ค่าเริ่มต้นของแผนความปลอดภัย

  • 2 นาที

การจัดการความปลอดภัยอาจเป็นเรื่องยากด้วยการโจมตีที่เกี่ยวข้องกับข้อมูลประจําตัวทั่วไป เช่น การพ่นด้วยรหัสผ่าน การเล่นซ้ํา และฟิชชิ่งจะกลายเป็นเรื่องยอดนิยมมากขึ้น ค่าเริ่มต้นความปลอดภัยจะให้การตั้งค่าเริ่มต้นที่ปลอดภัยที่ Microsoft จัดการในนามขององค์กรเพื่อให้ลูกค้าปลอดภัยจนกว่าองค์กรพร้อมที่จะจัดการเรื่องราวความปลอดภัยของข้อมูลประจําตัวของตนเอง ค่าเริ่มต้นของความปลอดภัยจะมีการตั้งค่าความปลอดภัยที่กําหนดไว้ล่วงหน้า เช่น:

  • ผู้ใช้ทั้งหมดจําเป็นต้องลงทะเบียนสําหรับการรับรองความถูกต้องแบบหลายปัจจัย

  • ผู้ดูแลระบบจําเป็นต้องดําเนินการรับรองความถูกต้องแบบหลายปัจจัย

  • บล็อกโพรโทคอลการรับรองความถูกต้องแบบดั้งเดิม

  • ผู้ใช้จําเป็นต้องดําเนินการรับรองความถูกต้องแบบหลายปัจจัยเมื่อจําเป็น

  • การปกป้องกิจกรรมที่มีสิทธิ์พิเศษ เช่น การเข้าถึงพอร์ทัล Azure

    สกรีนช็อตของศูนย์การจัดการ Microsoft Entra ด้วยการสลับเพื่อเปิดใช้งานค่าเริ่มต้นการรักษาความปลอดภัย

ความสะดวก

ทุกคนสามารถใช้ค่าเริ่มต้นการรักษาความปลอดภัยของ Microsoft ได้ เป้าหมายคือเพื่อให้แน่ใจว่าองค์กรทั้งหมดมีระดับพื้นฐานของการรักษาความปลอดภัยที่เปิดใช้งานโดยไม่มีค่าใช้จ่ายเพิ่มเติม ถ้าผู้เช่าของคุณถูกสร้างขึ้นในหรือหลังวันที่ 22 ตุลาคม 2019 ค่าเริ่มต้นด้านความปลอดภัยอาจถูกเปิดใช้งานแล้ว เพื่อปกป้องผู้ใช้ทั้งหมด ค่าเริ่มต้นด้านความปลอดภัยจะถูกเปิดใช้งานในผู้เช่าใหม่ทั้งหมดเมื่อสร้าง

เมื่อต้องการเปิดหรือปิดใช้งานค่าเริ่มต้นด้านความปลอดภัย ให้ลงชื่อเข้าใช้ศูนย์การจัดการ Microsoft Entra ในฐานะผู้ดูแลระบบการเข้าถึงแบบมีเงื่อนไขเป็นอย่างน้อย จากนั้นเรียกดูคุณสมบัติ>>เลือก จัดการค่าเริ่มต้นความปลอดภัย

นั่นสําหรับใคร?

ใครควรใช้ค่าเริ่มต้นของความปลอดภัย ใครไม่ควรใช้ค่าเริ่มต้นของความปลอดภัย
องค์กรที่ต้องการเพิ่มท่าทางความปลอดภัย แต่ไม่ทราบว่าจะเริ่มต้นอย่างไรหรือจะเริ่มต้นอย่างไร องค์กรที่ใช้นโยบายการเข้าถึงตามเงื่อนไขในปัจจุบันเพื่อรวมสัญญาณเข้าด้วยกัน ตัดสินใจ และบังคับใช้นโยบายขององค์กร
องค์กรที่ใช้สิทธิ์การใช้งาน Microsoft Entra ID ฟรีระดับฟรี องค์กรที่มีสิทธิ์การใช้งาน Microsoft Entra ID Premium
องค์กรที่มีข้อกําหนดด้านความปลอดภัยที่ซับซ้อนที่รับประกันโดยใช้การเข้าถึงแบบมีเงื่อนไข

