这是一个非常重要且核心的Azure和现代安全工作角色(如Azure管理员、安全工程师)需要掌握的领域。我们来系统地梳理一下"身份管理与安全"这个主题,涵盖您提到的三个要点。
核心理念:身份是新的安全边界
在传统网络中,安全边界是企业的防火墙。但在云和移动办公时代,数据和应用无处不在,用户可以从任何地方访问资源。因此,验证用户和设备身份成为了最重要的安全控制点。"从不信任,始终验证"是零信任模型的基石,而Azure AD正是微软零信任架构的核心。
1. 配置和管理Azure Active Directory (Azure AD) 用户和设备身份
Azure AD是微软基于云的身份和访问管理服务,它是所有Azure和Microsoft 365服务的身份基石。
a) 用户身份管理
- 用户与组:
- 创建用户: 在Azure AD门户中手动创建用户,或通过PowerShell/Graph API自动化创建。
- 批量操作: 使用CSV文件批量创建或邀请用户。
- 管理组: 创建安全组或Microsoft 365组,用于批量分配应用访问权限或许可以简化管理。可以使用动态组根据用户属性(如部门、职位)自动添加或移除用户。
- 外部身份:
- 来宾用户 (B2B协作): 邀请外部合作伙伴(如供应商、客户)以来宾身份访问你的企业应用。他们用自己的身份登录,你管理他们在你目录中的访问权限。
- Azure AD B2C: 一个独立的服务,用于为面向客户的应用程序(如网站、移动应用)创建和管理客户身份。
- 混合身份:
- Azure AD Connect: 最关键的工具之一。用于将本地Active Directory与Azure AD同步,实现用户使用同一套账户密码登录本地资源和云资源(单一登录)。
- 密码哈希同步 (PHS): 最简单常见的模式,将本地AD密码的哈希同步到Azure AD。
- 直通身份验证 (PTA): 用户密码验证仍在本地AD服务器进行,不在云中存储密码哈希。
- 联合身份验证 (AD FS): 最复杂的模式,将身份验证完全交给本地AD FS服务器,Azure AD信任该服务器发出的令牌。
b) 设备身份管理
- Azure AD设备注册:
- Azure AD已加入: 设备直接注册到Azure AD,无需连接到本地域。适用于纯云环境或自带设备(BYOD)场景。
- Azure AD已注册: 主要用于个人设备(BYOD),允许用户将个人Windows、iOS或Android设备注册到Azure AD以访问公司资源。
- 混合Azure AD已加入: 设备同时加入本地Active Directory并自动注册到Azure AD。这是最常见的企业场景,既能享受本地域的管理功能,又能获得云的便利和安全特性。
c) 访问管理 (核心安全)
- 条件访问 (CA): 这是Azure AD安全功能的皇冠明珠。
- 是什么: 基于策略的访问控制引擎。它根据信号 (Who用户、What应用、Where位置、How设备状态等)来做出决策(允许访问、要求MFA、阻止访问等)。
- 常见策略示例:
- 要求所有管理员进行MFA。
- 阻止来自高风险国家/地区的登录。
- 要求从不受信任的网络访问财务应用的公司设备必须合规。
- 对检测到的高风险登录行为要求更改密码。
- 身份保护: 利用Azure AD Premium P2的机器学习功能,检测身份风险(如匿名IP地址、异常旅行、密码泄露、恶意软件链接的帐户),并可通过条件访问自动响应。
- 特权身份管理 (PIM): 实施即时 和Just-Enough-Access 原则。
- 用户平时没有管理员权限。
- 当需要执行管理任务时,可以"激活"角色(如全局管理员),该角色有时间限制(如2小时)并需要MFA批准。
- 极大减少了拥有永久管理权限的账户数量,降低了被攻击的风险。
2. 实施Windows Hello、BitLocker等安全功能
这些功能主要保护端点(设备)的安全,与Azure AD的身份保护相辅相成。
a) Windows Hello for Business
- 是什么: 一种基于证书或密钥的无密码身份验证方法。它使用生物特征(指纹、面部识别)或PIN码来解锁设备,该PIN码与特定设备硬件绑定,无法被窃取并在别处使用。
