DCToolbox – 部署条件访问策略的简单方法

---

对于 Microsoft 365 中的条件访问策略而言，这项任务对于管理员而言并非易事。这是一项重要的任务！虽然我们主要关心的是通过这些政策保护我们的数据，但在不中断现有用户访问、应用、位置等的情况下正确配置它们也同样重要。尽管我们的初衷是好的，但完成这项任务可能会变得非常耗时！但跳过条件访问策略并不是正确的选择！我们必须部署它们来保护我们的组织，因为没有合适的替代方案。

如果您可以在短短几分钟内实施条件访问策略会怎么样？这就像找到一个隐藏的宝藏，但你猜怎么着？我们真的明白了！ ??

Microsoft MVP Daniel Chronlund 介绍了他的突破性解决方案 - DCToolbox。借助它，他简化了设置关键条件访问策略的复杂过程，为您的组织提供顶级安全性。

DCToolbox 中的单个 cmdlet “Deploy-DCConditionalAccessBaselinePoC” 使 Microsoft 365 管理员能够快速部署条件访问策略 ? 。该工具具有以下优点：

• 部署 18 项基本条件访问策略（DCToolbox 包括阻止高风险用户、强制从非公司网络进行设备注册的 MFA 以及禁用管理员帐户的令牌持久性等主要策略）。
• 配置时间比您喝咖啡的时间还要短！
• 以仅报告模式部署条件访问策略，允许无风险的测试和调整。

让我们深入了解通过 DCToolbox 轻松部署条件访问策略以满足您的网络安全需求的分步指南。

使用 DCToolbox 的先决条件

在 Microsoft 365 租户中使用 DCToolbox 部署条件访问概念验证设计之前，请确保满足以下先决条件：

1.在 Windows 中安装 PowerShell 7：

DCToolbox 模块中的“Deploy-DCConditionalAccessBaselinePoC”cmdlet 需要最低版本的 PowerShell 7。您可能会考虑“如何安装 PowerShell 7”，但答案是问题很简单！因此，请按照以下步骤在 Windows 中安装 PowerShell 7。

1. 在 Windows PowerShell 中执行以下 cmdlet 以检查 PowerShell 的最新版本。
   PowerShell

   winget search Microsoft.PowerShell

2. 然后，运行以下 cmdlet 以安装最新版本的 PowerShell。
   PowerShell

   winget install --id Microsoft.Powershell --source winget

2. M365 全局管理员角色：

您需要使用全局管理员权限运行 DCToolbox，以同意身份验证期间所需的权限。这些权限允许 DCToolbox 通过 MS Graph PowerShell 访问组织的数据。

基准条件访问策略 - DCToolbox

DCToolbox 是 Daniel 条件访问自动化工具、PowerShell 图形功能等的中心枢纽。但是，在部署条件访问策略自动化之前，了解成功运行“Deploy-DCConditionalAccessBaselinePoC”时执行的操作非常重要。

• 18 条条件访问策略 - 旨在管理和控制用户访问、访客访问、应用程序使用、来自特定国家/地区的访问等。
• 在这 18 项政策中，有 16 项政策处于仅报告模式。其余两个设置为关闭状态。

• • 一个是示例策略，另一个是需要设备合规性的策略。
• 由于设备合规性不支持仅报告模式，因此它将在关闭状态下部署。

专家见解：根据 Daniel 的说法，这些18 条基准条件访问策略 已经在四年多的时间里保护了数十万用户。因此，组织可以有效地利用它们来提升安全措施?。

部署 DCConditionalAccessBaselinePoC：Cmdlet 亮点

cmdlet“Deploy-DCConditionalAccessBaselinePoC”在 DCToolbox PowerShell 模块中提供以下主要优势。

• 该 cmdlet 会检查 Microsoft Graph PowerShell 模块是否存在，如果在您的 PC 上找不到则安装它。
• 它会自动提示您输入 Microsoft 365 全局管理员凭据，以连接到 Microsoft Graph PowerShell。
• 它为 break glass 帐户新创建了一个组，并将当前正在使用 DCToolbox 的管理员添加到其中。
• 该 cmdlet 会在 Entra ID 中为非人类身份（代表软件工作负载、计算机、移动设备、物联网传感器等的身份）单独创建一个服务帐户组。
• 为您的公司 IP 地址创建在 CA 策略中的指定位置，并自动将您当前的公共 IP 地址添加到列表中。
• 为一些允许的国家/地区创建命名位置，因为开发人员添加了一些他倾向于工作的国家/地区作为示例。
• 上传英文版 CA 策略模板的使用条款。

使用 DCToolbox 配置 Entra ID 条件访问 PoC

要使用 DCToolbox 在租户中部署全套条件访问策略，请按照以下步骤操作：

1. 安装 DCToolbox 模块：首先，使用以下 cmdlet 在 PowerShell 7 核心中安装 DCToolbox 模块。
   PowerShell

