如何为 Microsoft 365 委派管理员实施 MFA

对于大多数使用 Microsoft 365 或 Azure 服务的组织来说，这种情况很常见：某个地方有人对你的租户拥有一定程度的委派管理控制权，但你可能还不知道。对您的环境拥有管理控制权的个人或组织可能与您拥有同样多的控制权。通常，它也不仅仅是单个用户，整个部门都可能对您的环境进行委派控制，甚至通常甚至是不需要它的用户！

这种委托控制通常通过 Microsoft 云解决方案提供商计划提供。

在这篇文章中，我将向您展示如何保护您的租户并确保具有委派管理控制权的第三方遵守您的安全策略。

了解委派管理员问题

当您希望获得 Microsoft 365 资产的许可时，使用第 3 方提供商通常是最具成本效益的（并且您可能会获得更好的支持！）！在建立这种关系时，第三方通常会请求委派管理权限，然后您将其授予他们。因为他们给了你很多好处并且你信任他们，对吧……？

现在，更进一步，不同的 CSP 通常提供不同的服务。例如，您的标准外包 IT 支持公司可能对您的租户拥有授权，因为他们为您提供业务或企业许可。然后，专门的 Teams 语音提供商可能具有相同的访问权限，因为他们为你的租户提供呼叫计划许可证。然后另一家 MS Dynamics 专业公司可能会再次拥有相同的访问权限，因为他们提供 Business Central 许可和支持……明白我的意思了吗？

您如何知道所有这些 CSP 是否都为其自己的租户遵守严格的安全策略？你可以这样问他们……但是假设你被告知的内容是准确的那就太疏忽了。

解决委派管理员问题

幸运的是，使用条件访问解决这个问题相当简单。通过条件访问，您可以指定要将特定策略应用到的对象。这意味着如果您希望某些用户必须遵守更严格的策略，您可以这样做。无论如何，我建议外部用户遵守更严格的政策。

在我们的例子中，我们可以创建适用于外部用户的条件访问策略。现在，对于云解决方案提供商 (CSP) 的情况，具有委派访问权限的 CSP 被标记为“服务提供商用户”，并且也被归类为外部用户。这可以从 Microsoft Graph 中的布尔（是/否）属性“isServiceProvider”看出。

如何确定哪些 CSP 合作伙伴有权访问您的租户

虽然某些合作伙伴可能需要对您的租户具有一定级别的管理访问权限才能履行其合同职责，但有些合作伙伴可能不需要。您可以通过 Microsoft 365 管理中心和 Azure Active Directory 检查哪些合作伙伴有权访问您的租户。

来自 Microsoft 365 管理中心

转到设置 > 合作伙伴关系

来自 Azure Active Directory

在“管理”下，选择“委派管理合作伙伴”

如果您担心 CSP 的访问级别，您应该直接与他们联系进行讨论。

为具有委派管理员访问权限的服务提供商创建条件访问策略

1. 首先打开 Azure Active Directory 并导航到条件访问，Azure Active Directory > 安全性 > 条件访问

2. 选择新政策

3. 为您的策略输入一个有意义的名称

4. 在“分配”下，单击选择用户和组 > 来宾或外部用户，然后选中服务提供商用户旁边的框

5. 在云应用程序或操作下，选择所有云应用程序

6. 在“访问控制”下，选择授予，然后选择需要身份验证强度并选择您的自定义身份验证要求。

如果您不确定如何创建自定义身份验证强度设置，请查看我的教程；如何在条件访问中设置需要身份验证强度。

或者，您可以只选择“需要多重身份验证”，但这可能不太安全。

7. 现在我们将启用会话控制，以确保当用户浏览器关闭时，会话也关闭，并确保 1 小时后会话需要重新身份验证。

选择会话，然后选中登录频率旁边的框并设置为1小时。然后选中持久浏览器会话旁边的框并选择从不持久。

8. 最后，您可以将策略设置为开启，然后单击创建。