บังคับใช้นโยบายแล้ว

การลงทะเบียนการรับรองความถูกต้องแบบหลายปัจจัยแบบรวม

ผู้ใช้ทั้งหมดในผู้เช่าของคุณต้องลงทะเบียนสําหรับการรับรองความถูกต้องแบบหลายปัจจัย (MFA) โดยใช้แอป Microsoft Authenticator ต้องลงทะเบียนทันที โดยไม่มีระยะเวลาผ่อนผัน เมื่อผู้ใช้ลงชื่อเข้าใช้หลังจากเปิดใช้งานค่าเริ่มต้นด้านความปลอดภัย พวกเขาจะได้รับพร้อมท์ให้ลงทะเบียนก่อนจึงจะสามารถเข้าถึงทรัพยากรใดๆ ได้ พร้อมท์ MFA ใช้การจับคู่หมายเลข ซึ่งผู้ใช้ป้อนตัวเลขที่แสดงบนหน้าจอลงในแอป Microsoft Authenticator ซึ่งช่วยป้องกันการโจมตีเมื่อยล้าของ MFA

การปกป้องผู้ดูแลระบบ

ผู้ใช้ที่มีสิทธิพิเศษมักจะเพิ่มการเข้าถึงสภาพแวดล้อมของคุณ เนื่องจากอํานาจของบัญชีเหล่านี้มีคุณควรปฏิบัติต่อพวกเขาด้วยความระมัดระวังเป็นพิเศษ วิธีการหนึ่งทั่วไปในการปรับปรุงการป้องกันของบัญชีที่มีสิทธิ์คือการต้องใช้รูปแบบการตรวจสอบบัญชีที่แข็งแกร่งสําหรับการเข้าสู่ระบบ ใน Microsoft Entra ID คุณสามารถรับการตรวจสอบบัญชีที่แข็งแกร่งยิ่งขึ้นได้โดยต้องใช้การรับรองความถูกต้องแบบหลายปัจจัย

หลังจากการลงทะเบียนด้วยการรับรองความถูกต้องแบบหลายปัจจัยเสร็จสิ้น บทบาทผู้ดูแลระบบ Microsoft Entra ต่อไปนี้จําเป็นต้องดําเนินการรับรองความถูกต้องอื่นๆ ทุกครั้งที่ลงชื่อเข้าใช้:

  • ผู้ดูแลระบบ Global
  • ผู้ดูแลระบบแอปพลิเคชัน
  • ผู้ดูแลระบบการรับรองความถูกต้อง
  • ผู้ดูแลนโยบายการรับรองความถูกต้อง
  • ผู้ดูแลระบบการเรียกเก็บเงิน
  • ผู้ดูแลระบบแอปพลิเคชันระบบคลาวด์
  • ผู้ดูแลระบบการเข้าถึงตามเงื่อนไข
  • ผู้ดูแลระบบ Exchange
  • ผู้ดูแลระบบ Helpdesk
  • ผู้ดูแลระบบการกํากับดูแลข้อมูลประจําตัว
  • ผู้ดูแลรหัสผ่าน
  • ผู้ดูแลระบบการรับรองความถูกต้องที่มีสิทธิ์
  • ผู้ดูแลระบบสำหรับบทบาทพิเศษ
  • ผู้ดูแลระบบความปลอดภัย
  • ผู้ดูแลระบบ SharePoint
  • ผู้ดูแลระบบผู้ใช้

การปกป้องผู้ใช้ทั้งหมด

เรามักจะคิดว่าบัญชีผู้ดูแลระบบเป็นบัญชีเดียวที่จําเป็นต้องมีเลเยอร์การรับรองความถูกต้องเพิ่มเติม ผู้ดูแลระบบมีสิทธิ์เข้าถึงข้อมูลที่สําคัญในวงกว้างและสามารถเปลี่ยนแปลงการตั้งค่าการสมัครใช้งานได้ แต่ผู้โจมตีมักกําหนดเป้าหมายผู้ใช้ปลายทาง

