Azure 抵扣券 Azure微软云账号安全加固

你有没有试过凌晨三点被短信轰炸——不是催你还花呗，而是Azure发来一条：「检测到您的全局管理员账号在哈萨克斯坦阿拉木图登录」？

别慌，这不是黑客在演《谍影重重》，而是你的Azure账号在替你默默认领了「裸奔勋章」。

微软云不是U盘插上就能用的玩具，它是企业数字心脏的起搏器。一个弱密码+无MFA的全局管理员账号，等于把公司服务器机房的钥匙、门禁卡、监控密码本，全塞进一个没锁的透明玻璃盒，还摆在前台茶水间里——还贴心配了张小纸条：「欢迎自取，谢绝拍照」。

所以今天咱们不聊「为什么重要」，直接上菜：Azure账号安全加固，七步实操，刀刀见血，句句带命令。

第一步：MFA？不，是「MFA必须」——且带紧急访问兜底

别信「我记性好」「我用密码管理器」这种自我感动式宣言。Azure AD默认允许绕过MFA？立刻关掉！执行这条PowerShell（以全局管理员身份）：

Connect-AzureAD
Set-AzureADTenantDetail -ObjectId <tenant-id> -AuthenticationPolicy @{
  "IsMfaEnforced" = $true;
  "IsMfaRequiredForAdmins" = $true
}

但光开MFA还不够——得防「管理员自己被锁门外」。务必配置紧急访问（Emergency Access）账号：新建一个仅含Global Reader权限的账号（别叫admin-emergency，叫lunch-break-001更安全），禁用所有应用、关闭邮件转发、绑定物理FIDO2密钥，并把密钥锁进保险柜，钥匙交HR+CTO双人保管。它不该是「备用号」，而是「最后火种」。

第二步：条件访问——给权限装上红绿灯

MFA只是入口闸机，条件访问（Conditional Access）才是整条街的交通管制系统。别再写「禁止高危地区登录」这种模糊策略——Azure根本不认「高危地区」这种玄学词。

真实策略长这样：
✅ 规则名：Block-Non-Corporate-Devices
✅ 用户组：All users（除紧急访问账号）
✅ 条件：设备平台 ≠ Windows/macOS/iOS/Android（即拦截Linux CLI、Postman、curl直连）
✅ 接入控制：要求MFA + 设备已加入Azure AD + 应用合规状态为「合规」

重点来了：别忘了加一条「Allow-Admin-MFA-Only-From-VPN」——全球管理员只能通过企业IP段+已验证MFA登录，其他任何方式一律拒绝。这招专治「半夜被钓鱼链接骗点授权」的悲剧。

第三步：砍掉「上帝权限」——用PIM管好特权时刻

全局管理员不是终身制VIP，是限时体验卡。停用永久分配！启用Privileged Identity Management（PIM）后，所有特权角色（Global Admin、Security Admin等）必须「申请→审批→激活→自动过期」。

设置建议：
• 激活时长：≤4小时（真要修半夜故障？先走审批流）
• 多重审批：至少2人（比如IT主管+安全官）
• 激活前强制MFA+设备合规检查
• 每次激活自动邮件通知安全团队（别用Teams机器人，容易被静音）

顺手把Service Administrator（经典订阅管理员）权限也收掉——它不走PIM，不支持MFA，是纯正历史遗留漏洞。

第四步：服务主体？不是「免密通行证」，是「一次性临时工」

CI/CD流水线、自动化脚本爱用服务主体（Service Principal），但很多人给它Global Reader权限还配个永不过期的密钥——相当于给清洁工配了金库大门遥控器。

正确姿势：
• 权限最小化：用Azure Policy限制SP只能读特定资源组
• 密钥生命周期：用Azure Key Vault + Automation Account设定时任务，每30天自动轮换密钥并更新应用配置
• 禁用证书认证（除非绝对必要）：证书比密钥更难审计，泄露后更难吊销

查隐患命令：
az ad sp list --all --query '[?appOwnerTenantId==`your-tenant-id`].[appId,displayName,appOwnerTenantId]' -o table

Azure 抵扣券 第五步：日志不是摆设——把Sign-In Logs变成「保安巡逻记录本」

Azure Activity Log只记「谁删了VM」，Sign-In Logs才记「谁用什么设备、在哪、几点、输错几次密码、是否绕过MFA」。但默认保留90天？不够！

立刻做三件事：
1. 将Sign-In Logs导出到Log Analytics工作区（别用Storage Account存原始日志，查起来像考古）
2. 创建警报规则：「单用户1小时内失败登录≥5次」→ 触发Teams通知+自动冻结该账号
3. 每周一晨会，让安全专员朗读TOP3异常登录（如：「张三账号昨夜2:17从伊朗IP尝试登录，已冻结」）——仪式感拉满，震慑力翻倍

第六步：密码策略？不，是「密码+密钥」双牢笼

Azure AD密码策略早该退休了。真正有效的，是：
• 强制使用FIDO2安全密钥（YubiKey Nano）作为主认证方式
• 禁用短信验证码（SIM劫持太容易）
• 关闭「记住设备」选项（尤其对管理员）
• 启用「智能密码防护」（Smart Lockout）：输错6次锁定1分钟，第7次直接触发人工审核

顺便检查：有没有人还在用「Password123!」当服务账户密码？请立刻把它写进公司《年度笑点白皮书》。

第七步：演练！演练！还是演练！

安全策略写得再漂亮，不练就是废纸。每季度搞一次「红蓝对抗」：
• 蓝队（IT）模拟被钓鱼：故意点测试钓鱼邮件，看能否成功申请PIM权限
• 红队（安全）模拟入侵：用泄露的开发者SP密钥横向移动，能否拿到Key Vault中生产数据库密码
• 复盘会不许说「下次注意」，必须输出：「第X步策略缺失→补丁上线时间→责任人签字」

最后送你一句大实话：
安全不是买一堆功能堆出来的，是每天砍掉一个「方便」、堵住一个「万一」、多问一句「这真的必要吗？」熬出来的肌肉记忆。

你的Azure账号，现在敢不敢让它独自去夜市吃烧烤？

（如果答案是「不敢」——恭喜，你已经走在加固路上了。）