Azure AD 高级功能 #
条件访问 #
什么是条件访问? #
条件访问是 Azure AD 的核心安全功能,根据条件动态控制访问策略。
text
┌─────────────────────────────────────────────────────────────┐
│ 条件访问逻辑 │
├─────────────────────────────────────────────────────────────┤
│ │
│ ┌─────────────┐ │
│ │ 信号 │ │
│ ├─────────────┤ │
│ │ 用户/组 │ │
│ │ 位置 │ │
│ │ 设备 │ │
│ │ 应用 │ │
│ │ 风险 │ │
│ └──────┬──────┘ │
│ │ │
│ ▼ │
│ ┌─────────────┐ │
│ │ 决策 │ │
│ ├─────────────┤ │
│ │ 授予访问 │ │
│ │ 阻止访问 │ │
│ │ 需要控制 │ │
│ └──────┬──────┘ │
│ │ │
│ ▼ │
│ ┌─────────────┐ │
│ │ 控制 │ │
│ ├─────────────┤ │
│ │ MFA │ │
│ │ 合规设备 │ │
│ │ 混合加入 │ │
│ │ 使用条款 │ │
│ └─────────────┘ │
│ │
└─────────────────────────────────────────────────────────────┘
常见条件访问策略 #
text
┌─────────────────────────────────────────────────────────────┐
│ 常见策略示例 │
├─────────────────────────────────────────────────────────────┤
│ │
│ 策略 1: 管理员需要 MFA │
│ ├── 用户: 所有管理员角色 │
│ ├── 应用: 所有云应用 │
│ ├── 条件: 任何位置 │
│ └── 控制: 需要 MFA │
│ │
│ 策略 2: 阻止高风险登录 │
│ ├── 用户: 所有用户 │
│ ├── 应用: 所有云应用 │
│ ├── 条件: 登录风险 = 高 │
│ └── 控制: 阻止访问 │
│ │
│ 策略 3: 敏感应用需要合规设备 │
│ ├── 用户: 所有用户 │
│ ├── 应用: 选定的敏感应用 │
│ ├── 条件: 任何位置 │
│ └── 控制: 需要合规设备 │
│ │
│ 策略 4: 外部用户需要 MFA │
│ ├── 用户: 来宾用户 │
│ ├── 应用: 所有云应用 │
│ ├── 条件: 任何位置 │
│ └── 控制: 需要 MFA │
│ │
└─────────────────────────────────────────────────────────────┘
创建条件访问策略 #
bash
# 使用 Azure 门户创建条件访问策略
# Azure AD → 安全 → 条件访问 → 新建策略
# 配置步骤:
# 1. 分配
# - 用户和组:选择目标用户
# - 云应用或操作:选择目标应用
# 2. 条件
# - 位置:选择位置
# - 设备平台:选择平台
# - 登录风险:选择风险级别
# 3. 访问控制
# - 授予:选择控制措施
# - 会话:选择会话控制
多重身份验证 (MFA) #
MFA 概述 #
text
┌─────────────────────────────────────────────────────────────┐
│ MFA 验证方式 │
├─────────────────────────────────────────────────────────────┤
│ │
│ 验证方法 │
│ ├── Microsoft Authenticator 应用 │
│ │ └── 推荐:推送通知、TOTP │
│ ├── 短信 │
│ │ └── 发送验证码到手机 │
│ ├── 电话 │
│ │ └── 自动语音通话 │
│ ├── FIDO2 安全密钥 │
│ │ └── 硬件安全密钥 │
│ └── Windows Hello │
│ └── 生物识别 │
│ │
│ 推荐顺序 │
│ 1. Windows Hello / FIDO2 │
│ 2. Microsoft Authenticator │
│ 3. 短信 / 电话 │
│ │
└─────────────────────────────────────────────────────────────┘
配置 MFA #
bash
# 启用安全默认值(包含 MFA)
# Azure AD → 属性 → 管理安全默认值 → 启用
# 或通过条件访问策略配置 MFA
# 创建条件访问策略,控制措施选择"需要多重身份验证"
身份保护 #
风险检测 #
text
┌─────────────────────────────────────────────────────────────┐
│ 风险检测类型 │
├─────────────────────────────────────────────────────────────┤
│ │
│ 登录风险 │
│ ├── 泄露凭据 │
│ ├── 异常位置登录 │
│ ├── 不熟悉的设备 │
│ ├── 异常 IP 地址 │
│ └── 密码喷射 │
│ │
│ 用户风险 │
│ ├── 凭据泄露 │
│ ├── Azure AD 威胁情报 │
│ └── 确认泄露 │
│ │
│ 风险级别 │
│ ├── 低: 可疑但不严重 │
│ ├── 中: 值得关注 │
