Microsoft Entra GA 合作伙伴集成：新增 WAF、Bot 防护与政府 ID 恢复

引言：为什么这很重要

身份攻击正日益瞄准完整的用户旅程——注册、登录与恢复——而不仅仅是身份验证本身。Microsoft Entra 新发布的 GA 合作伙伴集成值得关注，因为它们将更强的控制与更快的采用结合起来：管理员可以直接在 Entra 门户（以及通过 Microsoft Security Store）发现、购买并部署部分合作伙伴解决方案，避免了传统自定义集成、漫长的实施周期或定制合同带来的摩擦。

新增内容（GA）：面向身份安全的集成式合作伙伴解决方案

Microsoft Entra 现提供产品内集成，在关键身份触点上实现分层防护：

1) 面向身份验证端点的边缘级 WAF 防护

• 合作伙伴： Cloudflare 和 Akamai
• 场景： 保护对外暴露的身份验证端点，抵御 DDoS、OWASP Top 10 风险与 malicious bots。
• 架构（分层）： 流量经由 Cloudflare/Akamai WAF → Azure Front Door → Microsoft Entra External ID tenant。
• 价值： 在更早阶段（边缘侧）阻断威胁，降低请求抵达身份基础设施前的负载与风险。

2) 注册阶段的欺诈防护（CIAM）

• 合作伙伴： Arkose Labs 和 HUMAN Security
• 场景： 在 Microsoft Entra External ID 的注册流程中加入 risk-based screening 与 adaptive challenges。
• 价值： 在尽量减少合法用户摩擦的同时，提升对自动化批量注册与欺诈的抵抗力。

3) 使用政府 ID 验证实现更强的帐户恢复与安全访问

• 合作伙伴： Au10tix、IDEMIA 和 TrueCredential（LexisNexis）
• 场景： 以 government ID document verification 与 privacy-protecting face biometrics 替代较弱的恢复方式（例如安全问题），用于 Entra ID account recovery。
• 扩展： 同一验证流程也可用于 Access Packages，以支持对敏感资源的更高保障级别请求。
• 后续收益： 用户可在完成验证后注册 passkeys，减少未来被锁定的概率。

对 IT 管理员与终端用户的影响

对管理员：

• 在 Entra 体验内直接完成合作伙伴防护方案的上手与配置，速度更快。
• 在 CIAM 与企业员工身份场景中实现更一致的纵深防御，并更清晰地落位控制点（边缘 WAF、注册防护、恢复保障）。
• 通过 Microsoft Security Store 实现集中式获取与部署，降低采购与集成开销。

对终端用户：

• 更好地防护帐户接管与欺诈性注册，减少破坏性事件。
• 提供更高保障级别的恢复选项，安全性可能优于传统恢复方式。

行动项 / 后续步骤

1. 审视身份边界：识别哪些应用/租户使用 Microsoft Entra External ID，以及哪些端点对外暴露。
2. 试点边缘防护：评估在 External ID 入口点之前部署 Cloudflare/Akamai WAF（尤其适用于高访问量的公网应用）。
3. 加固注册流程：在 CIAM 场景中，测试 Arkose Labs 或 HUMAN 集成，以降低 Bot 驱动的注册。
4. 现代化恢复方式：评估 government ID verification 是否适配你的法规、隐私与用户群体；规划沟通与支持。
5. 运营化落地：更新事件响应手册与监控，将边缘/WAF 与欺诈信号纳入 Entra 登录日志的联动分析。

参考文档（来自 Microsoft）： Cloudflare/Akamai WAF 设置、Arkose/HUMAN 欺诈防护集成，以及 Entra ID 帐户恢复指南。