ScubaGear项目中关于Azure AD域密码策略检测的优化方案

背景介绍

ScubaGear是一款用于评估Microsoft 365安全配置的开源工具，其中包含对Azure Active Directory(Azure AD)各项安全策略的检测功能。在最新版本中，开发团队发现了一个关于域密码策略检测的重要问题。

问题发现

在MS.AAD.6.1检测项中，工具会检查Azure AD域中的密码过期策略设置。然而，当遇到联合认证(Federated)的域时，这些域并不包含passwordNotificationWindowInDays和passwordValidityPeriodInDays这两个字段，因为密码策略实际上是由本地身份提供者(如ADFS)管理的。

技术分析

Azure AD支持两种主要类型的域认证方式：

1. 托管认证(Managed)：密码策略完全由Azure AD管理
2. 联合认证(Federated)：认证过程委托给外部身份提供者(如ADFS)

在联合认证场景下，密码策略(包括过期时间、通知窗口等)实际上是在本地身份提供者上配置的，Azure AD不会存储这些信息。因此，直接对这些域进行密码策略检查会导致误报。

解决方案

开发团队经过讨论后确定了以下优化方案：

1. 修改检测逻辑，只对认证类型为"Managed"的域进行密码策略检查
2. 对于"Federated"类型的域，自动跳过相关检查
3. 在检测报告中明确注明联合认证域的密码策略由外部身份提供者管理

实现细节

在技术实现上，主要修改了Rego策略代码，增加了对authenticationType字段的过滤条件。只有当域的authenticationType为"Managed"时，才会执行密码策略的合规性检查。

相关考虑

值得注意的是，每个Azure AD租户至少会有一个托管域(通常是onmicrosoft.com域)，这是Microsoft 365注册时自动创建的且不可删除的默认域。这一特性保证了检测逻辑始终有至少一个有效的检测目标。

总结

这次优化使ScubaGear工具能够更准确地反映Azure AD的实际安全配置状况，避免了在联合认证场景下的误报问题。对于使用混合身份认证的企业，这一改进尤为重要，它确保了工具能够正确识别由本地身份提供者管理的密码策略。