文介绍了在跨多个租户的教育组织中保护和管理凭据和身份验证方法所需的操作。

凭据特定于用户的身份。例如,他们的个人用户名和密码、PIN 或生物识别信息。每个用户,包括 IT 管理员、教师、员工和学生,都拥有凭据。

一种验证方法是如何在用户提交或证明他们的凭据。例如,用户在登录屏幕中或通过他们已在其中设置帐户的 Microsoft Authenticator 应用程序输入其凭据。

身份验证方法也可以细分为类别或类型,例如:

  • 登录认证
  • 密码重置认证
  • 多重身份验证

登录身份验证是用户最初输入凭据的时间。自助密码重置 (SSPR) 和多因素身份验证 (MFA) 是其他类型的身份验证。

下表显示了如何在这些场景中使用各种身份验证方法。

表格1
身份验证方法 登录认证 SSPR 和 MFA
密码 是的
Windows Hello 企业版 是的
Microsoft 身份验证器应用 是(预览) MFA 和 SSPR
FIDO2 安全密钥 是(预览) 仅限 MFA
短信 是(预览) MFA 和 SSPR
语音通话 MFA 和 SSPR
安全问题 仅 SSPR
电子邮件地址 仅 SSPR

 笔记

若要启用登录身份验证的预览功能,请打开Azure 门户,选择Azure Active Directory > 安全性 > 身份验证方法 > 身份验证方法策略(预览),然后启用您也希望使用的预览方法。

认证类型

密码和 PIN 是常见的凭证类型。不太常见的类型包括图片密码和图案锁。生物特征认证也越来越受欢迎。生物识别技术通过面部识别、指纹或视网膜印记来识别用户。

无密码认证

无密码解决方案是最方便、最安全的身份验证方法。无密码身份验证消除了必须记住密码和响应多因素身份验证的不便。它更安全,因为它通过删除密码作为攻击面来降低网络钓鱼和密码喷射攻击的风险。Microsoft 支持以下无密码身份验证方法

  • Windows Hello 企业版。Windows Hello 企业版非常适合拥有指定 Windows PC 的用户。生物识别和 PIN 凭据与用户的 PC 相关联,这可以防止指定用户以外的任何人访问并防止未经授权的访问。通过公钥基础结构 (PKI) 集成和对单点登录 (SSO) 的内置支持,Windows Hello 企业版提供了一种无缝访问本地和云中资源的便捷方法。
  • Microsoft 身份验证器应用程序。Authenticator App 将您的 iOS 或 Android 手机变成强大的无密码凭证。用户可以通过在手机上收到通知,将屏幕上显示的号码与手机上的号码进行匹配,然后使用他们的生物识别(触摸或面部)或 PIN 凭据进行确认,从而登录任何平台或浏览器。虽然本文引用了 Microsoft Authenticator 应用程序,但市场上还有其他身份验证器应用程序。
  • FIDO2 安全密钥。FIDO2 安全密钥允许用户使用外部安全密钥或设备内置的平台密钥在没有用户名或密码的情况下登录其资源。

有关详细信息,请参阅Azure Active Directory 的无密码身份验证选项

密码重置认证

用户的密码重置是帮助台数量和成本的最大来源之一。Azure AD自助密码重置 (SSPR)使用户能够更改或重置其密码,无需管理员或帮助台参与。除了降低成本之外,SSPR还可以降低用户风险并改善组织的安全状况。如果用户的帐户被锁定或被盗,或者他们忘记了密码,他们可以按照提示解除锁定并重新开始工作。

使用 SSPR 更改任何密码都要求密码符合Azure AD 密码策略。这些策略确定所需的复杂性、长度、到期时间和可接受的字符。如果密码不符合 Azure AD(或本地 AD)策略要求,系统会提示用户重试。

多重身份验证

我们建议大学生、教育工作者、IT 部门和其他工作人员要求获得 MFA。这些群体在互联网上可能更活跃,因此更容易受到网络攻击。

多因素身份验证要求用户提供其他形式的身份验证。它通过要求第二种形式的身份验证来提供额外的安全性,例如:

  • SMS 文本消息中的代码。
  • 接听电话语音电话。
  • 在 Microsoft Authenticator 应用中提供代码或生物识别信息。
  • 使用 OAUTH 硬件令牌。

启用 SSPR 和 Azure MFA

启用 SSPR 和 MFA 以确保您的环境更加安全。用户必须注册这些服务。

启用 SSPR

SSPR 在Azure 门户中的Azure Active Directory > 密码重置下进行管理,并允许你从以下身份验证方法列表中进行选择:

