51CTO 博客地址:https://blog.51cto.com/14669127
博客园博客地址:https://www.cnblogs.com/Nancy1983
需求:公司将采用Azure Active Directory 来管理用户和组,为了安全起见,所有公司各个分支结构的IT Admin都需要输入verification code才能访问Azure Portal,那么如何确保所有管理员都使用公司的On-Premise network访问Azure Portal呢?如何配置实现该需求?
解决方案解析:
Azure Active Directory Identity Protection包含3个默认策略,管理员可以选择是否启用。
- Multiple-Factor Authentication Registration Policy
- User Risk Remediation Policy
- Sign-in Risk Remediation Policy
Multiple-Factor Authentication Registration Policy:系统会在用户登录时提示其输入其他形式的标识,例如在手机上输入code等进行多重身份验证,提高一定的安全性,因为***者不容易获取多重身份验证所需要的额外内容。
User Rick Remediation Policy:用来评估用户的行为是否正常,并使用它来作为判断用户风险的基础,用户风险是指计算身份已泄露的概率,管理员可以根据此风险评分做出决策,以强制阻止访问、允许访问但需要使用Azure AD自助式密码重置进行密码更改来进行自我修正。
说明:用户必须先注册了自助式密码重置,才能触发用户风险策略。
Sign-in Risk Remediation Policy:分析每次登陆时的信号,无论是实时还是脱机,并根据登录并非是用户操作的概率计算风险评分,管理员可以根据风险评分信号做出决策,以选择是否阻止访问,允许访问但需要多重身份验证。
如果检测到风险,用户可以执行多重身份验证进行自我修正。这些风险可以使用Microsoft 内部和外部威胁智能源进行实时或者脱机计算。
所以,根据需求,确保所有管理员都使用On-Premise network访问Azure Portal,需要配置Sign-in Risk Remediation Policy来实现该场景,配置如下图:
相关资料:
• How it works:Azure AD Multi-Factor Authentication
• What is Risk
• How to:Configure and enable Risk Policies