您应该在Microsoft Office 365上启用还是禁用“密码同步”?
如果您正在经营一家公司,那么当您听到“密码”这个词时,您可能会感到头疼。这很难保留个人密码,因此处理多个公司密码是一项巨大的挑战。为了使事情变得更容易,公司依靠Microsoft Office 365等云服务来管理他们的电子邮件帐户。
但是,这些服务不是防故障的。我们想提请您注意美国国土安全部网络安全和基础设施安全局(CISA)发布的安全分析报告 。我们将介绍报告中指出的所有漏洞,然后重点关注Office 365密码同步问题。
Table of Contents
Microsoft Office 365安全挑战
将电子邮件服务迁移到云在组织中变得越来越普遍。如果他们拥有独立且称职的IT部门,他们可能会单独迁移服务,或者他们可能会聘请第三方公司帮助他们这样做。 CISA在其报告中指出,在转换到云服务时存在一定的安全风险,组织及其第三方合作伙伴一定应该了解它们。大多数风险在于云服务配置漏洞,包括密码设置。
多因素身份验证
我们之前多次谈到多因素身份验证 ,尽管我们可能更关注个人数据安全方面。但是,多因素身份验证对于组织来说也是非常重要的,这不足为奇。实际上,人们普遍认为多因素身份验证是完全摆脱密码的第一步,Microsoft Office 365强烈鼓励它。
但是,Microsoft Office 365和Azure Active Directory(Azure AD)的安全问题是默认情况下不启用管理员帐户的多重身份验证。 Azure AD在Office 365环境中具有全局管理员,这些帐户用于配置其租户并迁移用户。换句话说,全球管理员拥有很多权利。如果默认情况下未启用多重身份验证,则攻击这些帐户也会自动对常规用户造成损害。
邮箱审核
根据组织迁移到Office 365云服务的时间,默认情况下可能启用或禁用邮箱审核。默认情况下启用审核的设置是在2019年1月在Office 365中引入的。如果在此之前创建了Office 365环境,则管理员必须手动启用邮箱审核。 CISA建议保持启用审核日志,因为系统会记录邮箱所有者,管理员和系统内其他用户执行的所有操作。
旧的遗留协议
较旧的邮件客户端使用许多不支持现代身份验证方法的协议。这些协议包括Internet邮件访问协议(IMAP),邮局协议(POP3)和简单邮件传输协议(SMTP)。通常,这些协议被禁用,但如果组织需要较旧的电子邮件客户端,则协议仍然有效. 因此,对于此类客户端,密码仍然是主要的身份验证方法,这会降低帐户安全级别。
通过保留仍需要传统协议的用户列表,可以降低此风险。 CISA还建议使用Azure AD条件访问策略来监视和限制使用传统协议身份验证方法的用户数量。此外,由于此类用户的密码是主要的身份验证方法,因此他们应考虑使用密码管理器工具来提高其密码安全性。
Office 365密码同步
Office 365密码同步问题与Azure AD身份密切相关。可以预先创建Azure AD标识,也可以“内部部署”。当本地环境通过Azure AD Connect与Azure AD集成时,可以将预先创建的AD标识与内部部署AD标识进行匹配。如果身份匹配,则内部部署身份将成为权威身份。这是自动启用的密码同步可能会变得麻烦的地方。想象一下内部部署身份遭到破坏:一旦Office 365密码同步,黑客就会自动进入云环境。
应该注意的是,在2018年10月,Microsoft显示了匹配某些帐户的功能。此外,CISA表示,如果在组织迁移用户之前仔细规划和配置Azure AD Office 365密码同步,则可以降低风险。因此,在最终将电子邮件服务迁移到云之前,公司及其IT部门(或其第三方合作伙伴)应该明确地研究这个潜在的安全问题。
根据您的首选项,您可以选择启用或禁用Office 365密码同步。下面,您将找到这两个操作的指南。请注意,由于在某些情况下Microsoft会自动启用密码同步,因此我们的密码同步指南将包含AdSelfService Plus管理工具,该工具是之前提到的可用于管理Microsoft Office 365帐户的第三方程序之一。
启用Office 365密码同步
- 登录AdSelfService Plus管理员帐户。
- 打开配置并转到自助服务 。
- 选择密码同步器 。
- 单击Office 365 / Azure链接。
- 在配置页面上选择Password Synchronizer模块。
- 键入Office 365 / Azure帐户的域名 。
- 输入Office 365 / Azure帐户的用户名和密码 。
- 输入配置说明 。
- 选择自助服务策略 ,然后单击“ 保存” 。
禁用Office 365密码同步
- 启动Azure AD Connect ,然后单击“ 配置” 。
- 选择“ 自定义同步选项” 。
- 转到可选功能 。
- 清除密码同步复选框。
- 保存更改。
最重要的是,组织安全级别很大程度上依赖于共同努力. 可能存在与Microsoft Office 365相关的某些安全风险以及将您的电子邮件服务迁移到云,但这些风险可以通过立即和全面的操作来处理。
最终,您可以决定是否同步Office 365密码。但是,强烈建议您在进行彻底的安全性分析后做出此类决定。如果您认为在分析此类功能时您的IT部门可能缺少重要方面,您也可以咨询独立专家。