"Azure Active Directory" 是適用于云的標(biāo)識和訪問管理解決方案的下一次革命。
0x00 引言
微軟官方這樣介紹Azure AD——"Azure Active Directory" 是適用于云的標(biāo)識和訪問管理解決方案的下一次革命。所以，Azure AD是什么？如何加入？又如何保障身份認(rèn)證安全性？本篇文章我們將為大家詳細(xì)介紹。
?0x01什么是Azure AD
經(jīng)過之前中安網(wǎng)星的一系列科普，相信大家對AD已經(jīng)不陌生了。在Azure AD出現(xiàn)前，微軟早在 Windows 2000 中就已引入了 Active Directory 域服務(wù)，使組織能夠使用每個(gè)用戶的單一標(biāo)識管理多個(gè)本地基礎(chǔ)結(jié)構(gòu)組件和系統(tǒng)。傳統(tǒng)AD域服務(wù)的核心價(jià)值是提供一套完整的用戶身份驗(yàn)證系統(tǒng)，是一個(gè)基礎(chǔ)身份驗(yàn)證平臺。而在2021年的今天，隨著企業(yè)業(yè)務(wù)場景的擴(kuò)張，AD逐漸不能適應(yīng)高速發(fā)展的企業(yè)IT架構(gòu)變化，微軟也在尋求新的解決方案而推出了Azure AD。

通常，對Azure AD最大的誤解就是把它當(dāng)成云中的 Active Directory，但事實(shí)并非如此，Azure AD的覆蓋范圍更為廣泛。簡而言之，Azure AD不是在Azure云中直接搭建一套AD，而旨在將現(xiàn)有的Active Directory 實(shí)例擴(kuò)展到云。
為了更好地理解 AD 和 Azure AD 的關(guān)系，我們可以看下圖中的微軟的參考架構(gòu)。

Azure AD 通過為組織提供一種適用于在云中和本地所有應(yīng)用的標(biāo)識即服務(wù)解決方案，將目錄服務(wù)方案提升到了一個(gè)新層次。同時(shí)，Azure AD是基于云的身份和訪問管理解決方案，它也可以與本地AD同步，為本地和基于云的系統(tǒng)提供身份驗(yàn)證。Azure AD的應(yīng)用還拓展出以下的功能：

1.Azure AD 通過多重身份驗(yàn)證和無密碼技術(shù)顯著的提高了密碼安全性。

在AD中的憑據(jù)是基于密碼、證書或智能卡的身份驗(yàn)證，通過密碼策略來管理密碼的長度、到期時(shí)間和復(fù)雜性，以此確保AD中密碼的安全性；而在Azure AD中對云和本地使用智能密碼保護(hù)，Azure AD通過多重身份驗(yàn)證和無密碼技術(shù)顯著的提高了密碼安全性，同時(shí)也為用戶提供了自助重置密碼的功能來提升用戶體驗(yàn)，降低技術(shù)支持成本。

2.Azure AD訪問本地應(yīng)用的方式產(chǎn)生變化

AD當(dāng)中大多數(shù)本地應(yīng)用都使用LDAP、NTLM或kerberos協(xié)議來控制用戶的訪問。Azure AD則可使用在本地運(yùn)行的Azure AD應(yīng)用程序代理程序來訪問這些類型的本地應(yīng)用。

3.?Azure AD完全基于云

Azure AD 的優(yōu)勢在于它完全基于云所提供的靈活性。這意味著它既可以充當(dāng)組織的唯一目錄，也可以通過 Azure AD Connect 與本地AD目錄服務(wù)同步。無論采取哪種方式，它都使本地和基于云的用戶能夠訪問相同的應(yīng)用程序和資源，同時(shí)受益于諸如單點(diǎn)登錄 (SSO)、多重身份驗(yàn)證 (MFA)、條件訪問等功能。更重要的是，它提供了一個(gè)單一位置來管理整個(gè) IT 資產(chǎn)中的身份、安全性和合規(guī)性控制。

0x02 如何加入Azure AD

Azure AD提供了廣泛的功能以簡化和集中管理，同時(shí)也集成了跨環(huán)境的應(yīng)用程序，下面介紹如何將一臺設(shè)備加入Azure AD。

以下步驟都建立在已注冊了一個(gè)Azure AD賬號的基礎(chǔ)上。

登錄Azure AD ，設(shè)備中可以看到目前還沒有設(shè)備加入Azure AD。

在系統(tǒng)設(shè)置中，找到連接工作或?qū)W校賬戶，點(diǎn)擊連接來加入Azure AD。

在彈出的頁面點(diǎn)擊將此設(shè)備加入Azure Active Directory。

輸入Azure AD的賬號密碼后，確認(rèn)無誤后點(diǎn)擊加入。

加入后即可看到組織名稱。

在加入Azure AD后即可在Azure 的web頁面里看到設(shè)備信息。

注銷后用Azure AD賬戶登錄。

登陸后需要設(shè)置一些驗(yàn)證方式。

如果需要進(jìn)行二次認(rèn)證的話，在進(jìn)行二次認(rèn)證之后，即可設(shè)置解鎖這臺設(shè)備的pin碼。

設(shè)置好后，現(xiàn)在就已經(jīng)可以通過Azure AD的賬戶登入這臺機(jī)器了。

0x03 Azure AD 身份認(rèn)證安全性

Azure AD 的主要功能之一，是在用戶登陸設(shè)備、應(yīng)用程序或服務(wù)時(shí)進(jìn)行直接驗(yàn)證或驗(yàn)證憑據(jù)。如果只使用密碼對用戶進(jìn)行身份驗(yàn)證，換言之，攻擊者若通過爆破或抓取的方式獲取到用戶密碼，也一樣可以憑用戶本人的信息登錄，這也是AD域的弱點(diǎn)之一。

因此為了提高安全性并減少對技術(shù)支持的需求，Azure AD身份驗(yàn)證包括以下組件：

• 自助服務(wù)密碼重置

• 支持在自助服務(wù)平臺進(jìn)行密碼重置，減少管理員的工作量。

• 條件訪問

• 通過使用條件訪問策略，可以在需要時(shí)應(yīng)用正確的訪問控制，以確保組織安全。

圖源微軟官方文檔

• 無密碼認(rèn)證

• 使用無密碼方法登錄時(shí)，憑據(jù)通過使用 Windows Hello 企業(yè)版生物識別或 FIDO2 安全密鑰等方法提供。攻擊者無法輕易復(fù)制這些身份驗(yàn)證方法。

• 將密碼更改寫回本地AD

• 密碼寫回可用于將 Azure AD 中的密碼更改同步回本地 AD DS 環(huán)境。Azure AD Connect 提供了一種安全機(jī)制，可將這些密碼更改從 Azure AD 發(fā)送回現(xiàn)有的本地目錄。
  

0x04 總結(jié)

總體來說，Azure AD是微軟對傳統(tǒng)AD的演進(jìn)，引進(jìn)了很多新的思想理念，比如無密碼的概念、條件訪問的概念，這也是身份驗(yàn)證的未來，但是純云化的環(huán)境需要企業(yè)將核心數(shù)據(jù)托管在微軟的Azure上，對于企業(yè)而言，面臨著監(jiān)管以及合規(guī)的挑戰(zhàn)。