│ └── 高: 需要立即处理 │
│ │
└─────────────────────────────────────────────────────────────┘
风险策略 #
bash
# 配置登录风险策略
# Azure AD → 安全 → 身份保护 → 登录风险策略
# 配置用户风险策略
# Azure AD → 安全 → 身份保护 → 用户风险策略
# 示例配置:
# 登录风险策略:
# - 风险级别:中和高
# - 控制:需要 MFA
# 用户风险策略:
# - 风险级别:高
# - 控制:需要安全密码更改
特权身份管理 (PIM) #
PIM 概念 #
text
┌─────────────────────────────────────────────────────────────┐
│ PIM 功能 │
├─────────────────────────────────────────────────────────────┤
│ │
│ 核心功能 │
│ ├── 即时 (JIT) 特权访问 │
│ ├── 时间绑定访问 │
│ ├── 审批工作流 │
│ ├── MFA 要求 │
│ └── 访问审计 │
│ │
│ 角色类型 │
│ ├── 符合资格:需要激活才能使用 │
│ └── 活动:始终有效 │
│ │
│ 激活流程 │
│ 1. 用户请求激活 │
│ 2. 系统验证条件 │
│ 3. 审批(如需要) │
│ 4. 激活角色 │
│ 5. 自动过期 │
│ │
└─────────────────────────────────────────────────────────────┘
配置 PIM #
bash
# 启用 PIM
# Azure AD → 特权身份管理 → 开始使用
# 配置角色设置
# Azure AD → 特权身份管理 → Azure AD 角色 → 设置
# 示例配置:
# - 激活最大持续时间:8 小时
# - 激活需要 MFA:是
# - 激活需要审批:是
# - 激活需要工单:是
访问评审 #
访问评审概述 #
text
┌─────────────────────────────────────────────────────────────┐
│ 访问评审 │
├─────────────────────────────────────────────────────────────┤
│ │
│ 用途 │
│ ├── 定期审查用户访问权限 │
│ ├── 移除不需要的访问 │
│ ├── 合规要求 │
│ └── 最小权限原则 │
│ │
│ 评审范围 │
│ ├── 组成员资格 │
│ ├── 应用访问 │
│ ├── Azure AD 角色 │
│ └── Azure 资源角色 │
│ │
│ 评审流程 │
│ 1. 创建访问评审 │
│ 2. 评审人收到通知 │
│ 3. 评审人审核访问 │
│ 4. 应用结果 │
│ │
└─────────────────────────────────────────────────────────────┘
创建访问评审 #
bash
# 创建访问评审
# Azure AD → 身份治理 → 访问评审 → 新建访问评审
# 配置步骤:
# 1. 选择评审范围:组、应用或角色
# 2. 选择评审人:管理者、自评审或指定人
# 3. 设置评审频率:一次性或定期
# 4. 配置自动应用结果
安全默认值 #
启用安全默认值 #
text
┌─────────────────────────────────────────────────────────────┐
│ 安全默认值 │
├─────────────────────────────────────────────────────────────┤
│ │
│ 包含的安全措施 │
│ ├── 要求所有用户注册 MFA │
│ ├── 管理员需要 MFA │
│ ├── 阻止旧版身份验证协议 │
│ ├── 保护特权活动 │
│ └── Azure 门户需要 MFA │
│ │
│ 适用场景 │
│ ├── 小型组织 │
│ ├── 无条件访问许可证 │
│ └── 快速提升安全性 │
│ │
│ 注意事项 │
│ └── 与条件访问策略互斥 │
│ │
└─────────────────────────────────────────────────────────────┘
最佳实践 #
安全策略建议 #
text
┌─────────────────────────────────────────────────────────────┐
│ 安全最佳实践 │
├─────────────────────────────────────────────────────────────┤
│ │
│ 1. 为所有管理员启用 MFA │
│ └── 使用条件访问策略 │
│ │
│ 2. 使用 PIM 管理特权角色 │
│ └── 最小化持久权限 │
│ │
│ 3. 配置身份保护策略 │
│ └── 自动响应风险 │
│ │
│ 4. 定期进行访问评审 │
│ └── 移除不需要的访问 │
│ │
│ 5. 监控审计日志 │
│ └── 检测异常活动 │
│ │
│ 6. 阻止旧版协议 │
│ └── 禁用基本身份验证 │
│ │
│ 7. 使用命名位置 │
│ └── 标记受信任位置 │
│ │
└─────────────────────────────────────────────────────────────┘
下一步 #
现在你已经掌握了 Azure AD 的高级功能,接下来学习 RBAC 了解 Azure 资源权限管理!
最后更新:2026-03-29