com/zh-cn/azure/active-directory/authentication/howto-mfa-getstarted