快速入口: Teams官网 | Teams下载 | Teams网页版登录
微软在 Microsoft Entra 条件式访问(Conditional Access)中引入了一项新功能——令牌保护(Token Protection)。
这项安全功能将身份验证令牌绑定到受信任的设备,从而帮助组织抵御最危险的攻击向量之一——令牌窃取攻击。
令牌保护如何防止令牌窃取攻击?
具体来说,令牌保护会将身份验证令牌绑定到其签发时所在的设备,如果令牌被窃取或复制到另一台设备上,则无法使用。
它通过将令牌加密绑定到设备的客户端机密来防止被盗用。
微软解释道:
“当用户在 Microsoft Entra 中注册一台 Windows 10 或更高版本设备时,系统会签发一个 PRT(Primary Refresh Token,主刷新令牌),并将其加密绑定到该设备。这种绑定确保即使威胁行为者窃取了令牌,它也无法在另一台设备上使用。在强制执行令牌保护时,Microsoft Entra 会验证仅有这些绑定的登录会话令牌才能在受支持的应用中使用。”
适用范围
管理员可以在 SharePoint Online、Exchange Online 和 微软Teams 资源上强制实施令牌保护策略。
它还支持多种 Microsoft 365 应用,包括 OneDrive 同步客户端 和 Teams 原生客户端。
许可和设备要求
一、许可证要求:需要 Microsoft Entra ID P1 许可证。
二、设备要求:
1.Windows 10 或更高版本(设备需为 Entra 加入、混合加入或已注册)。
2.Windows Server 2019 或更高版本(需为混合 Entra 加入)。
不受支持的场景
令牌保护功能 不支持:
1.Surface Hub
2.Microsoft Teams Rooms
3.部分PowerShell 模块
4.Office 永久版客户端
5.PowerQuery
6.部分 Visual Studio Code 插件
它也不支持以下设备注册方法:
1.Azure VM 扩展
2.批量注册(bulk enrollment)
3.Autopilot 自部署模式
部署建议
微软建议 IT 管理员 逐步推行该策略:
1.先从试点用户组开始;
2.使用 仅报告模式(report-only mode) 跟踪影响;
3.定期检查登录日志,确认兼容性并发现潜在问题;
4.谨慎配置条件访问策略,避免阻止合法用户。
延伸阅读 #
- 黑客滥用Microsoft Teams投递基于PowerShell的远程访问恶意软件
- Teams社区运营秘籍:利用新功能提升群组活跃度与参与感
- 攻击者利用Teams等软件冒充传播ScreenConnect恶意软件
常见问题(FAQ) #
- 问:如何快速开始使用Teams? 答:通过“快速入口”完成下载/登录,创建团队与频道开始沟通与协作。
- 问:Teams支持哪些平台? 答:Windows、macOS、Android、iOS、Web全平台覆盖。
- 问:如何获取帮助与支持? 答:访问微软官方支持或查看站内“延伸阅读”文章。