Azure AD 中的配置在每个租户内完成。配置设置控制您的安全和访问策略。记录您的安全和访问策略,以确保适用的租户之间的一致性。
跨租户的配置一致性
在拥有中央管理团队的大型 EDU 环境中,确保大多数配置在租户之间保持一致将:
- 简化管理并使您的中央 IT 团队更有效率。
- 更轻松地识别和解决问题。
- 更轻松地跨租户开发、测试和部署软件。
- 使跨租户的用户体验更加一致和直观。
- 简化将用户从一个租户迁移到另一个租户的过程。
针对哪些租户配置将成为标准并由您的中央 IT 团队管理,以及哪些可由租户特定的 IT 团队进行调整,创建策略。特定于租户的管理团队可能需要具有灵活性的一些领域包括:
- 允许外部合作伙伴访问租户。虽然您的组织可能有一个仅允许其其他租户访问的策略,但特定区域可能需要特定于区域的供应商加入 Azure AD B2B 协作允许列表。
- 调整所需的访问策略,例如要求受管设备满足租户或区域特定的安全要求,或考虑受管设备的可用性。
- 试点新功能,例如某个地区尝试使用MyStaff,让学校的主管负责该学校员工的某些 IT 任务。
配置外部身份
外部标识代表来自 Azure AD 租户外部的用户,例如来自 EDU 组织中其他租户的用户。在跨越多个租户的大型 EDU 组织中,你可以使用Azure Active Directory (Azure AD) 企业对企业 (B2B) 协作来提供跨这些租户的访问。Azure AD B2B 允许你与来自其他组织的来宾安全地共享你组织的应用程序和服务,同时保持对你自己数据的控制。
控制外部协作
外部协作设置可让您为组织中不同类型的用户打开或关闭来宾邀请。您还可以通过分配允许他们邀请来宾的角色来将邀请委派给单个用户。外部协作设置在 Azure Active Directory 下的 Azure AD 门户中进行管理。
允许外部用户出现在全局地址列表中
您可以通过以下任一方式在全局地址列表 (GAL) 中显示外部用户:
- 使用 Azure AD B2B 邀请用户作为来宾(推荐)
- 使用 GAL 同步(不推荐)
笔记
GAL 同步不会创建用户帐户。相反,它创建的每个联系人都是一个对象,计入租户中的对象限制。
安全和访问策略
由于与身份相关的攻击如此普遍,因此管理安全性可能很困难。安全默认值和访问策略可以更轻松地帮助保护您的组织免受密码喷射、重放和网络钓鱼等攻击。
安全默认值
安全默认值提供我们代表您的组织管理的安全设置,以确保您的安全,直到您准备好管理自己的身份安全故事。启用安全默认设置后,我们可以通过以下预配置的策略设置帮助您保护您的组织:
- 要求所有用户注册 Azure 多重身份验证
- 要求管理员执行多重身份验证
- 阻止旧的身份验证协议
- 必要时要求用户进行多重身份验证
- 保护特权活动,例如访问 Azure 门户
如果您的组织现在想要提高您的安全状况,并且您尚未配置强大的安全性,则建议启用安全默认值。如果你是一个拥有 Azure Active Directory Premium 许可证的组织,并且当前正在使用条件访问策略来强制执行组织策略,则安全默认值可能不适合你。
在 Azure 门户中启用安全默认值,如下图所示。
为 IT 和员工管理的设备
为了保护租户中的资源,请防止保护级别未知的设备访问。实施设备管理解决方案,以便用户只能使用由组织管理的设备访问资源。
在 Azure AD 中,设备被视为托管的最低要求是在 Azure AD 中注册。管理员可以选择在 Azure AD 中实施以下类型的设备管理:
- 混合域加入。由组织拥有并同时加入本地 Active Directory 和 Azure AD 的设备。通常是由组织购买和管理并由 System Center Configuration Manager 管理的设备。
- 已加入 Azure AD 域。归组织所有并加入组织的 Azure AD 租户的设备。通常是由组织购买和管理、加入 Azure AD 并由Microsoft Intune等服务管理的设备。
- 已注册 Azure AD。组织拥有的设备或个人设备,用于访问公司资源。通常用于访问公司资源的个人设备。组织可能需要通过移动设备管理 (MDM)注册设备,或通过移动应用程序管理 (MAM)强制执行而无需注册以访问资源。此功能可由 Microsoft Intune 等服务提供。
