您应该在Microsoft Office 365上启用还是禁用“密码同步”？

如果您正在经营一家公司，那么当您听到“密码”这个词时，您可能会感到头疼。这很难保留个人密码，因此处理多个公司密码是一项巨大的挑战。为了使事情变得更容易，公司依靠Microsoft Office 365等云服务来管理他们的电子邮件帐户。

但是，这些服务不是防故障的。我们想提请您注意美国国土安全部网络安全和基础设施安全局（CISA）发布的安全分析报告。我们将介绍报告中指出的所有漏洞，然后重点关注Office 365密码同步问题。

Table of Contents

Microsoft Office 365安全挑战

将电子邮件服务迁移到云在组织中变得越来越普遍。如果他们拥有独立且称职的IT部门，他们可能会单独迁移服务，或者他们可能会聘请第三方公司帮助他们这样做。 CISA在其报告中指出，在转换到云服务时存在一定的安全风险，组织及其第三方合作伙伴一定应该了解它们。大多数风险在于云服务配置漏洞，包括密码设置。

多因素身份验证

我们之前多次谈到多因素身份验证，尽管我们可能更关注个人数据安全方面。但是，多因素身份验证对于组织来说也是非常重要的，这不足为奇。实际上，人们普遍认为多因素身份验证是完全摆脱密码的第一步，Microsoft Office 365强烈鼓励它。

但是，Microsoft Office 365和Azure Active Directory（Azure AD）的安全问题是默认情况下不启用管理员帐户的多重身份验证。 Azure AD在Office 365环境中具有全局管理员，这些帐户用于配置其租户并迁移用户。换句话说，全球管理员拥有很多权利。如果默认情况下未启用多重身份验证，则攻击这些帐户也会自动对常规用户造成损害。

邮箱审核

根据组织迁移到Office 365云服务的时间，默认情况下可能启用或禁用邮箱审核。默认情况下启用审核的设置是在2019年1月在Office 365中引入的。如果在此之前创建了Office 365环境，则管理员必须手动启用邮箱审核。 CISA建议保持启用审核日志，因为系统会记录邮箱所有者，管理员和系统内其他用户执行的所有操作。

旧的遗留协议

较旧的邮件客户端使用许多不支持现代身份验证方法的协议。这些协议包括Internet邮件访问协议（IMAP），邮局协议（POP3）和简单邮件传输协议（SMTP）。通常，这些协议被禁用，但如果组织需要较旧的电子邮件客户端，则协议仍然有效. 因此，对于此类客户端，密码仍然是主要的身份验证方法，这会降低帐户安全级别。

通过保留仍需要传统协议的用户列表，可以降低此风险。 CISA还建议使用Azure AD条件访问策略来监视和限制使用传统协议身份验证方法的用户数量。此外，由于此类用户的密码是主要的身份验证方法，因此他们应考虑使用密码管理器工具来提高其密码安全性。

Office 365密码同步

Office 365密码同步问题与Azure AD身份密切相关。可以预先创建Azure AD标识，也可以“内部部署”。当本地环境通过Azure AD Connect与Azure AD集成时，可以将预先创建的AD标识与内部部署AD标识进行匹配。如果身份匹配，则内部部署身份将成为权威身份。这是自动启用的密码同步可能会变得麻烦的地方。想象一下内部部署身份遭到破坏：一旦Office 365密码同步，黑客就会自动进入云环境。

应该注意的是，在2018年10月，Microsoft显示了匹配某些帐户的功能。此外，CISA表示，如果在组织迁移用户之前仔细规划和配置Azure AD Office 365密码同步，则可以降低风险。因此，在最终将电子邮件服务迁移到云之前，公司及其IT部门（或其第三方合作伙伴）应该明确地研究这个潜在的安全问题。

根据您的首选项，您可以选择启用或禁用Office 365密码同步。下面，您将找到这两个操作的指南。请注意，由于在某些情况下Microsoft会自动启用密码同步，因此我们的密码同步指南将包含AdSelfService Plus管理工具，该工具是之前提到的可用于管理Microsoft Office 365帐户的第三方程序之一。

启用Office 365密码同步