需要具有条件访问功能的 Microsoft 365 管理门户的 MFA

在 Microsoft 365 的动态领域中，组织的第一道防线掌握在关键管理员手中。 Exchange 管理员、SharePoint 管理员和许多其他管理员对您的电子邮件系统、协作平台和 Microsoft 365 环境的核心拥有大量控制权。但是，如果他们成为狡猾的暴力或网络钓鱼攻击的受害者怎么办？赌注再高不过了！

新的Microsoft 365 管理门户的条件访问策略使管理员能够通过强制多方访问权限来更好地控制谁可以访问 Microsoft 管理门户（例如 Entra ID、Microsoft 365 管理中心和 Exchange 管理中心）。用于交互式访问的因素身份验证 (MFA)。

在本博客中，我们将深入探讨 CA 策略的重要性以及如何使用它们来保护 Microsoft 365 管理门户。因此，请系紧您的数字盔甲，深入了解条件访问策略的世界，以访问安全与简单相结合的 M365 管理门户。

Microsoft 365 管理门户云应用程序的条件访问策略

Microsoft Entra 条件访问使用指定的信号来做出明智的决策。将这些策略视为 if-then 语句：如果您想访问，则必须满足某些条件。通过添加 Microsoft 365 管理门户应用程序，管理员可以创建针对管理门户的 CA 策略，并需要多重身份验证才能登录。这一附加的安全层可确保授权访问，从而保护您组织的数据和资源。 此外，管理员可以使用 PowerShell 导出 CA 策略并验证

注意：条件访问策略需要 Microsoft Enterprise ID P1/P2 许可证或 Microsoft 365 商业高级版许可证才能使用。

为什么保护对 Microsoft 365 管理门户的访问很重要？

有几个令人信服的理由需要建立条件访问 (CA) 策略来授予对 Microsoft 365 管理门户云应用的访问权限。他们是，

• 增强的安全性：Microsoft 365 管理门户是必须受到保护的重要入口点。实施强制执行 MFA 的 CA 策略将各种 MFA 优势与密码（例如智能手机或硬件令牌）结合起来，显着增强了针对未经授权访问的安全性。
• 防止凭据被盗：密码可以通过多种方式被泄露，包括网络钓鱼攻击、暴力攻击或密码重复使用。配置需要 MFA 的 CA 策略有助于防范这些网络威胁，因为即使攻击者设法窃取密码，他们也不会拥有访问所需的第二个因素。
• 特权访问：管理员通常可以访问高度敏感的系统和数据。通过条件访问策略要求 MFA，您可以确保只有授权人员才能进行配置更改、访问关键资源和执行管理任务，从而降低未经授权的访问和数据泄露的风险。
• 帐户恢复：如果忘记密码或帐户遭到泄露，MFA 可以协助恢复帐户。 Microsoft 365 管理员可以使用第二个因素安全地重新获得对其帐户的访问权限，从而有效地增强安全性和工作流程。

因此，事不宜迟，让我们看看如何创建一个条件访问策略，要求管理员访问 Microsoft 管理门户时需要 MFA。

创建条件访问策略以访问 Microsoft 365 管理门户

要在 Microsoft Entra 管理中心中创建至少具有条件访问管理员角色的条件访问策略，请按照下列步骤操作：

1. 浏览以下路径以配置条件访问策略以访问 Microsoft 365 管理门户应用。

Microsoft Entra 管理中心 ?身份?保护?条件访问?创建新政策

2. 根据 Microsoft 建议为策略使用有意义的名称，为条件访问 (CA) 策略选择一个描述性名称。

3. 在“分配”部分中，选择“用户”以定义策略的应用对象。

4. 在“包含”部分中，点击“选择用户和组”并从以下构建的- 根据您的组织要求担任角色。

• 全局管理员
• 应用程序管理员
• 认证管理员
• 计费管理员
• 云应用管理员
• 条件访问管理员
• 交换管理员
• 服务台管理员
• 密码管理员
• 特权身份验证管理员
• 特权角色管理员
• 安全管理员
• SharePoint 管理员
• 用户管理员

5. 在“排除”部分中，选择“用户和组”并排除紧急访问帐户或Microsoft 365 的打破玻璃帐户。

6. 在“目标资源”下，选择“云应用程序”。

7. 在“包含”部分中，选择“选择应用程序”，然后搜索并选择 “Microsoft 管理门户。”

当您选择 Microsoft 管理门户云应用时，条件访问 (CA) 策略适用于为与多个管理门户相关的应用程序 ID 颁发的令牌。目前这些包括：

• Azure 门户
• 交易所管理中心
• Microsoft 365 管理中心
• Microsoft 365 Defender 门户
• 微软 Entra 管理中心
• Microsoft Intune 管理中心
• Microsoft Purview 合规门户

值得注意的是，微软正在不断扩大这个列表，因此未来更多的管理门户可能会受到 CA 政策的约束。随着 Microsoft 生态系统的发展，这种灵活性可确保您的组织能够在各种管理界面上保持强大的安全措施。

