您應該在Microsoft Office 365上啟用還是禁用“密碼同步”?

如果您正在經營一家公司,那麼當您聽到“密碼”這個詞時,您可能會感到頭疼。這很難保留個人密碼,因此處理多個公司密碼是一項巨大的挑戰。為了使事情變得更容易,公司依靠Microsoft Office 365等雲服務來管理他們的電子郵件帳戶。

但是,這些服務不是防故障的。我們想提請您注意美國國土安全部網絡安全和基礎設施安全局(CISA)發布的安全分析報告 。我們將介紹報告中指出的所有漏洞,然後重點關注Office 365密碼同步問題。

Microsoft Office 365安全挑戰

將電子郵件服務遷移到雲在組織中變得越來越普遍。如果他們擁有獨立且稱職的IT部門,他們可能會單獨遷移服務,或者他們可能會聘請第三方公司幫助他們這樣做。 CISA在其報告中指出,在轉換到雲服務時存在一定的安全風險,組織及其第三方合作夥伴一定應該了解它們。大多數風險在於雲服務配置漏洞,包括密碼設置。

多因素身份驗證

我們之前多次談到多因素身份驗證 ,儘管我們可能更關注個人數據安全方面。但是,多因素身份驗證對於組織來說也是非常重要的,這不足為奇。實際上,人們普遍認為多因素身份驗證是完全擺脫密碼的第一步,Microsoft Office 365強烈鼓勵它。

但是,Microsoft Office 365和Azure Active Directory(Azure AD)的安全問題是默認情況下不啟用管理員帳戶的多重身份驗證。 Azure AD在Office 365環境中具有全局管理員,這些帳戶用於配置其租戶並遷移用戶。換句話說,全球管理員擁有很多權利。如果默認情況下未啟用多重身份驗證,則攻擊這些帳戶也會自動對常規用戶造成損害。

郵箱審核

根據組織遷移到Office 365雲服務的時間,默認情況下可能啟用或禁用郵箱審核。默認情況下啟用審核的設置是在2019年1月在Office 365中引入的。如果在此之前創建了Office 365環境,則管理員必須手動啟用郵箱審核。 CISA建議保持啟用審核日誌,因為系統會記錄郵箱所有者,管理員和系統內其他用戶執行的所有操作。

舊的遺留協議

較舊的郵件客戶端使用許多不支持現代身份驗證方法的協議。這些協議包括Internet郵件訪問協議(IMAP),郵局協議(POP3)和簡單郵件傳輸協議(SMTP)。通常,這些協議被禁用,但如果組織需要較舊的電子郵件客戶端,則協議仍然有效. 因此,對於此類客戶端,密碼仍然是主要的身份驗證方法,這會降低帳戶安全級別。

通過保留仍需要傳統協議的用戶列表,可以降低此風險。 CISA還建議使用Azure AD條件訪問策略來監視和限制使用傳統協議身份驗證方法的用戶數量。此外,由於此類用戶的密碼是主要的身份驗證方法,因此他們應考慮使用密碼管理器工具來提高其密碼安全性。

Office 365密碼同步

Office 365密碼同步問題與Azure AD身份密切相關。可以預先創建Azure AD標識,也可以“內部部署”。當本地環境通過Azure AD Connect與Azure AD集成時,可以將預先創建的AD標識與內部部署AD標識進行匹配。如果身份匹配,則內部部署身份將成為權威身份。這是自動啟用的密碼同步可能會變得麻煩的地方。想像一下內部部署身份遭到破壞:一旦Office 365密碼同步,黑客就會自動進入雲環境。

應該注意的是,在2018年10月,Microsoft顯示了匹配某些帳戶的功能。此外,CISA表示,如果在組織遷移用戶之前仔細規劃和配置Azure AD Office 365密碼同步,則可以降低風險。因此,在最終將電子郵件服務遷移到雲之前,公司及其IT部門(或其第三方合作夥伴)應該明確地研究這個潛在的安全問題。

根據您的首選項,您可以選擇啟用或禁用Office 365密碼同步。下面,您將找到這兩個操作的指南。請注意,由於在某些情況下Microsoft會自動啟用密碼同步,因此我們的密碼同步指南將包含AdSelfService Plus管理工具,該工具是之前提到的可用於管理Microsoft Office 365帳戶的第三方程序之一。

啟用Office 365密碼同步

  1. 登錄AdSelfService Plus管理員帳戶。
  2. 打開配置並轉到自助服務
  3. 選擇密碼同步器
  4. 單擊Office 365 / Azure鏈接。
  5. 在配置頁面上選擇Password Synchronizer模塊。
  6. 鍵入Office 365 / Azure帳戶的域名
  7. 輸入Office 365 / Azure帳戶的用戶名密碼
  8. 輸入配置說明
  9. 選擇自助服務策略 ,然後單擊“ 保存”

禁用Office 365密碼同步

  1. 啟動Azure AD Connect ,然後單擊“ 配置”
  2. 選擇“ 自定義同步選項”
  3. 轉到可選功能
  4. 清除密碼同步複選框。
  5. 保存更改。

最重要的是,組織安全級別很大程度上依賴於共同努力. 可能存在與Microsoft Office 365相關的某些安全風險以及將您的電子郵件服務遷移到雲,但這些風險可以通過立即和全面的操作來處理。

最終,您可以決定是否同步Office 365密碼。但是,強烈建議您在進行徹底的安全性分析後做出此類決定。如果您認為在分析此類功能時您的IT部門可能缺少重要方面,您也可以諮詢獨立專家。

July 16, 2019

發表評論

重要!若要繼續到下一步,請完成以下簡單的數學問題。
Please leave these two fields as is:
2 + 9是什麼?