解锁 Active Directory 用户帐户

域中的用户帐户锁定是用户联系技术支持团队的最常见原因之一。在大多数情况下,锁定是由于用户忘记密码或应用程序在用户更改密码后尝试使用以前的(已保存的)密码进行身份验证而导致的。

Active Directory 中的帐户锁定策略

Active Directory 域的默认安全策略中启用了用户帐户锁定。

通常,用户锁定设置在

GPO(配置 -> Windows 设置 -> 安全 设置 -> 帐户 策略 -> 帐户 锁定 政策)。有以下三种选择:

如何逐步从本地 AD 迁移到 Azure

从本地 AD 服务器迁移到 Azure AD 加入的设备是任何不再需要快速、低延迟访问的企业的常见方案数据并已投资于 Microsoft 365。

这可能意味着公司的所有业务应用程序都可以通过 Web 访问,并且可以通过 Microsoft Teams 和 SharePoint 等平台保存信息并进行协作。

在这篇文章中,我将向您展示如何逐步将本地 AD 迁移到 Azure。

在这里,我们将讨论一个假设的场景,即一家想要进行这种转变并完成整个过程的企业。然后,我们将详细说明从开始到结束的规划步骤,这将使我们能够转向基于工作的现代解决方案。

AD迁移场景

Our

阅读更多 →

什么是 Azure 活动目录?一个简单的演练

Azure Active Directory 是 Microsoft 基于企业云的目录服务,用于身份和访问管理。它用于在 Microsoft Azure 云平台上为用户提供自己的身份,并提供对 Azure 门户、软件即服务应用程序和 Microsoft 365 系统等资源的访问。

不要与 Microsoft 在 Windows 2000 中引入的传统本地 Active Directory 域服务混淆,Azure Active Directory 构建在 Microsoft 的 Azure 基础架构之上,是他们自己的身份即服务解决方案 (IDaas)。然而,您通常会发现它们的工作非常紧密。

Azure Active Directory 还可用于通过称为单点登录的方法为其他第 3 方应用程序提供统一的登录体验。这允许组织的管理员允许用户使用其 Azure Active Directory 帐户的用户名和密码登录其他应用程序。

页面内容

Azure Active Directory Premium P1 许可证,我们需要吗?

Azure Active Directory Premium P1 许可证在 Microsoft 365 订阅中包含的免费套餐上提供了额外的身份管理功能。在本文中,我们将帮助您了解是否需要投资 Azure Active Directory Premium P1 许可证以及原因。

Azure Active Directory 高级版 P1

现在让我们看一下 Azure Active Directory Premium P1 许可证以及它可以为您的组织提供什么。首先你应该知道它的价格是多少?截至 2021 年,价格为每位用户每月 6 美元。或者以英镑计算,每位用户每月 4.50 英镑。如果您正在阅读这篇文章并且不是 2021 年,请查看 Microsoft 定价页面以获取最准确的定价信息 https://azure.microsoft.com/en-gb/pricing/details/active-directory/。

Azure Active Directory Premiu

阅读更多 →

如何在 Azure Active Directory 中启用安全默认设置

打开安全默认值是保护组织的一种简单方法,因为它包含在 Azure Active Directory 的免费层中。这意味着无论您拥有 Azure 或 Microsoft 365 的哪种许可证,您都可以在租户中启用安全默认值。

启用安全默认值将执行以下操作:

  • 它要求租户中的所有用户和管理员使用 Microsoft Authenticator 应用注册 MFA。 (这比使用第三方应用程序或通话/短信方法更安全)。
  • 它为所有不支持现代身份验证的应用程序禁用旧协议(基本身份验证)。
  • 它要求管理员或具有特权角色的用户提供不止一种类型的身份验证。
  • 当用户登录新设备或应用程序时,它会更频繁地向用户发出 MFA 挑战。

在 Azure Active Directory 中打开安全默认值

  • 首先登录 Azure Active Directory 管理中心 (https://aad.portal.azure.com/

    阅读更多 →

如何在 Azure Active Directory 中创建条件访问策略

在这篇文章中,我将讨论什么是条件访问策略以及它们如何保护您的组织。然后,我们将完成通过 Azure Active Directory 创建条件访问策略的过程。

如果你想了解如何使用 PowerShell 创建条件访问策略,以便自动化或简化该过程,请查看我的教程:使用 PowerShell 创建 Azure AD 条件访问策略。

我需要什么许可证才能使用条件访问?

