在条件访问中使用令牌保护来阻止网络钓鱼攻击

在这种混合工作环境中，令牌盗窃是一个严重的威胁。攻击者使用各种技术来窃取令牌而不是密码。利用这些被盗的令牌，他们将访问关键资源并在您的 Office365 环境中执行恶意活动。因此，每个组织都应该有适当的防御机制来克服这些令牌网络钓鱼攻击。为了帮助您解决此问题，除了 CAE 严格执行的位置策略之外，Microsoft 还部署了Azure AD 条件访问中的令牌保护策略，以保护您的 Office 365 资源免受试图危害您组织安全的恶意攻击者的侵害。

因此，让我们更深入地详细研究令牌保护（令牌绑定），并学习使用令牌保护配置条件访问策略，以保护您的资源免受攻击者的攻击！

Azure AD 条件访问中的令牌保护

Office365 访问令牌充当组织中每个用户的进入卡。这些令牌包含用于访问组织资源的用户身份。由于用户使用非托管设备登录资源，因此攻击者可以利用漏洞窃取其 Office365 访问令牌。

窃取令牌后，攻击者可能会执行向其他用户发送网络钓鱼消息、更改用户帐户设置以及窃取敏感 Office 365 数据等活动。因此，它允许管理员仅允许用户登录 Office 365 资源时创建的经过身份验证的访问令牌。

令牌保护在令牌和预期设备（客户端的秘密）之间建立了紧密的联系。

如上所述，您可以确保您的用户使用有效的 Office 访问令牌访问资源。从现在开始，你可以创建条件访问策略来在 Azure AD 中实施令牌保护。毫无疑问，该策略将充当针对攻击者未经授权的令牌访问的一线防御。

使用令牌保护配置条件访问策略的清单

以下是配置具有令牌保护的条件访问策略之前需要考虑的先决条件，

1. 首先，您应该拥有已加入 Azure AD、混合 Azure AD 或已注册 Azure AD 的 Windows 10 或更高版本的设备。
2. 确保 OneDrive 和 Microsoft Teams 客户端具有以下版本，

• • • OneDrive 版本 22.217 或更高版本。

• • • Teams 客户端版本 1.6.00.1331 或更高版本。

使用令牌保护创建条件访问策略的限制

除了先决条件之外，在 Azure AD 条件访问中配置令牌保护还存在一些限制。他们是，

1. 首先，不支持通过 Azure AD B2B 邀请的外部用户，建议不要将其包含在策略中。
2. 不支持 Windows Server 和 Surface Hub 等 Windows 客户端设备。
3. 某些应用程序不支持使用受保护的令牌登录。他们是，

• • • Power BI 桌面客户端。
• PowerShell 模块访问由 Exchange 或 SharePoint 提供服务的 Exchange、SharePoint 或 Microsoft Graph 范围。
• Excel 的 PowerQuery 扩展。
• 访问 Exchange 或 SharePoint 的 Visual Studio Code 扩展。
• 视觉工作室。

使用令牌保护创建条件访问策略（预览版）

具有令牌保护的条件访问策略可以减少使用被盗令牌进行的危险登录，因为它只允许授权用户访问组织的敏感信息。

重要提示：在条件访问策略中使用令牌保护登录仅适用于访问 Exchange Online 和 SharePoint Online 的桌面应用程序Windows 设备。

要创建条件访问策略，请按照以下步骤操作。

1. 首先，以条件访问管理员、安全管理员或全局管理员身份登录 Microsoft Entra 管理中心。
2. 然后，点击左侧选项卡中的 Azure Active Directory，并选择保护和安全下的“条件访问”选项。
3. 之后，单击+新策略创建条件访问策略。
4. 然后，您可以为您的策略指定合适的名称。
5. 现在，在分配边栏选项卡下的用户选项中，您可以选择要启用此策略的所有用户或特定用户/组。

6. 然后，在云应用或操作边栏选项卡下，选择云应用Office 365 Exchange Online和Office 365 SharePoint Online。

7. 现在，在条件边栏选项卡下，单击选定的 0 个条件。

→ 现在，您可以配置将配置选项切换为“是”，然后单击“完成”，将设备平台设置为Windows。

→ 然后，您可以配置客户端应用根据您的要求，将配置选项切换为“是”，然后单击完成。

8. 最后，在访问控制 >会话下，选择' 需要对登录会话进行令牌保护'，然后单击选择。

9. 最后，将策略启用为“仅报告”或“开启”模式。

成功创建策略后，具有受保护令牌的用户在成功满足条件访问策略的条件后将被授予访问 SharePoint Online 和 Exchange Online 的权限。

使用 Azure AD 登录日志监控有风险的登录

将策略应用到分配的用户后，您可以使用 Azure AD 登录日志查看策略实施状态。您可以通过这些日志确保没有使用访问令牌进行可疑的登录尝试。

您可以按照以下步骤查看 Azure Active Directory 中的登录日志。

1. 首先，使用上述管理员角色导航到保护和安全选项下的条件访问。
2. 现在，点击左侧选项卡中的登录日志。
3. 然后，选择特定的登录请求来检查策略是否正确应用。
4. 根据其状态单击条件访问或仅报告模式窗格，然后选择强制执行令牌的策略保护。
5. 最后，在会话控制下，您可以查看是否满足政策要求。

注意：您还可以使用日志分析来查询登录日志，以了解应用了令牌保护策略的允许/阻止的登录请求。

消灭代币盗窃行为！

尽管攻击者窃取代币的情况很少见，但其影响将对我们造成沉重打击。幸运的是，条件访问策略中的令牌保护的出现，显着降低了攻击者访问敏感信息的风险。因此，通过使用令牌保护创建条件访问策略来消除攻击者入侵您的资源！

“归根结底，目标很简单：安全和保障”

-JODI RELL

我们希望此博客可以帮助您获取有关 Azure AD 条件访问策略中的令牌保护的信息。此外，如果您对使用令牌保护创建策略有任何建议或想法，我们欢迎您在评论部分分享。