要了解更多信息,请参阅选择您的集成方法。
为了进一步增强安全性,我们还建议您为 IT 和员工创建Azure AD 条件访问策略。使用条件访问,您可以创建一个授予访问权限的策略:
- 到选定的云应用程序。
- 对于选定的用户和组。
- 需要受管设备。
为管理员使用 MFA
分配了提升权限的帐户是攻击者的重要目标。为了最大限度地降低特权帐户泄露的风险,请使用Azure 多重身份验证 (MFA)等强身份验证凭据为所有帐户提供提升的权限。
至少,我们建议您创建条件访问策略以要求 MFA用于以下管理角色:
- 计费管理员
- 条件访问管理员
- 交易所管理员
- 全局管理员
- 服务台(密码)管理员
- 安全管理员
- SharePoint 管理员
- 用户管理员
如果用户可以使用多因素身份验证方法,请对有权访问学生记录等敏感信息的用户实施 MFA。
风险政策
使用 Azure AD,管理员可以创建策略来防范某些类型的风险:
- 登录风险。给定身份验证请求未经身份所有者授权的概率。
- 用户风险。给定身份或帐户被泄露的可能性。
登录风险策略和用户风险策略可自动响应您环境中的风险检测,并允许用户自我修复风险。
拥有 Microsoft 365 A5 许可证(或 Azure AD Premium P2 许可证)的教育组织可以使用Azure AD 身份保护来保护其帐户。您还可以创建基于登录风险的条件访问策略和基于用户风险的条件访问策略。
配置用户风险策略,要求高风险用户登录后修改密码。
最佳实践
- 定义条件访问策略,以通过并最大限度地减少登录风险和用户风险来实施身份安全状况。这应包括对 MFA 的控制和基于设备的控制,以仅通过受管设备和预期位置启用访问。
- 所有应用程序都应应用明确的条件访问策略。
- 通过应用于具有相同要求的多个应用程序,最大限度地减少条件访问策略的数量。
- 通过设置紧急访问帐户来计划中断,以减轻意外锁定的影响。
- 在仅报告模式下配置条件访问策略。
有关单个环境的条件访问策略的一般指南,请查看CA 最佳实践和Azure AD 操作指南:
应用注册
只有具有提升权限的用户才能执行任务,例如将应用程序添加到应用程序库或配置应用程序以使用应用程序代理。但是,默认情况下,您目录中的所有用户都可以注册应用程序和服务主体对象。他们还可以自行决定哪些应用程序可以通过用户同意访问其组织数据。
我们建议您禁用用户同意,以便非特权帐户无法在租户中创建应用程序和服务主体对象。而是委派团队成员应用程序管理角色,例如应用程序管理员、应用程序开发人员或云应用程序管理员角色。使用角色将围绕与您组织的安全和身份团队的同意集中决策过程。
应用程序集成
如果可能,请使用Azure AD 应用程序库集成受支持的 SaaS 应用程序,您可以在其中找到与 Azure AD 配合使用的预配置应用程序。如果您的应用程序在 Azure AD 应用程序库中不可用,您可以在 Azure AD 门户中添加未列出的应用程序。
在混合环境中,可以使用Azure AD 应用程序代理启用对旧应用程序的安全远程访问。应用程序代理使用户能够使用他们的 Azure AD 帐户在没有 VPN 的情况下访问本地 Web 应用程序。
或者,如果您当前正在使用以下任何第三方应用程序交付或网络解决方案,您可以保护对旧应用程序的访问:
设计租户安全
除了上述建议之外,我们还建议你通过在 Azure AD 门户中配置以下设置来进一步锁定租户。
用户设置
环境 | 价值 | 原因 |
---|---|---|
管理门户 | ||
限制对 Azure AD 管理门户的访问 | 是的 | 此设置将阻止非特权帐户访问 Azure 门户的 Azure AD 部分。 |
LinkedIn 帐户连接 | 不 | 无业务需求 |
应用注册 | ||
用户可以注册应用程序 | 不 | 对于教育组织,Microsoft 建议阻止非特权帐户在租户中创建应用程序和服务主体对象。相反,将团队成员明确分配给应用程序管理角色,例如应用程序管理员、应用程序开发人员或云应用程序管理员角色。 |
外部身份设置
环境 | 价值 | 原因 | |
---|---|---|---|
只允许来自同一组织的租户 | |||
访客权限受限 | 不 | 客人来自知名租户。 | |
具有来宾邀请者角色的管理员和用户可以邀请 | 是的 | 当邀请仅允许到指定域时,可以委派来宾邀请。 | |