注意：Microsoft 管理门户云应用用于交互式登录管理门户，不适用于 Microsoft Graph 或 Azure 资源管理器 API 等资源。为了保护这些资源，使用了 Microsoft Azure 管理应用程序。这种方法让管理员能够逐步采用 MFA，而不会通过 API 和 PowerShell 中断自动化。

8. 接下来，在“访问控制”下，选择“授予访问权限”。

9. 对于“需要身份验证强度”，选择“多重身份验证”，然后单击 “选择。”

10. 检查您的设置并将启用策略设置为“仅报告模式”。

11. 最后，单击“创建” 创建并启用您的条件访问策略。

CA 政策中的用户排除

Microsoft 认识到其强大的执行能力，为条件访问策略中的排除提供了具体建议。

1. 建议排除碎玻璃或紧急访问帐户，以防止租户范围内的锁定。在管理员被租户锁定的情况下，这些帐户可充当安全网，允许他们登录并采取恢复措施。
2. 建议排除 Microsoft Entra Connect Sync 等服务帐户。服务帐户无法以编程方式执行 MFA，通常由后端服务用于编程访问。用户的条件访问策略不会影响服务主体，保证后端服务顺利运行。要定位服务主体，请使用工作负载身份的 CA 策略。如果您的组织在脚本中使用这些帐户，请考虑将其替换为托管身份或暂时将其从基准策略中删除。
   

需要考虑的事情

1. 条件访问策略旨在与内置角色配合使用，不适用于其他角色类型，例如基于管理单位的角色或自定义角色。
2. 通过最初启用“仅报告”模式来评估组织内条件访问策略的影响。一旦显示出所需的结果，管理员就可以将“启用策略”设置从“仅报告”转换为“启用策略”设置至“开启”。

根据 Microsoft 365 路线图的最新更新，Microsoft 计划于 2023 年 11 月自动推出条件访问策略。该计划旨在通过向符合条件的 Microsoft 租户应用托管条件访问策略来自动保护客户。要执行的具体策略包括针对管理门户的多重身份验证 (MFA)、每用户 MFA 以及针对所考虑的登录的 MFA作为高风险。但是，为了立即提高组织的安全性，您可以选择立即自行激活这些策略，而不是等待自动推出。

到目前为止，我们已经研究了创建 CA 策略，以确保管理员使用 MFA 访问 Microsoft 365 管理门户。除了配置多重身份验证 (MFA) 等安全措施之外，管理员还必须了解其有效性并监控用户活动。仅仅配置它是不够的；对 MFA 活动有清晰的了解和监督非常重要。

因此，AdminDroid Microsoft 365 Reporter 可以为您提供帮助，帮助您监控 MFA 活动并改善组织的安全状况。

使用 AdminDroid 报告有效监控 MFA 活动！

AdminDroid 的 MFA 报告充当战略镜头，提供组织 MFA 情况的全面视图，确保全面的安全覆盖。外交部报告包括：

• MFA 已激活/未激活用户 - 发现组织内已激活/未激活 MFA 的 Microsoft 365 用户。
• 具有/不具有 MFA 的用户 - 查看启用或强制执行 MFA 的用户列表。
• 启用 MFA 的用户 - 利用此报告来识别尚未完成 MFA 设置的用户，并确保按要求对他们执行 MFA。
• MFA 强制用户 - 分析此报告以识别已完成 MFA 配置的用户。
• MFA 设备详细信息 - 检索用户用于 MFA 配置的设备列表。
• 用户的 MFA 配置详细信息s - 查找 Microsoft 365 用户的 MFA 详细信息以及属性。
• 没有 MFA 的管理员 - 识别尚未实施多重身份验证的 Microsoft 365 管理员。

每份报告都有助于全面了解，使管理员能够主动管理和保护 MFA 环境。

此外，AdminDroid 的免费 Azure AD 报告工具提供超过 120 多个富有洞察力的报告。它允许您跟踪 Microsoft 365 用户登录活动、监控订阅使用情况、获取组成员信息的简明细目、跟踪密码更改并随时了解许可证过期和更改。此外，AdminDroid Azure AD 仪表板有一个专用的 MFA 仪表板，提供 MFA 身份验证、密码、管理安全统计信息等的全景视图。

AdminDroid 并不止于报告 - 它为 Microsoft 365 管理提供了一系列出色的功能。 快速提醒，粒度访问授权、增强的报告调度和高级自定义过滤器，AdminDroid 提升您的管理能力。

不要再拖延了！立即下载AdminDroid 并开始15天免费试用 释放 Microsoft 365 报告和审核的全部潜力。

最后的结论

总之，通过为 Microsoft 365 管理门户配置条件访问策略，您可以向授权管理员授予访问权限，同时阻止未经授权的入侵者。此外，您还可以选择实施基于设备的条件访问策略，这会增加额外的安全层来强化您的访问控制。为了进一步保护管理员帐户，请考虑对 Microsoft 365 管理活动实施定期 审核。这种全面的方法可确保保护您的关键资源和数据，从而增强您的整体Microsoft 365 安全性。

希望此博客已帮助您配置 Microsoft 365 管理门户的条件访问策略。如果您有疑问或需要更多信息，请随时在评论中提问。感谢您的阅读！