   Install-Module -Name DCToolbox

2. 更新 DCToolbox 模块：如果您已经安装了此模块，只需使用参数“Force”执行上述相同的 cmdlet。
   PowerShell

   Install-Module -Name DCToolbox -Force

3. 执行 cmdlet：接下来，执行下面的 PowerShell cmdlet，该命令将部署完整的 Entra ID 条件访问概念验证。此 cmdlet 自动连接到 MS Graph PowerShell 并部署要配置的 18 个策略的列表。它还创建 18 项政策所需的组、使用条款和指定位置。整个过程将在几分钟内完成！
   PowerShell

   Deploy-DCConditionalAccessBaselinePoC

   2. 但是，需要注意的是，一旦部署了没有自定义名称的 CA 策略，就无法使用这些参数重命名它们。尝试这样做将导致创建一组新的 18 个具有不同名称依赖关系的策略。

4. 以全局管理员身份登录：执行后，它会要求在浏览器中提供管理员凭据详细信息。使用全局管理员凭据登录。

   

5. 授予权限：成功身份验证后，必须授予访问和修改用户、应用程序、策略和组数据的权限。因此，单击“接受”按钮继续。此操作允许 cmdlet 访问和管理 Microsoft Graph 资源，例如用户、组和应用程序。

   

6. CA 策略部署：最后，18 个基准条件访问策略将开始以只读模式在您的租户中部署。这些策略旨在为组织的资源提供基本级别的安全性。

   

“Deploy-DCConditionalAccessBaselinePoC”cmdlet 完成执行后，您的组织将建立一组基本的条件访问策略。然后，您可以自定义部署的策略以符合组织的特定要求。

监控和管理使用 DCToolbox 部署的条件访问策略

条件访问策略状态将设置为“仅报告”模式，因此必须在 Entra ID 环境中查看和激活它们。只需按照以下路径即可访问配置的 CA 策略：

Microsoft Entra 管理中心 → 保护 → 条件访问 → 策略

在这里，您将找到一个表格，列出了 Entra ID 中配置的策略。

以“GLOBAL…”开头的策略是通过 DCToolbox 配置的。这些 DCToolbox CA 策略分为三个会话：阻止策略、授予策略和会话策略。

• 阻止策略：此类别包含 8 项策略，重点是防止在特定条件下对您组织的资源进行未经授权的访问。这些策略旨在主动保护敏感数据并减轻潜在威胁。
• 授予策略：此部分包含 7 项专注于访问配置的策略，这些策略根据特定条件控制用户对云资源的访问。这对于控制用户访问权限以授予组织的数据和资源非常有用。
• 会话策略：会话策略类别包含 2 个控制活动会话的策略，确定托管和非托管设备上的令牌持久性和文件下载等因素。

当策略以仅报告模式部署时，您可以使用登录日志、审核日志、报告工作簿和通过 Microsoft Entra ID 监控 CA 策略更改更多的。使用上述方法分析这些策略后，您将深入了解它们在您的环境中的影响和有效性。根据这些结果，您可以有选择地一一启用组织中的策略。

下表列出了 18 种条件访问策略以及通过 DCToolbox 配置的简短说明。

政策示例

CUSTOM - GRANT - Example

偏离全球政策的政策示例。具有自定义授予示例策略的用户组可以从全局策略中排除。

阻止策略

GLOBAL - BLOCK - Legacy Authentication

阻止不安全的旧协议，例如 ActiveSync 和 IMAP。

GLOBAL - BLOCK - Legacy Authentication

阻止不安全的旧协议，例如 ActiveSync 和 IMAP。

GLOBAL - BLOCK - Unsupported Device Platforms

阻止 Linux 等不受支持的设备平台。

GLOBAL - BLOCK - Countries not Allowed

阻止来自不在白名单中的国家/地区的连接。

GLOBAL - BLOCK - Service Accounts (Trusted Locations Excluded)