- 与Azure AD集成: 用户可以使用Windows Hello登录Windows设备,进而无缝访问Azure AD保护的云资源和本地资源(通过混合联接),体验远超传统密码,且更安全。
b) BitLocker
- 是什么: Windows自带的全磁盘加密功能。它可以加密整个硬盘驱动器(包括操作系统、用户文件),防止设备丢失或被盗后的数据泄露。
- 与Azure AD集成: 可以将BitLocker恢复密钥自动备份到用户的Azure AD帐户中。这样,用户如果忘记PIN码,管理员可以协助从Azure AD门户恢复。同时,可以通过Intune(移动设备管理MDM服务)来集中管理和强制设备加密策略。
c) Microsoft Intune (端点管理)
- 移动设备管理 (MDM) & 移动应用管理 (MAM): Intune是统一管理设备(Windows, macOS, iOS, Android)和应用的平台。
- 合规策略: 在Intune中定义"什么是合规的设备"(如要求加密、要求密码长度、要求系统最新等)。
- 条件访问集成: 在Azure AD的条件访问策略中,可以要求设备必须被Intune标记为"合规"才能访问公司应用。例如:"只有安装了杀毒软件且已加密的设备才能访问Outlook邮箱"。
3. 理解和实施合规性策略
合规性是关于满足外部法规(如GDPR, HIPAA)和内部标准的要求。
a) 合规性管理器 (Compliance Manager)
- 位于Microsoft 365合规中心的一个工具。
- 它提供预建的评估模板,帮助你评估和监控你对各种法规标准的合规性得分。
- 它将要求分解为控制措施,并帮助你分配实施和测试任务。
b) 数据分类和标签
- 敏感信息类型: 预定义的模式(如信用卡号、护照号),用于识别敏感数据。
- 敏感度标签 (Azure Information Protection):
- 你可以创建标签,如"公开"、"内部"、"机密"、"高度机密"。
- 这些标签可以自动 (基于敏感信息类型)或手动应用到文件或电子邮件。
- 标签是持久 的,意味着它会跟随文件(即使被发送到企业外部),并强制执行保护动作,如加密、添加页眉页脚水印、限制访问权限。
c) 数据丢失防护 (DLP)
- 可以跨Microsoft 365服务(Exchange Online, SharePoint Online, OneDrive, Teams)以及端点设备实施策略。
- 策略用于检测并防止 敏感信息的意外共享。例如:
- 阻止包含信用卡号的电子邮件被发送到公司外部。
- 在用户尝试将带有"机密"标签的文件上传到个人网盘时阻止并提醒。
d) 审计与报告
- 审计日志: Azure AD和Microsoft 365服务会记录大量日志(用户登录、管理员操作、文件访问等)。这些日志对于调查安全事件和证明合规性至关重要。
- 报表: 使用Azure AD的"安全报告"和"使用情况与见解"来监控身份安全态势和应用程序使用情况。
总结与实践建议
| 领域 | 核心服务/功能 | 关键动作 |
| :--- | :--- | :--- |
| 身份管理 | Azure AD, Azure AD Connect | 同步本地AD,配置SSO,管理用户和组 |
| 访问安全 | 条件访问 (CA), MFA, PIM | 为所有管理员启用MFA,创建CA策略保护关键应用 |
| 设备安全 | Intune, BitLocker, Windows Hello | 将设备加入Azure AD,部署合规策略,强制加密 |
| 信息保护 | 敏感度标签, DLP | 创建并发布标签策略,设置DLP规则防止数据泄露 |
| 合规性 | 合规性管理器, 审计日志 | 运行评估报告,定期检查审计日志 |
实施路径建议:
- 基础加固: 强制所有用户(至少是所有管理员)启用多因素认证 (MFA)。这是性价比最高的安全措施。
- 部署条件访问: 从几个核心策略开始(如要求受信任位置的管理员MFA)。
- 管理设备: 使用Intune注册和管理设备,要求设备合规才能访问数据。
- 保护数据: 开始对最敏感的数据进行分类和施加标签保护。
- 持续监控: 定期审查风险报告、登录日志和合规性得分。
这个领域非常庞大,但遵循"身份是边界"的理念,从Azure AD和条件访问入手,逐步扩展到设备管理和信息保护,可以系统地构建起强大的安全态势。