找出並解決管理員增強式驗證涵蓋範圍中的差距

您租用戶中的管理員需要多重要素驗證 (MFA),這是提高租用戶安全性可採取的其中一個首要步驟。 在本文中,我們將涵蓋如何確定多重要素驗證涵蓋所有管理員。

偵測 Azure AD 內建管理員角色的目前使用情況

Azure AD 安全分數會提供租用戶中 [需要管理角色的 MFA] 的分數。 這項改進動作會追蹤全域管理員、安全性管理員、Exchange 管理員和 SharePoint 管理員的 MFA 使用情況。

有不同的方法可以檢查 MFA 原則是否涵蓋您的管理員。

  • 若要疑難排解特定管理員的登入,您可以使用登入記錄。 登入記錄可讓您篩選特定使用者的 [驗證需求]。 [驗證需求] 為 [單一要素驗證] 的任何登入,表示登入不需要多重要素驗證原則。

    登入記錄的螢幕擷取畫面。

    按一下 [驗證詳細資料] 以取得 MFA 需求的詳細資料

    驗證活動詳細資料的螢幕擷取畫面。

  • 若要根據您的使用者授權來選擇要啟用的原則,我們有新的 MFA 啟用精靈可協助您比較 MFA 原則,並查看哪些步驟適合您的組織。 此精靈會顯示 MFA 在過去 30 天內所保護的管理員。

    多重要素驗證啟用精靈的螢幕擷取畫面。

  • 您可以執行此指令碼,以程式設計方式產生所有具有目錄角色指派的使用者報告,而這些使用者在過去 30 天內已使用或未使用 MFA 登入。 此指令碼將會列舉所有作用中內建和自訂角色指派、所有合格的內建和自訂角色指派,以及已指派角色的群組。

對管理員強制執行多重要素驗證

如果您發現未受多重要素驗證保護的管理員,則可以使用下列其中一種方式來保護這些管理員:

  • 如果您的管理員已獲得 Azure AD Premium 的授權,則您可以建立條件式存取原則,以對管理員強制執行 MFA。 您也可以更新此原則,以要求自訂角色中的使用者進行 MFA。

  • 執行 MFA 啟用精靈 以選擇您的 MFA 原則。

  • 如果您在 Privileged Identity Management 中指派自訂或內建管理員角色,則在角色啟用時需要多重要素驗證。

為您的管理員使用無密碼和網路釣魚防護驗證方法

對管理員強制執行多重要素驗證並使用一段時間之後,您就可以對增強式驗證提高限制,並使用無密碼和網路釣魚防護驗證方法:

您可以在 Azure AD 驗證方法中深入閱讀這些驗證方法和其安全性考量。