推荐——按优先顺序

  • 移动应用通知(仅当重置所需的方法数设置为 2 时可用)
  • 移动应用代码
  • 电子邮件
  • 手机(短信)

如果存在两个推荐选项,则不推荐

  • 办公电话(语音通话)
  • 安全问题

 笔记

您启用的身份验证方法将对租户的每个成员可用。由于安全问题是最不安全的选项,我们建议您不要启用它,除非没有其他方法可用。拨打办公室电话可能会受到损害,除非没有其他选择,否则也不建议这样做。

我们建议您向租户中的所有人提供 SSPR,但中小学学生除外。这些学生可能无法获得所需的第二种形式的身份验证。对于这些学生、教师或其他工作人员,应分配密码管理员的角色。为除这些学生以外的所有用户启用 SSPR:

  1. 在 Azure 门户中创建一个具有描述性名称(例如“SSPR”)的 Microsoft 365 组。添加除中小学生以外的所有人。在 Azure AD 中,可以创建基于属性的规则来为组启用动态成员资格。如果您已经在捕获指示学生级别的属性,我们建议使用此方法。如果需要包括外部来宾,请参阅动态组和 Azure Active Directory B2B 协作
  2. 导航到Azure Active Directory > Security > password reset,选择Selected,然后选择该组。

图片1。

启用 Azure MFA

我们建议在您的租户中启用 MFA,并要求 IT 管理员和任何有权访问非他们自己或他们孩子的学生记录的人进行 MFA。您可以使用条件访问策略强制执行 MFA。

启用 MFA 后,用户应将以下选项之一设置为他们的默认多重身份验证方法:

  • Microsoft Authenticator – 通知(最推荐)
  • Microsoft Authenticator 应用程序或硬件令牌 – 代码
  • 短信短信
  • 电话(最不推荐)

 笔记

我们不建议您为小学、初中和高中学生启用 MFA。MFA 通常用于防止不良行为者破坏帐户和损坏帐户。学生应该只能访问他们自己的信息,损害的可能性有限。此外,年幼的学生可能无法使用第二种形式的身份验证。

有两种方法可以启用 Azure MFA。我们建议使用Azure AD 身份保护来管理推出,方法是将条件访问策略配置为要求 MFA 注册。身份保护要求您的管理员拥有 Azure AD P2 许可证。请参阅如何:配置 Azure 多重身份验证注册策略

如果你没有 Azure AD Premium P2 许可证,你仍然可以使用条件访问策略在特定情况下要求 Azure 多重身份验证。如果您的管理员没有 Azure AD P2 许可证,请参阅教程:使用 Azure 多重身份验证保护用户登录事件

启用组合安全信息注册

通过组合安全信息注册,用户只需注册一次即可获得 SSPR 和 Azure 多重身份验证 (MFA) 的好处。

为所有用户启用组合注册并创建条件访问策略以要求为启用 SSPR 的相同用户进行注册。您可以使用同一个 Office 365 组。要求注册强制用户何时以及如何注册 SSPR 和 Azure MFA。

SSPR 和 MFA 仅在条件访问策略的条件要求用户执行它们时触发。您必须创建条件访问策略来强制执行您的安全策略。

 笔记

对于 2020 年 8 月之前创建的租户,您必须启用组合安全信息注册。对于 2020 年 8 月之后创建的租户,默认启用此功能。

有关详细信息,请参阅在 Azure Active Directory 中启用组合安全信息注册

教育用户

在用户开始使用 SSPR 或 MFA 之前,他们需要注册他们的安全信息。我们建议您了解用户体验,然后制定计划来分享意识并根据需要教育您的用户。

有关更多信息,请参阅以下最终用户文档:

Microsoft 为MFASSPR提供了最终用户通信模板。您可以修改这些模板以帮助教育您的用户。我们还提供各种身份验证方法的部署计划。请参阅部署身份验证

安装 Microsoft Authenticator 应用

将使用 Microsoft Authenticator 应用程序进行 SSPR 或 MFA 的用户必须安装最新版本的 Microsoft Authenticator 应用程序。

如果当前不在他们的移动设备上,用户仍然可以通过从Microsoft Authenticator 页面向自己发送下载链接来获取 Microsoft Authenticator 应用程序。

Azure AD 密码保护

尽管您尝试为用户提供有关如何选择密码的指导,但经常会出现弱密码或不安全密码。用户根据学校名称、团队吉祥物、受欢迎的教师姓名等易于记忆的术语创建密码的情况并不少见。