阻止来自不受信任的 IP 地址的服务帐户。

GLOBAL - BLOCK - Explicitly Blocked Cloud Apps

明确阻止某些云应用程序。

GLOBAL - BLOCK - Guest Access to Sensitive Apps

阻止访客访问敏感应用程序。

GLOBAL - BLOCK - High-Risk Sign-Ins

阻止 Entra ID 保护检测到的高风险身份验证。

GLOBAL - BLOCK - High-Risk Users

对中等风险身份验证强制执行 MFA。

资助政策

GLOBAL - GRANT - Medium-Risk Sign-Ins

对中等风险身份验证强制执行 MFA。

GLOBAL - GRANT - Medium-Risk Users

对中等风险用户强制执行 MFA。

GLOBAL - GRANT - Device Registration

对来自非公司网络的设备注册强制执行 MFA。

GLOBAL - GRANT - Terms of Use

要求用户同意使用条款政策。

GLOBAL - GRANT - MFA for All Users

使用 MFA 保护所有用户身份验证。

GLOBAL - GRANT - Mobile Apps and Desktop Clients

要求移动应用和桌面客户端符合 Intune 要求。

GLOBAL - GRANT - Mobile Device Access Requirements

要求应用程序受到 Intune 应用程序保护策略的保护。

会话策略

GLOBAL - SESSION - Admin Persistence

禁用管理员帐户的令牌持久性。

GLOBAL - SESSION - Block File Downloads On Unmanaged Devices

阻止在非托管设备上下载文件。

使用不同 PowerShell 参数的高级操作

使用“Deploy-DCConditionalAccessBaselinePoC”cmdlet 添加特定参数可以通过创建基准策略来执行一些高级操作。

为 CA 策略名称添加前缀

要添加策略名称前缀，请在 cmdlet 中使用‘AddCustomPrefix’参数。带有策略名称的前缀有助于识别该策略是使用 DCToolbox 创建的。这使得很容易与现有政策区分开来。

Deploy-DCConditionalAccessBaselinePoC -AddCustomPrefix <CustomPrefixThatYouWishToUpdate>

对组和命名位置使用自定义名称

该工具会自动创建具有预定义默认名称的组和命名位置。要使用其他名称创建这些名称或与现有名称链接，请根据您的需要执行以下任一 cmdlet。

• 对于碎玻璃排除组，您可以链接到现有组，也可以使用'ExcludeGroupDisplayName'参数指定名称来创建新组。 PowerShell

  Deploy-DCConditionalAccessBaselinePoC -ExcludeGroupDisplayName <GroupNameThatYouWishToUpdate>

• 顺便说一句，您可以将‘ServiceAccountGroupDisplayName’参数用于服务帐户组，如下所示。
  PowerShell

  Deploy-DCConditionalAccessBaselinePoC -ServiceAccountGroupDisplayName <GroupNameThatYouWishToUpdate>

• 要为公司网络命名位置设置自定义名称，请使用“NamedLocationCorpNetwork”参数。
  PowerShell

  Deploy-DCConditionalAccessBaselinePoC -NamedLocationCorpNetwork <CustomNameforCorpNetworkList>

• 要为允许的国家/地区的命名位置设置自定义名称，请使用“NamedLocationAllowedCountries”参数。
  PowerShell

  Deploy-DCConditionalAccessBaselinePoC -NamedLocationAllowedCountries <CustomNameforAllowedCountriesList>

使用现有的使用条款

要使用 DCToolbox CA 策略的现有使用条款，请使用“TermsOfUseName”参数。

Deploy-DCConditionalAccessBaselinePoC -TermsOfUseName <ExistingTermsName>

跳过条件访问策略

要跳过 18 个列表中的某些基准 CA 策略，您可以使用“SkipPolicies”参数。

Deploy-DCConditionalAccessBaselinePoC -SkipPolicies <DCToolboxCAPolicyNamesSeparatedByComma>

直接执行条件访问策略

要跳过仅报告模式并直接应用 CA 策略，请使用参数“SkipReportOnlyMode”。

Deploy-DCConditionalAccessBaselinePoC -SkipReportOnlyMode #Not Recommended!

警告： 不建议直接执行！策略中的任何错误配置都可能立即中断用户对关键资源的访问，从而导致潜在的业务中断。 用户可能会被拒绝访问应用程序和数据，从而影响他们的工作效率并造成挫败感。这就是为什么始终建议在启用策略正常使用之前使用仅报告模式测试策略的原因。

用于自定义 DCToolbox CA 策略依赖项名称的 PowerShell 脚本

除了上述 cmdlet 参数之外，您还可以生成并使用如下所示的脚本来为依赖项应用不同的名称。此方法可帮助 Microsoft 365 管理员在单次执行中合并上述参数。

$Parameters = @{ 
ExcludeGroupDisplayName = 'Excluded from Conditional Access' 
ServiceAccountGroupDisplayName = 'Conditional Access Service Accounts' 
NamedLocationCorpNetwork = 'Corporate Network' 
NamedLocationAllowedCountries = 'Allowed Countries' 
TermsOfUseName = 'Terms of Use' 
} 
Deploy-DCConditionalAccessBaselinePoC @Parameters

最后的想法

只需几分钟，M365 管理员就可以创建功能齐全的条件访问策略，无需单独配置！此方法专为重视时间和安全价值的管理员量身定制，提供简化的自动化解决方案。

向最有价值的专业人士致敬， Daniel Chronlund 的出色工作? .

我们希望此博客将帮助 M365 管理员在其域中部署条件访问策略。请随时在评论部分留下您的想法。请继续关注更多见解?！