要使用条件访问,所有用户都必须获得 Azure Active Directory Premium 计划 1 的许可。如果你现在拥有适当的许可,则应考虑在你的环境中启用安全默认值,因为它是免费的。请参阅:如何在 Azure Active Directory 中启用安全默认值

什么是 Azure Active Directory 中的条件访问?

条件访问策略是一组 if-then 语句,您可以使用它们根据您定义的条件允许用户访问租户内的某些资源

阅读更多 →

在 Active Directory 中查找密码设置为永不过期的用户

在尝试改善 Active Directory 环境的安全状况时,您应该执行的标准检查是确保您对将密码设置为不过期的任何帐户都有有效的推理。 您还应确保用户使用的任何日常帐户均符合您的密码政策,且未设置为永不过期。

在本教程中,我将向您展示如何使用 PowerShell 查找 Active Directory 中设置为不过期的所有帐户。

查找密码设置为永不过期的所有用户

如果您想查找密码设置为永不过期的所有用户帐户的列表,您可以在 PowerShell 中运行以下脚本。

首先从域控制器打开 PowerShell,这将确保已安装必要的管理工具来运行这些命令。

运行以下命令可查看密码设置为永不过期的所有 Active Directory 用户的列表。这将显示用户名的结果以及该帐户是否已启用,了解这一点很有用。

Get-ADUser -Properties Pass

阅读更多 →

如何在 Azure Active Directory 中创建密码策略

与在本地 Active Directory 中使用的密码策略相比,Azure AD 中的密码策略的工作方式略有不同,因为无法直接控制复杂性要求。但是,与 Active Directory 类似,密码策略仍然允许您定义密码长度和锁定条件,并提供其他功能,包括自定义禁止密码列表。

在本教程中,我将向您展示如何修改 Azure Active Directory 中的密码策略并提高其安全性。

默认的 Azure AD 密码策略是什么?

应用于所有基于云的用户帐户的默认密码策略不能修改超出我将在本教程中向您介绍的可编辑选项。您可以在下面看到内置 Azure AD 密码策略的默认设置。

Characters allowed

A - Za - z0 - 9@ # $% ^& * - _ ! +=[ ] { } |\: ' , . ? /`~”(); < >空格

Chara

阅读更多 →

使用 Microsoft Graph PowerShell 关闭目录同步

关闭本地目录和 Azure Active Directory 之间的目录同步是支持 Microsoft 365 租户到租户迁移、收购和合并以及基础设施现代化等工作的关键步骤。

这样做将停止本地基础设施及其依赖之间的任何身份同步,最常用于在传统 Active Directory 和 Azure Active Directory 之间同步密码和密码策略、组、资源帐户和相关对象。

最初的目标是为最终用户创建跨服务的无缝身份验证体验,并为管理员提供简单的管理方法。然而,基于云的现代身份管理方法不会也不应该涉及本地目录

在本教程中,我将向您展示如何使用 Microsoft Graph PowerShell 关闭目录同步 (Azure AD Connect)。

使用 Get-MgOrganization 查看当前目录同步设置

Get-MgOrganization 用于查看有关您的组

阅读更多 →

如何简化 Microsoft Graph PowerShell 与 PIM 的使用

与使用 Azure AD 和 MSOnline 等旧模块相比,在 Microsoft Graph PowerShell 中使用权限无疑会增加复杂性。

从历史上看,如果您想要管理 Azure AD 中的资源,您可以连接到 PowerShell 中的 Azure AD 模块,并立即获得会话权限,完全在您的用户权限上下文中。虽然 Microsoft Graph PowerShell 仍然如此,但您还需要显式指定满足当前会话要求所需的 Microsoft Graph API 权限。这通常会导致使用全局管理员帐户,并且可能对当前任务具有不必要的高权限。

一种选择可能是让管理员提前向您的 Microsoft Entra 应用程序授予所有必要的权限,但是,由于需求不断变化,这可能不可行。

在这篇文章中,我将部署一个替代解决方案,该解决方案利用 Directory.AccessAsUser.All 权限和特权身份管理 (PIM)

了解解决方案

目标是创建一个更简单的 Micr

阅读更多 →