Day-334-Azure AD 安全

# Day 351: Azure AD 安全 - 身份保护/条件访问/MFA/特权身份管理

> 云安全系列第 11 天 | 预计阅读时间：40 分钟 | 难度：★★★★☆

---

## 清单 目录

1. [Azure AD 概述](#azure-ad-概述)
2. [身份保护](#身份保护)
3. [条件访问](#条件访问)
4. [MFA 配置](#mfa-配置)
5. [特权身份管理](#特权身份管理)
6. [安全最佳实践](#安全最佳实践)
7. [总结与思考](#总结与思考)
8. [参考资料](#参考资料)

---

## Azure AD 概述

### Azure AD 基础

**服务概述**：
```
Azure AD:
- 云身份服务
- 单点登录
- 多因素认证
- 条件访问

版本:
- Free: 基础功能
- Premium P1: 高级功能
- Premium P2: 完整功能
```

**身份类型**：
```
云用户:
- Azure AD 创建
- 云原生
- 完全管理

同步用户:
- AD 同步
- 混合身份
- 本地管理

来宾用户:
- B2B 协作
- 外部用户
- 有限访问
```

### 许可版本

**Free 版本**：
```
功能:
- 用户和组管理
- 设备注册
- 基本报告
- 密码重置 (云用户)

适用:
- 小型组织
- 基础需求
- 预算有限
```

**Premium P1**：
```
功能:
- 条件访问
- 自助密码重置
- 组管理
- 设备管理

适用:
- 中型组织
- 安全需求
- 合规要求
```

**Premium P2**：
```
功能:
- 身份保护
- 特权身份管理
- 访问审查
- 高级报告

适用:
- 大型组织
- 高级安全
- 严格合规
```

---

## 身份保护

### 风险检测

**用户风险**：
```
风险类型:
- 凭证泄露
- 异常行为
- 恶意活动

风险级别:
- 高：立即响应
- 中：需要关注
- 低：持续监控
```

**登录风险**：
```
风险类型:
- 异常地理位置
- 异常设备
- 匿名 IP
- 恶意 IP

风险级别:
- 高：阻止登录
- 中：要求 MFA
- 低：记录日志
```

### 风险响应

**自动响应**：
```
用户风险响应:
- 高风险：强制密码重置
- 中风险：要求密码更改
- 低风险：监控

登录风险响应:
- 高风险：阻止访问
- 中风险：要求 MFA
- 低风险：允许访问
```

**策略配置**：
```
用户风险策略:
- 风险级别选择
- 访问控制
- 用户范围

登录风险策略:
- 风险级别选择
- 访问控制
- 应用范围
```

---

## 条件访问

### 策略设计

**策略组件**：
```
分配:
- 用户和组
- 云应用
- 网络位置

条件:
- 设备平台
- 应用类型
- 位置
- 风险级别

访问控制:
- 授予访问
- 阻止访问
- 要求 MFA
- 要求合规设备
```

**常见策略**：
```
MFA 策略:
- 所有用户
- 所有应用
- 要求 MFA

设备合规:
- 所有用户
- 所有应用
- 要求合规设备

位置限制:
- 所有用户
- 所有应用
- 阻止高风险位置
```

### 策略实施

**部署流程**：
```
1. 报告模式
   - 评估影响
   - 收集数据
   - 调整策略

2. 试点部署
   - 小范围测试
   - 收集反馈
   - 优化策略

3. 全面部署
   - 全组织部署
   - 持续监控
   - 持续优化
```

**最佳实践**：
```
策略设计:
- 从宽松开始
- 逐步收紧
- 定期审查

策略管理:
- 策略文档
- 变更管理
- 应急计划
```

---

## MFA 配置

### MFA 方法

**认证方法**：
```
Microsoft Authenticator:
- 推送通知
- 验证码
- 无密码登录

短信/电话:
- 短信验证码
- 语音电话
- 备用方法

硬件令牌:
- FIDO2 密钥
- 硬件令牌
- 生物识别
```

**无密码认证**：
```
Windows Hello:
- 生物识别
- PIN 码
- 设备绑定

FIDO2 密钥:
- 硬件密钥
- 平台密钥
- 无密码体验
```

### MFA 部署

**部署策略**：
```
强制 MFA:
- 所有用户
- 所有应用
- 无例外

条件 MFA:
- 基于风险
- 基于位置
- 基于应用
```

**用户体验**：
```
注册流程:
- 自助注册
- 管理员注册
- 批量注册

认证体验:
- 推送通知
- 记住设备
- 信任位置
```

---

## 特权身份管理

### PIM 功能

**特权角色**：
```
内置角色:
- 全局管理员
- 特权角色管理员
- 安全管理员
- 用户管理员

自定义角色:
- 自定义权限
- 最小权限
- 职责分离
```

**资格管理**：
```
永久资格:
- 永久分配
- 需要审批
- 需要 MFA

时间限制资格:
- 时间限制
- 自动过期
- 需要续期
```

### 特权访问

**激活流程**：
```
1. 请求激活
   - 选择角色
   - 选择时间
   - 提供理由

2. 审批流程
   - 自动审批
   - 手动审批
   - 多級审批

3. 激活使用
   - 临时权限
   - 时间限制
   - 使用监控
```

**访问审查**：
```
定期审查:
- 角色分配审查
- 资格审查
- 访问审查

审查流程:
- 自动提醒
- 审查响应
- 自动回收
```

---

## 安全最佳实践

### 身份安全

**账户安全**：
```
根账户:
- 最少使用
- 强密码
- MFA 强制

管理员账户:
- 分离账户
- 特权管理
- 定期审查

服务账户:
- 最小权限
- 凭证轮换
- 监控使用
```

**凭证管理**：
```
密码策略:
- 最小长度 14 位
- 复杂度要求
- 定期轮换

凭证存储:
- Azure Key Vault
- 加密存储
- 访问控制
```

### 监控审计

**日志监控**：
```
Azure AD 日志:
- 登录日志
- 审计日志
- 风险日志

监控重点:
- 特权操作
- 策略变更
- 异常活动
```

**告警配置**：
```
关键告警:
- 特权角色分配
- MFA 禁用
- 策略变更

响应流程:
- 自动告警
- 调查响应
- 事件记录
```

---

## 总结与思考

### 核心要点回顾

1. **Azure AD**：服务概述、许可版本、身份类型
2. **身份保护**：风险检测、风险响应、策略配置
3. **条件访问**：策略设计、策略实施、最佳实践
4. **MFA**：认证方法、无密码认证、部署策略
5. **特权管理**：PIM 功能、特权访问、访问审查
6. **最佳实践**：身份安全、监控审计

### 深入思考

**安全挑战**：
- 身份攻击增多
- 凭证泄露频繁
- 内部威胁

**发展趋势**：
- 无密码认证
- 零信任架构
- 持续认证

### 最佳实践

**设计**：
- 零信任原则
- 最小权限
- 纵深防御

**实施**：
- 分阶段部署
- 持续监控
- 持续改进

---

## 参考资料

### 学习资源

- **Azure AD Documentation**: https://docs.microsoft.com/azure/active-directory/
- **Azure AD Security**: https://docs.microsoft.com/azure/active-directory/fundamentals/security-operations-introduction
- **Microsoft Security Blog**: https://www.microsoft.com/security/blog/

### 工具资源

- **Azure AD Identity Protection**: https://azure.microsoft.com/services/active-directory/identity-protection/
- **Azure AD Privileged Identity Management**: https://azure.microsoft.com/services/active-directory/privileged-identity-management/

---

*Day 351 完成 | Azure AD 安全详解 | 字数：约 15,000 字*