Compass Security 的安全研究人员近日向企业管理员发出警告:在实际的安全评估中,由于 Microsoft Entra ID 的“条件访问”(Conditional Access)策略设计不当,许多关键身份正处于缺乏保护的状态。
在近期的一项技术分析中,研究员 Christian Feuchter 发现了若干反复出现的配置错误,这些错误能够绕过多因素身份验证 (MFA) 和设备限制等预设的安全控制措施。
许多企业试图通过针对特定用户组来保护高价值账户。然而,Feuchter 发现,管理员经常未能将所有相关用户纳入这些受控组中,导致部分员工完全脱离了安全策略的监管范围。
目标范围漏洞与配置盲点
当管理员针对特定的 Entra ID 角色进行配置时,也存在类似的漏洞。研究指出,特权角色往往被排除在保护策略之外,尤其是在这些角色被限定在特定的“管理单元”(Administrative Units)时。
Feuchter 指出了微软的一个特定局限性:条件访问的角色目标识别功能无法识别“范围化”的角色分配。这意味着,如果一名“用户管理员”的角色被限制在某个特定单元内,该用户可能会绕过旨在保护所有管理员的既定策略。
此外,如果安全策略过于局限于特定资源,也会产生安全缺口。例如,如果仅针对 Microsoft 管理门户强制执行抗钓鱼 MFA,那么当管理员通过 Microsoft Graph API 执行敏感操作时,可能无法获得应有的保护。
过度复杂的策略设置同样会削弱安全防御能力。由于 Entra ID 并不遵循“默认拒绝”模型,因此添加过多的条件(如特定的网络位置或设备平台)反而会减少该策略所覆盖的身份验证事件数量。
策略中每增加一个条件,其覆盖范围就会随之缩小;如果一次登录行为未能触发这些特定的、高度细分的标准,就可能导致未经授权的访问。