会员可以邀请,客人可以邀请 | 不 | 通过仅允许某些管理员或具有来宾邀请者角色的管理员/用户邀请来宾,更好地控制受邀加入租户的人员。 | |
为访客启用电子邮件一次性密码(预览) | 不 | 客人来自知名租户。 | |
通过用户流程启用访客自助注册(预览版) | 不 | 仅允许对指定域发出邀请,并且用户帐户是那些其他租户中的 Azure AD 帐户。 | |
协作限制 – 仅允许对指定域的邀请 | 最严格 | Microsoft 建议将此设置用于具有多个租户的大型组织,这些组织将使用 B2B 协作功能提供租户之间的访问。 当您将协作设置设置为仅允许对指定域的邀请(最严格)时,您会将属于您组织的所有域包括到允许列表中,这将自动拒绝对任何其他域的邀请。或者,如果您的学校与其他组织有合作关系,您可以通过将这些组织添加到允许列表来将邀请限制为仅限于这些组织。 |
|
允许在自己的组织之外进行协作 | |||
访客权限受限 | 是的 | 来宾可以来自自己的组织之外,此设置将限制他们执行某些目录任务,例如枚举用户、组或其他目录对象。 | |
具有来宾邀请者角色的管理员和用户可以邀请 | 不 | 当协作限制设置为允许将邀请发送到任何域时,我们建议由一组委派管理员控制邀请。 | |
会员可以邀请,客人可以邀请 | 不 | 通过仅允许某些管理员或具有来宾邀请者角色的管理员/用户邀请来宾,更好地控制受邀加入租户的人员。 | |
为访客启用电子邮件一次性密码(预览) | 是的 | 邀请来自您自己组织外部的用户时,建议使用 OTP。 | |
通过用户流启用访客自助服务标志(预览) | 不 | 与其让客人自助注册租户,不如控制邀请。 | |
协作限制 – 允许向任何域发送邀请 | 最具包容性 | 需要与多个其他租户合作时的推荐设置,例如与合作伙伴、外部顾问、其他教育组织等合作时。 |
用户功能预览设置
环境 | 价值 | 原因 |
---|---|---|
用户可以使用“我的应用”的预览功能 | 无/选择/全部 | 设置取决于我的应用程序门户及其功能的使用和需求。您可以考虑使用“我的应用程序”门户仅向员工或包括学生在内的所有人提供对组织的基于云的应用程序的访问权限。 |
用户可以使用组合安全信息注册体验 | 全部 | 建议使用增强的身份验证方法,例如无密码凭据和条件访问以保护安全信息注册。 |
管理员可以访问我的员工 | 无/选择/全部 | 设置取决于 My Staff 的使用和需要。您可以考虑使用“我的员工”将常见的帮助台任务委派给员工。 My Staff 使你能够将权限委派给权威人士,例如学校主任,以确保其员工能够访问其 Azure AD 帐户。组织可以将重置密码或更改电话号码等常见任务委派给学校主管,而不是依赖中央帮助台。使用 My Staff,无法访问其帐户的用户只需单击几下即可重新获得访问权限,而无需帮助台或 IT 人员。 |
群组管理设置
环境 | 价值 | 原因 | |
---|---|---|---|
自助群组管理 | |||
所有者可以在访问面板中管理群组成员资格请求 | 不 | EDU 租户中的组可能具有敏感资源访问权限(例如访问学生信息),应该对其进行结构化和管理。不建议在这些场景中使用用户启动的管理 | |
限制用户访问访问面板中的组功能的能力。无论此设置的值如何,管理员(全局、组和用户管理员)都将具有访问权限 | 是的 | EDU 租户中的组可能具有敏感资源访问权限(例如访问学生信息),应该对其进行结构化和管理。不建议在这些场景中使用用户启动的管理 | |
安全组 | |||
用户可以在 Azure 门户中创建安全组 | 不 | EDU 租户中的组可能具有敏感资源访问权限(例如访问学生信息),应该对其进行结构化和管理。不建议在这些场景中使用用户启动的管理 | |
可以在 Azure 门户中将成员分配为组所有者的所有者 | 没有任何 | EDU 租户中的组可能具有敏感资源访问权限(例如访问学生信息),应该对其进行结构化和管理。不建议在这些场景中使用用户启动的管理 | |
Office 365 组 | |||
用户可以在 Azure 门户中创建 Office 365 组 | 不 | EDU 租户中的组可能具有敏感资源访问权限(例如访问学生信息),应该对其进行结构化和管理。不建议在这些场景中使用用户启动的管理 | |