默认情况下,Azure AD 密码保护包括 全局禁止密码列表。这些列表会自动应用于所有用户,以检测和阻止易受密码喷射攻击的密码。为了支持您自己的安全需求,您可以在自定义禁止密码列表中定义您自己的条目。当用户更改或重置他们的密码时,会检查这些禁止密码列表以强制使用更强的密码。

智能锁定还有助于保护您免受使用蛮力方法猜测用户密码的不良行为者的侵害。默认情况下,智能锁定会在 10 次尝试失败后锁定帐户一分钟的登录尝试。每次登录尝试失败后,帐户将再次锁定,第一次锁定一分钟,随后的尝试锁定更长时间。所有 Azure AD 客户的智能锁定始终处于启用状态。默认设置提供了安全性和可用性的平衡。使用特定于您的组织的值自定义智能锁定设置需要您的用户使用 Azure AD Premium P1 或更高的许可证。

安全报告

若要限制您面临潜在威胁,请使用 Azure AD 中提供的报告功能。Azure AD 支持审核日志和登录报告、围绕风险检测的安全报告,以及帮助你了解 Azure MFA 和 SSPR 的身份验证方法如何在你的组织中工作的报告。

身份保护

Azure Active Directory 具有许多功能,可以自动识别和生成警报以消除检测和攻击响应之间的延迟。为了充分利用这些功能,我们建议使用Azure AD 身份保护。此功能需要Azure AD P2 许可证。我们建议至少为所有管理员使用身份保护。

管理员在 Identity Protection 中使用三个关键报告进行调查:

  • 有风险的用户报告。用户风险表示用户身份被泄露的可能性,并根据对该身份的用户风险检测进行计算 。用户风险策略是一种条件访问策略,用于评估特定用户或组的风险级别。基于低、中和高风险级别,可以将策略配置为使用多因素身份验证阻止访问或要求更改安全密码。
  • 有风险的登录报告。登录风险是帐户所有者以外的其他人尝试使用该身份登录的可能性。一个登录风险政策是有条件的访问策略,评估风险等级为特定用户或组。根据风险级别(高/中/低),可以配置策略来阻止访问或强制进行多因素身份验证。确保对中等或以上风险的登录强制进行多重身份验证。
  • 风险检测报告。使管理员能够识别和修复以下类型的风险检测:
    • 非典型旅行
    • 匿名 IP 地址
    • 陌生的登录属性
    • 恶意软件链接的 IP 地址
    • 泄露的凭据
    • Azure AD 威胁情报

以下资源可以帮助您实施风险管理策略。

Microsoft 会在有限的时间内维护身份保护报告中的信息。我们建议您定期将其导出并在其他工具中存档,以便进一步调查和关联。Microsoft Graph API 允许你收集这些数据,以便在安全和信息事件管理 (SIEM) 解决方案等工具中进行进一步处理。若要了解如何实施这些报告,请参阅Azure Active Directory Identity Protection 和 Microsoft Graph 入门

审核日志和登录报告

审计日志报告整合了以下报告:

  • 审计报告
  • 密码重置活动
  • 密码重置注册活动
  • 自助团体活动
  • Office365 组名称更改
  • 帐户配置活动
  • 密码翻转状态
  • 帐户配置错误

身份验证方法的使用和见解

Azure AD 提供了可用于确保用户注册 MFA 和 SSPR 的报告。尚未注册的用户可能需要了解该过程。

身份验证方法使用情况和见解报告包括有关 MFA 和 SSPR 使用情况的信息,并让您深入了解每种方法在您的组织中的工作方式。访问 Azure AD 的登录活动(以及审核和风险检测)对于故障排除、使用情况分析和取证调查至关重要。

建议

我们建议教师、管理员和 IT 人员尽可能使用其中一种无密码身份验证方法。当您必须使用密码时,请参阅Microsoft 的密码指南

认证方法

下表总结了帐户类型以及我们对所有三种身份验证类型的建议:

认证方法
帐户类型 登入 SSPR Azure MFA
学生(小学) 密码
学生(初中) 密码
学生(高中) 密码或 PIN
身份验证器应用程序(如果有智能手机)
学生的个人电子邮件
SMS
语音通话
学生(大学) 密码或 PIN
身份验证器应用程序(如果有智能手机)
Authenticator App
SMS
个人邮箱
身份验证器应用程序
短信
电话
老师 Windows Hello 企业版(PIN 或生物识别)
FIDO 2 安全密钥
•Authenticator App
SMS
个人邮箱
身份验证器应用程序
短信
电话
信息技术人员 无密码(PIN、生物识别、FIDO 2 安全密钥) Authenticator App
SMS
个人邮箱
身份验证器应用程序
短信
电话
父母 密码 (Azure AD B2C) Authenticator App
SMS
语音通话
个人邮箱
身份验证器应用程序
短信
电话

