部署安全默认设置 - 深入指南 - Office 365 报告

嘿技术管理员！您可能很清楚，Microsoft 已于2020 年 2 月 29 日弃用了其基准策略功能。取代它的安全默认值已经引起了人们对它的灵活性的热议。好吧，我们知道您了解安全默认值预配置设置以利用它来发挥您的优势是多么重要。不用担心！我们为您提供支持！

在本博客中，我们为您提供有关 Security Default 的部署注意事项、各种部署方法、您可能遇到的错误的见解，以及更多关于如果 Security Defaults 不能满足您组织的具体需求时可以采用的替代措施的信息。

通过 Azure 门户启用安全默认设置。

1. 以安全管理员、条件访问管理员或全局管理员身份登录到 Azure 门户。
2. 浏览到Azure Active Directory>属性。
3. 选择管理安全默认值。
4. 将启用安全默认值开关设置为是。
5. 选择保存。

关于安全默认值您应该了解的一切：

新用户：

如果您是新用户，则默认情况下会为您启用“安全默认值”功能，但如果您需要服务和玻璃帐户的高端细粒度安全访问和用户排除，则您不是“安全默认值”的目标受众。在这种情况下，您可以配置通用条件访问安全策略或自定义条件访问策略，但在配置它们之前，您必须首先禁用安全默认值，然后根据您的组织需求配置条件访问策略，如此处所述。

现有用户：

• 如果您是现有用户，请确保您的应用程序均未使用旧版身份验证。

• 如果使用旧身份验证协议识别任何应用程序，则应采用现代身份验证，因为安全默认值会阻止旧身份验证。

• 确保组织中的所有用户在 14 天内遵守注册 MFA 的规定，因为进一步延迟将阻止用户执行任何操作。还需要注意的是，对于具有特权操作的用户，必须注册 Microsoft 身份验证应用程序。特权操作用户不会获得 14 天的 MFA 注册期。如果您是现有用户并且尚未启用任何基本安全设置，则默认情况下将启用“安全默认值”。

尝试启用安全默认值时可能遇到的错误：

错误1：

您似乎已启用基线保护策略，即安全默认值的预览版本。启用安全默认值将从您的租户中删除所有基线保护策略，因为安全默认值是最新版本。

如果您启用了任何或所有基线策略，您可能会遇到此错误，在这种情况下，启用安全默认值可能会导致删除任何现有的基线策略。但是，必须注意的是，由于基线策略已弃用，如果您之前已启用基线策略，则必须选择安全默认值或配置有条件访问策略。

错误2：

就像您启用了自定义条件访问策略一样。启用条件访问策略会阻止您启用安全默认值。您可以使用条件访问来配置策略，以启用安全默认值提供的相同行为。

如果您配置了任何自定义条件访问策略，则可能会发生此错误。

• 部署条件访问策略将阻止您启用安全默认值
• 要部署安全默认值，您必须禁用所有条件访问策略。

部署安全默认值之前应考虑的因素。

情况1：

MFA： - MFA 在安全默认值方面的注意事项。

以下是您必须考虑的与合作伙伴租户中的用户帐户相关的措施，以确保顺利部署

• 确定是否有任何公司策略阻止员工在工作时使用移动设备非常重要，因为它将影响通过安全默认值实施的多因素身份验证。如果您的组织制定了禁止使用移动设备的策略，那么您应该考虑以下选项之一： -

• 部署可在安全系统上运行的基于时间的一次性基本密码 (TOTP) 应用程序。

• 可用于 MFA 的无密码身份验证。

您现在可以通过启用无密码身份验证技术（例如 FIDO2 安全密钥、Windows Hello 企业版 和 无密码 Microsoft Authenticator 应用程序。

• 这些强大的身份验证因素基于相同的世界级公钥/私钥加密标准和协议，并受到生物识别因素（指纹或面部识别）或 PIN 的保护。用户应用生物识别因素或 PIN 来解锁安全存储在设备上的私钥。然后，密钥用于证明用户和设备要为谁提供服务。

无密码身份验证的部署注意事项和步骤。

启用 Azure MFA 和自助密码重置 (SSPR) 的组合注册。

为所有用户注册 Azure MFA 和 SSPR。确保所有用户都可以执行 Azure MFA。用户使用的移动设备必须注册到Azure Active Directory。上述内容对于 Microsoft 身份验证器应用程序和 FIDO2 安全密钥都至关重要。

使用兼容的 FIDO2 安全密钥并确保使用经过 Microsoft 测试和验证的 FIDO2 安全设备或其他兼容的 FIDO2 安全设备。

对于 Windows Hello、Azure 多重身份验证，必须在运行 iOS 8.0 或更高版本、Android 6.0 或更高版本的设备上安装最新版本的 Microsoft Authenticator，并允许将推送通知作为验证方法

如何启用无密码身份验证？

1. FIDO2 安全密钥：

• 登录 Azure 门户。
• 浏览到Azure Active Directory > 安全 > 身份验证方法 > 身份验证方法策略（预览版）。

• 在FIDO2安全密钥方法下，选择以下选项： -

  1. 启用 - 是或否
• 目标 - 所有用户或选定用户

• 保存配置。

2. Windows Hello 企业版：

Windows Hello 部署可以通过密钥信任模型 或证书模型 执行，基于混合或本地部署。对于使用 Azure Active Directory 和本地 Azure Active Directory 进行本地部署的企业，可以考虑混合部署。