可以在 Azure 门户中将成员分配为组所有者的所有者 | 没有任何 | EDU 租户中的组可能具有敏感资源访问权限(例如访问学生信息),应该对其进行结构化和管理。不建议在这些场景中使用用户启动的管理 |
企业应用设置
环境 | 价值 | 原因 | |
---|---|---|---|
企业应用 | |||
用户可以同意应用代表他们访问公司数据 | 不 | 需要同意的应用程序应使用管理员同意请求工作流通过已定义的流程进行审查,并具有既定的所有权 | |
用户可以同意应用访问他们拥有的群组的公司数据 | 不 | 需要同意的应用程序应使用管理员同意请求工作流通过已定义的流程进行审查,并具有既定的所有权 | |
用户可以将图库应用程序添加到他们的访问面板 | 不 | EDU 租户中的组可能具有敏感资源访问权限(例如访问学生信息),应该对其进行结构化和管理。不建议在这些场景中使用用户启动的管理 | |
管理员同意请求(预览版) | |||
用户可以请求管理员同意他们无法同意的应用程序 | 不 | 启用此设置将使租户中的所有用户都能够请求同意,这可能会导致向管理员发送大量同意请求。如果管理员不能或不想管理请求,用户可能会感到困惑。 | |
选择用户以查看管理员同意请求 | 不适用 | 仅在启用管理员同意请求功能时适用 | |
选定的用户将收到有关请求的电子邮件通知 | 不适用 | 仅在启用管理员同意请求功能时适用 | |
选定的用户将收到请求到期提醒 | 不适用 | 仅在启用管理员同意请求功能时适用 | |
同意请求在(天)后到期 | 不适用 | 仅在启用管理员同意请求功能时适用 | |
Office 365 设置 | |||
用户只能在 Office 365 门户中查看 Office 365 应用 | 不 | 使用“我的应用”门户时,如果您希望 Office 365 应用显示在“我的应用”中,则应将此设置设置为“否”。https://docs.microsoft.com/en-us/azure/active-directory/manage-应用/接入面板部署计划 |
身份治理设置
通过指定在失去上次访问包分配时发生的情况,管理通过访问包添加的外部用户的生命周期。
环境 | 价值 | 原因 |
---|---|---|
阻止外部用户登录此目录 | 是的 | 当外部用户失去对您应该阻止的任何访问包的最后分配时,请将其从租户中删除。 |
移除外部用户 | 是的 | 当外部用户失去对您应该阻止的任何访问包的最后分配时,请将其从租户中删除。 |
从此目录中删除外部用户之前的天数 | 30 | 当外部用户失去对您应该阻止的任何访问包的最后分配时,然后将其从租户中删除 |
密码重置设置
环境 | 价值 | 原因 | |
---|---|---|---|
特性 | |||
已启用自助服务密码重置 | 选择用户 | 我们建议所有可以使用手机发送短信并且可以安装和设置 Microsoft Authenticator 应用的用户自助重置密码。 | |
认证方法 | |||
重置所需的方法数 | 2 | 两种方法提供了可用性和安全性之间的平衡。 | |
用户可用的方法 | 移动应用通知、移动应用代码、电子邮件和手机(仅限短信) | 移动应用程序提供最现代和最安全的加密方法。 然后,电子邮件或短信可以作为一个附加选项。 我们强烈建议为 EDU 租户中的帐户部署无密码身份验证方法。这改善了用户体验。 |
|
登记 | |||
要求用户在登录时注册? | 是的 | 使用此值,帐户将在首次登录时中断以向 SSPR 提供注册。这有助于以一致的基线加入帐户。 | |
要求用户重新确认其身份验证信息之前的天数 | 180 | ||
通知 | |||
通知用户密码重置? | 是的 | 通知将提供此敏感凭证管理操作的可见性。 | |
当其他管理员重置密码时通知所有管理员? | 是的 | 通知将提供此敏感凭证管理操作的可见性。 |
安全设定
环境 | 价值 | 原因 | |
---|---|---|---|
身份验证方法策略 | |||
FIDO2 安全密钥 | 是 – 选择用户 | ||
Microsoft Authenticator 无密码登录 | 是 – 选择用户 | ||
短信 | 不 | 必须将电话号码分配给需要使用此功能的所有用户。 如果此功能没有强大的用例,则不保证添加电话号码的开销。 |