ScubaGear项目深度解析：微软托管条件访问策略的技术影响分析

背景概述

微软近期宣布在客户租户中自动部署三项新的托管条件访问策略（Microsoft-managed Conditional Access Policies），这些策略将分阶段实施并默认启用报告模式。作为专注于Microsoft 365安全基准评估的开源工具ScubaGear，需要深入分析这些策略与现有安全基线的交互影响。

策略一：管理员访问门户的多因素认证

技术特性

该策略针对14个高权限Entra ID角色（包括全局管理员、安全管理员等），要求在访问Microsoft管理门户时执行多因素认证（MFA）。值得注意的是：

• 覆盖范围：仅限Microsoft管理门户（如Azure门户）
• MFA强度：未明确指定认证强度等级
• 实施方式：初始为报告模式，90天后自动激活

与Scuba基线的对比分析

Scuba现有策略MS.AAD.3.6v1要求对高权限角色实施钓鱼防护级MFA，且覆盖所有M365应用。技术差异主要体现在：

1. 覆盖范围差异：Scuba策略涵盖更广的应用场景
2. 安全强度差异：Scuba明确要求钓鱼防护级MFA
3. 角色覆盖差异：微软策略包含更多特权角色（14个 vs Scuba定义的9个）

对ScubaGear的影响

工具检测逻辑不受影响，因为：

• ScubaGear的Rego代码检测的是不同的CA配置维度
• 微软策略可作为现有策略的补充层
• 功能测试验证显示所有检测用例结果一致

策略二：按用户MFA的全局覆盖

适用场景

针对特定环境配置：

• 仅适用于Entra ID P1/P2许可租户
• 安全默认策略未启用
• 存在少于500个启用按用户MFA的用户

技术影响评估

当前Scuba基线假设G3/E3以上许可环境，且优先使用条件访问策略。因此：

• 对现有基准无直接影响
• 未来若扩展支持基础版许可环境时需重新评估

策略三：高风险登录的MFA和重认证

核心机制

基于Identity Protection服务，要求：

• 对所有用户生效
• 检测到高风险登录时触发MFA和会话重认证
• 依赖P2许可和全用户MFA注册状态

与Scuba安全策略的对比

Scuba策略MS.AAD.2.3v1采取更严格的阻断措施：

• 行为差异：Scuba直接阻断高风险登录
• 防护强度：微软策略允许认证后访问，可能降低防护效果
• 实施建议：建议禁用微软策略以避免策略冲突

技术建议

1. 角色管理：参考微软14角色列表完善特权角色定义
2. 策略协调：确保微软策略与现有CA策略无功能重叠
3. 检测优化：持续监控策略交互对安全态势的影响
4. 许可规划：保持对基础版许可环境的兼容性设计

结论

微软托管策略的引入为租户安全提供了基础防护层，但企业级安全部署仍需依赖Scuba等定制化安全基准来实现更严格的访问控制。安全团队应当：

• 充分理解策略交互机制
• 建立策略优先级管理流程
• 定期验证整体安全效果