• 混合 Azure AD 加入密钥信任部署
• 混合 Azure AD 加入证书信任部署
• Azure AD 加入单点登录部署指南

3.无密码 Microsoft Authenticator 应用程序。

• 登录 Azure 门户
• 搜索并选择 Azure Active Directory。选择安全 > 身份验证方法 > 身份验证方法策略（预览）

• 在无密码手机登录下，选择以下选项： -

  1. 启用 - 是或否
• 目标 - 所有用户或选定用户

• 保存以设置新政策

4.实施第三方解决方案，对合作伙伴租户中的每个用户帐户强制执行多重身份验证，从而提供最合适的验证选项。

5.为受影响的用户购买 Azure Active Directory Premium 许可证以启用条件访问策略。

如果您有任何不支持使用现代身份验证的应用程序或设备，它们将被阻止。为了解决此限制，可以使用应用密码功能来确保您的应用程序或设备仍能进行身份验证。

启用安全默认值后，要求对合作伙伴目录中的每个用户（包括服务帐户）强制执行 MFA，任何利用用户凭据进行身份验证的自动化或集成都将受到影响。因此，识别此类帐户并为这些帐户部署条件访问非常重要。

案例2：

假设在 PowerShell 上运行的 Azure 外部进程尚未超越服务原则，这意味着它不支持客户端令牌、开放身份验证或任何现代身份验证流程，但在这种情况下使用简单的用户名和密码进行身份验证部署安全默认值是不可能的，因此必须采用条件访问策略。

如何注册 MFA？

1. 您可以通过访问以下网站注册 MFA： - https://aka.ms/mfasetup
2. 使用您的密码登录您的 Microsoft 帐户。
3. 然后您将看到上述信息，单击下一步时，系统会要求您使用Microsoft Authenticator应用程序注册MFA。
4. 选择兼容选项。
5. 单击“设置”。
6. 单击“设置”后，系统会要求您安装Microsoft Authenticator 应用程序。
7. 选择“工作或学校帐户”
8. 然后扫描生成的二维码或在 Microsoft Authenticator 应用程序中输入验证码进行登录。

在云中为 Azure MFA 部署 OAUTH 令牌。

1. 从您选择的供应商处购买 OAUTH 令牌。
2. 您可以利用任何 OAUTH TOTP 令牌，刷新时间为 30 或 -60 秒，且密钥长度为 128 个字符或更少。
3. 一旦您从供应商处购买了密钥，他们将必须向您发送一个文件，其中包含每个令牌的密钥、序列号、时间间隔、制造商和型号。
4. 然后将令牌分配给用户，编辑该文件以添加用户的用户主体名称（通常是他们的电子邮件地址），然后将其上传到 Azure Portal > Azure Active Directory > MFA 服务器 > OAUTH 令牌。
5. 通过硬件令牌进行身份验证比通过 Microsoft Authenticator 应用程序进行身份验证更好，因为它们无需网络连接即可安全生成密码，并且可以防止可能感染或拦截生成代码的外部渗透

用户注册MFA的期限为14天，14天内拒不注册的用户将被屏蔽，除非他们完成MFA注册。

是否可以使用任何其他身份验证应用程序来代替 Microsoft 身份验证应用程序？

• 是的！ 您也可以使用其他第三方 TOTP 应用程序。

以下是注册第三方 TOTP 应用程序以验证您的 Azure 帐户的方法。

1. 转到 MFA 安全设置/验证页面： - https://aka.ms/MFASetup
2. 在安全信息页面中选择添加方法选项卡。
3. 在出现的添加方法对话框中选择身份验证器应用。
4. 单击添加。
5. 选择我想使用不同的身份验证器应用。
6. 单击下一步
7. 使用您选择的身份验证器应用程序扫描二维码。
8. 输入在您的身份验证器应用程序上生成的代码。
9. 您的身份验证应用程序已成功注册。

您可以将条件访问与安全默认值一起使用吗？

在使用条件策略时，您不能同时使用安全默认值，但如果您尚未拥有条件访问许可证，并且已通过配置任何条件访问策略进行了优化，则可以启用安全默认值。

担心安全默认值无法提供您的组织所需的灵活性。这是您可以做的！

许多组织需要能够排除特定帐户，例如紧急访问或打破玻璃管理帐户，当您启用安全默认值时，这是不可能的，在这种情况下，您必须禁用安全默认值并配置通用条件访问策略，以照顾基本安全性，同时使您能够排除用户。

• 需要管理员 MFA
• 需要 MFA 进行 Azure 管理
• 要求所有用户进行 MFA
• 阻止旧式身份验证

上述四个策略的配置一起将模仿安全默认值启用的功能。要获得更精细的访问，您可以根据组织需求配置自己的条件访问策略

配置条件访问策略。

1. 使用具有全局管理员权限的帐户登录到 Azure 门户。
2. 搜索并选择 Azure Active Directory，然后从左侧菜单中选择安全。
3. 选择条件访问，然后选择+ 新策略。
4. 输入策略的名称，例如MFA Pilot。
5. 在分配下，选择用户和组，然后选择选择用户和组单选按钮。
6. 选中用户和组复选框，然后选择浏览可用的 Azure AD 用户和组。
7. 浏览并选择您的 Azure AD 组，例如MFA-Test-Group，然后选择选择。
8. 要为组应用条件访问策略，请选择完成。

希望上述部署注意事项能够帮助您分析并选择适合您组织的部署技术。通过安全默认值或条件访问策略防止任何帐户泄露，并通过选择适当的部署技术来管理您的组织需求，我们也很想知道此博客对您为您的组织部署安全身份管理故事有多大帮助，所以请告诉我们您如何解决评论部分中的安全默认值。