凭证分发

我们建议使用以下方法之一向中小学生分发身份验证:

  • 父母的电子邮件
  • 父母手机或座机电话
  • 学生的个人电子邮件(如果存在)
  • 学生临时密码的打印副本发送给教师
  • 将密码邮寄到学生的注册地址

对于教育工作者、IT 管理员、其他员工以及高中或大学生,请使用以下方法之一:

  • 将临时密码通过电子邮件发送到个人电子邮件地址
  • 通过短信发送临时密码
  • 临时密码的打印副本

密码安全建议

IT 管理员应该始终

  • 强制初始或首次密码过期
  • 实现密码更改或重置的自动通知

此外,为所有用户提供以下密码安全建议:

  • 不要以不安全的方式写下或存储您的密码。
  • 不要重复使用密码——维护密码历史。
  • 不要与任何人分享您的密码。
  • 使用密码短语而不是密码。
  • 如果/当您怀疑您的帐户已被盗用时,请更改您的密码。
  • 首次使用前重置提供的密码。

挑战和缓解措施

管理凭据可能具有挑战性。本节介绍 Azure AD 中可帮助您缓解最常见挑战的功能。

密码过期

我们不建议依赖密码过期作为安全措施,因为密码可能会在学校假期期间过期,这可能会导致大量的帮助台工作量。这种高容量尤其会影响未设置 SSPR 的年轻学生,因为他们可能无法访问其他形式的身份验证。多因素身份验证、条件访问策略和安全监控比密码过期更能缓解问题。

如果您的组织当前启用了密码过期,我们建议全局管理员或用户管理员使用适用于 Windows PowerShellMicrosoft Azure AD 模块将用户密码设置为永不过期,或使用Set-MsolPasswordPolicy cmdlet修改过期期限。

更新用户信息

管理员通常管理用户详细信息:每个用户的设备、安全信息和密码。手动更新此信息既乏味又耗时。

为了应对这一挑战,管理员应该要求用户使用我的帐户。我的帐户是一个自助服务门户,使最终用户能够:

  • 设置自助服务密码重置
  • 配置两因素身份验证
  • 更改密码
  • 如果设备丢失或被盗,请禁用该设备

维护组订阅

学生和教职员工经常发现自己需要访问群组以进行访问或交流。教育机构中群组的绝对数量和用户需求变化的频率可能使群组管理成为管理员的一项艰巨任务。

在 Microsoft 365 EDU 中,从学校数据同步创建的每个组都会自动添加到学校管理单位,以促进对该学校中组的委派和范围管理。

对于单个组的委派和管理,还有两个附加选项。

委派组管理使管理员能够将组成员资格的管理委派给企业主。例如,如果您的学校有一个应用程序,只有特定部门的学生才能访问,您通常将用户添加到组并分配组访问权限。然后,您可以将成员资格管理职责委派给该部门的员工。然后,该部门将管理该组的成员资格,从而提供对该应用程序的访问权限。在学术环境中,我们建议使用此方法而不是自助服务组管理。

自助服务组管理使每个用户(包括学生)能够在 Azure AD 中创建和管理自己的安全组或 Microsoft 365 组。组的所有者可以批准或拒绝成员资格请求,并且可以委派对组成员资格的控制。彻底评估让学生创建小组是否是您组织的理想状态。

 笔记

委派组管理和自助服务组管理功能仅适用于 Microsoft 365 组和 Azure AD 安全组。它们不适用于启用邮件的安全组或通讯组列表。

密码太多记不住

学生和教职员工访问多个应用程序以完成他们的学业,这可能需要他们记住几个唯一的密码。Microsoft 提供了多种缓解措施。

我们建议所有兼容的应用程序启用Azure AD 单一登录 (SSO),以便用户可以使用其组织凭据访问所有资源。

加入 Azure AD加入混合 Azure AD 的Windows 10 设备将无缝访问启用 SSO 的应用程序,前提是登录用户具有访问权限。

如果您的组织是混合组织并且拥有运行 Windows 8 或更早版本的计算机,您还可以实施无缝单点登录。当教师和员工从组织网络登录时,无缝 SSO 可避免密码提示。

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注