特权身份管理中的 Azure AD 身份验证上下文集成

特权身份管理 (PIM) 是 Azure Active Directory 的一个重要方面，可帮助组织管理和保护其关键资源和系统。然而，仅仅拥有 PIM 还不够。同样重要的是采取适当的控制措施以确保只有授权用户才能访问特权资源。这就是条件访问身份验证上下文的用武之地。

为了让事情变得更加方便，Microsoft 还将 Azure AD 身份验证上下文的功能扩展到 Azure AD 特权身份管理 (PIM)，目前处于公共预览版。让我们开始使用特权身份管理中的身份验证上下文！

为了更好地理解配置，让我们从头开始。

什么是特权身份管理 (PIM)？

特权帐户可以广泛访问组织中的关键资源，这使它们成为攻击者的主要目标。 Azure Active Directory 特权身份管理 (AAD PIM) 帮助管理这些帐户，降低滥用和未经授权访问的风险。 AAD PIM 通过为特权角色提供即时访问和访问审查来帮助组织实现这一目标，从而限制特权滥用和未经授权的访问的风险。需要 Azure AD Premium P2 许可证才能在 Azure AD 中使用特权身份管理。

什么是条件访问身份验证上下文？

Microsoft 365 中的身份验证上下文是一项安全增强功能，它为访问请求添加更多详细信息，包括设备信息、用户位置等。简单来说，身份验证上下文更像是敏感度标签。通过身份验证上下文，将创建一个标签，允许您标记需要保护的资源并以更精细的方式控制对这些资源的访问。身份验证上下文标签可用于条件访问策略以及敏感度标签。

除了保护敏感数据之外，身份验证上下文还可用于保护 Azure 中托管的应用程序。这可以防止对关键应用程序的未经授权的访问，并降低安全漏洞的风险。

在特权身份管理中设置条件访问身份验证上下文

如前所述，Azure AD 身份验证上下文到 AAD Privileged Identity 管理的扩展功能现已推出公共预览版！想知道这个新功能可以做什么？下面看看它的好处。

• 通过将 AAD PIM 与身份验证上下文相结合，组织可以为特权身份创建强大的安全框架。
• 当用户请求访问特权角色或资源时，身份验证上下文用于评估用户是否满足该角色的所有安全要求。
• 通过身份验证上下文，组织可以监控和跟踪用户对特权角色或资源的访问，从而为潜在的安全威胁或合规性问题提供更高的可见性和洞察。

注意 - 要在 Azure Active Directory Privileged Identity Management 中配置身份验证上下文，您必须拥有具有Azure Active Directory P2 许可证的全局管理员权限。

创建条件访问身份验证上下文

下面了解如何在 Azure Active Directory 中配置身份验证上下文：

1. 登录 Microsoft Azure 门户。
2. 导航到Azure Active Directory -> 安全 -> 条件访问 -> 身份验证上下文。
3. 选择+新身份验证上下文。
4. 然后通过提供正确的名称和描述来添加身份验证上下文。
5. 确保选中发布到应用框。
6. 单击保存。

使用身份验证上下文创建新的条件访问策略

建议在 PIM 设置中配置身份验证上下文之前创建条件访问策略，因为它为您的系统提供了额外的保护层。当有人使用 Azure AD PIM 提升其角色时，我们可以触发执行条件访问策略。

1. 登录 Microsoft Entra 管理中心。
2. 导航到Azure Active Directory -> 安全 -> 条件访问 -> 创建新策略。
3. 为该策略指定一个适当的名称。
4. 将策略的范围限定为角色的合格用户。
5. 在“云应用或操作”下，设置适用于身份验证上下文的策略。
6. 然后选择要应用于策略的相应身份验证上下文。
7. 在“授予”下，转到授予访问权限 -> 需要身份验证强度 -> 防网络钓鱼 MFA ，然后单击选择。
8. 将策略状态设置为开启。
9. 单击创建以保存您的策略。

注意 - 您不应在激活期间创建作用域为身份验证上下文和目录角色的条件访问策略，因为用户尚不具有角色。

如何在特权身份管理角色设置中标记身份验证上下文？

了解如何在 Azure AD 特权身份管理角色设置中标记身份验证上下文。以前，当在 PIM 中定义时，我们只能选择要求 MFA 来提升 Azure AD。

现在，Microsoft 允许我们指定 Azure AD 条件访问身份验证上下文，从而提升了特权身份管理功能！

1. 登录 Azure Active Directory 门户。
2. 导航到 Azure AD Privileged Identity Management -> Azure AD 角色 -> 角色。
3. 选择您想要配置其设置的角色。
4. 打开所选角色的角色设置。您当前的 PIM 角色设置将显示在那里。在这里我选择了“应用程序管理员”。

5. 点击编辑。
6. 在激活设置下选择Azure AD 条件访问身份验证上下文（预览版）。
7. 选择其下拉列表，您可以在其中找到现有的身份验证上下文。
8. 选择合适的条件访问身份验证上下文。
9. 您可以根据需要指定审批人。如果没有指定，特权角色管理员/全局管理员将成为默认审批者。
10. 选择更新。

Azure AD 角色激活实时测试：

了解当不属于身份验证上下文的测试帐户尝试激活角色时会发生什么。

1. 登录 Azure Active Directory 门户。
2. 导航到 Azure AD Privileged Identity Management -> 我的角色。
3. 选择应用程序管理员角色并单击激活。
4. 然后系统将提示您进入一个窗口，您将在其中看到以下消息。 “条件访问策略已启用，可能需要额外的验证。点击继续。 ”

PIM 角色激活期间的其他验证：

那么，PIM 角色激活期间会发生什么？
如果用户未配置强身份验证方法，系统会要求您添加额外的身份验证以完成登录。

如果已包含强身份验证方法，则必须完成验证过程才能访问预期的 Azure AD 角色。

检查 Azure AD 登录日志以获取 CA 策略见解和报告

通过监视 Azure AD 中的登录，可以验证用户是否满足条件访问策略要求。这些 Azure AD 登录日志可帮助组织识别潜在的安全威胁并主动实施适当的措施。

以下是访问 Azure 登录日志的方法：

登录 Microsoft Azure 门户后，导航到 Azure Active Directory -> 登录日志。

总之，Azure Active Directory 特权身份管理和身份验证上下文为组织提供了有效管理特权身份并保护敏感资源免遭未经授权访问的方法。

我希望这篇博客可以帮助您了解 Azure AD 特权身份管理中的身份验证上下文集成。如果您有任何疑问，请随时在评论中与我们联系！