หลังจากที่ผู้โจมตีเหล่านี้สามารถเข้าถึงได้ พวกเขาจะสามารถเข้าถึงข้อมูลที่มีสิทธิ์พิเศษในนามของผู้ถือบัญชีเดิมได้ พวกเขายังสามารถดาวน์โหลดไดเรกทอรีทั้งหมดเพื่อดําเนินการโจมตีฟิชชิ่งในองค์กรของคุณทั้งหมด

วิธีการหนึ่งที่พบบ่อยในการปรับปรุงการป้องกันสําหรับผู้ใช้ทั้งหมดคือการใช้รูปแบบการตรวจสอบบัญชีที่แข็งแกร่งยิ่งขึ้นเช่นการรับรองความถูกต้องแบบหลายปัจจัยสําหรับทุกคน หลังจากที่ผู้ใช้ลงทะเบียนการรับรองความถูกต้องแบบหลายปัจจัยเสร็จแล้ว พวกเขาจะได้รับแจ้งให้ตรวจสอบสิทธิ์เพิ่มเติมเมื่อจําเป็น ฟังก์ชันนี้ปกป้องแอปพลิเคชันทั้งหมดที่ลงทะเบียนด้วย Microsoft Entra ID รวมถึงแอปพลิเคชัน SaaS

การบล็อกการรับรองความถูกต้องแบบดั้งเดิม

เพื่อให้ผู้ใช้ของคุณเข้าถึงแอประบบคลาวด์ของคุณได้ง่าย Microsoft Entra ID สนับสนุนโปรโตคอลการรับรองความถูกต้องต่างๆ รวมถึงการรับรองความถูกต้องแบบดั้งเดิม การรับรองความถูกต้องแบบดั้งเดิม คือคําขอการรับรองความถูกต้องที่ทําโดย:

  • ไคลเอ็นต์ที่ไม่ได้ใช้การรับรองความถูกต้องที่ทันสมัย (ตัวอย่างเช่น ไคลเอ็นต์ Office 2010) การรับรองความถูกต้องสมัยใหม่ครอบคลุมไคลเอ็นต์ที่ใช้โพรโทคอล เช่น OAuth 2.0 เพื่อสนับสนุนคุณลักษณะ ต่างๆ เช่น การรับรองความถูกต้องแบบหลายปัจจัย และสมาร์ทการ์ด โดยทั่วไปการรับรองความถูกต้องแบบดั้งเดิมจะสนับสนุนกลไกที่มีความปลอดภัยน้อยเท่านั้น เช่น รหัสผ่าน
  • ไคลเอ็นต์ที่ใช้โพรโทคอลจดหมาย เช่น IMAP, SMTP หรือ POP3

ปัจจุบัน ความพยายามในการลงชื่อเข้าใช้ที่ประนีประนอมส่วนใหญ่มาจากการรับรองความถูกต้องแบบเดิม การรับรองความถูกต้องแบบดั้งเดิมไม่รองรับการรับรองความถูกต้องแบบหลายปัจจัย แม้ว่าคุณมีการเปิดใช้งานนโยบายการรับรองความถูกต้องแบบหลายปัจจัยบนไดเรกทอรีของคุณ ผู้โจมตีสามารถรับรองความถูกต้องโดยใช้โพรโทคอลเก่าและข้ามการรับรองความถูกต้องแบบหลายปัจจัย

หลังจากที่มีการเปิดใช้งานค่าเริ่มต้นความปลอดภัยในผู้เช่าของคุณ คําขอการรับรองความถูกต้องทั้งหมดที่ทําโดยโพรโทคอลเก่าจะถูกบล็อก ค่าเริ่มต้นความปลอดภัยจะบล็อกการรับรองความถูกต้องพื้นฐาน Exchange Active Sync