通用条件访问策略：要求对所有用户执行 MFA

正如 Microsoft 标识安全负责人 Alex Weinert 在其博客文章 Your Pa$$word doesn't matter（《你的密码无关紧要》）中提到的一样：

你的密码无关紧要，但 MFA 很重要！ 根据我们的调查，如果使用 MFA，帐户遭到入侵的可能性将降低 99.9% 以上。

本文中的指导将帮助你的组织为你的环境创建 MFA 策略。

排除用户

条件访问策略是功能强大的工具，建议从策略中排除以下帐户：

• 紧急访问帐户或不受限帐户，用于防止租户范围的帐户锁定 。 在极少数情况下，所有管理员都被锁定在租户外，紧急访问管理帐户可用于登录租户，以采取措施来恢复访问。
  • 有关详细信息，请参阅文章在 Microsoft Entra ID 中管理紧急访问帐户。
• 服务帐户和服务主体，例如 Microsoft Entra Connect 同步帐户。 服务帐户是不与任何特定用户关联的非交互式帐户。 它们通常由后端服务使用，以便可以对应用程序进行编程访问，不过也会用于登录系统以进行管理。 应该排除这样的服务帐户，因为无法以编程方式完成 MFA。 范围限定为用户的条件访问策略将不会阻止由服务主体进行的调用。 对工作负载标识使用条件访问来定义面向服务主体的策略。
  • 如果组织在脚本或代码中使用这些帐户，请考虑将其替换为托管标识。 作为临时解决方法，可以从基线策略中排除这些特定的帐户。

应用程序排除

组织可能正在使用许多云应用程序。 并非所有云应用程序都需要同等的安全性。 例如，工资和出勤应用程序可能需要 MFA，但这自助食堂应用程序可能不需要。 管理员可以选择从其策略中排除特定的应用程序。

订阅激活

使用订阅激活功能使用户能够从一个版本的 Windows“升级”到另一个版本，并使用条件访问策略来控制访问的组织需要使用“选择排除的云应用”从条件访问策略中排除以下某个云应用：

• 通用应用商店服务 API 和 Web 应用程序，AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f。

• 适用于商业的 Windows 应用商店，AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f。

尽管这两个实例中的应用 ID 相同，但云应用的名称取决于租户。

有关在条件访问策略中配置排除项的详细信息，请参阅应用程序排除项。

当设备长时间处于离线状态时，如果此条件访问排除未到位，则设备可能不会自动重新激活。 设置此条件访问排除项可确保订阅激活继续无缝工作。

从具有 KB5034848 或更高的 Windows 11 版本 23H2 开始，当订阅激活需要重新激活时，系统会使用 Toast 通知提示用户进行身份验证。 toast 通知将显示以下消息：

帐户需要进行身份验证

请登录到工作或学校帐户来验证你的信息。

此外，在激活窗格中，可能会出现以下消息：

请登录到工作或学校帐户来验证你的信息。

当设备长时间处于离线状态时，通常会出现身份验证提示。 此更改消除了在具有 KB5034848 或更高的 Windows 11 版本 23H2 的条件访问策略中使用排除项的需要。 如果不需要通过 Toast 通知提示用户进行身份验证，则条件访问策略仍可与具有 KB5034848 或更高的 Windows 11 版本 23H2 一起使用。

模板部署

组织可选择使用下述步骤或条件访问模板来部署此策略。

创建条件访问策略

以下步骤将帮助创建条件访问策略，以要求所有用户执行多重身份验证。

1. 最低以条件访问管理员身份登录到 Microsoft Entra 管理中心。
2. 浏览到“保护”>“条件访问”。
3. 选择“创建新策略”。
4. 为策略指定名称。 建议组织为其策略的名称创建有意义的标准。
5. 在“分配”下，选择“用户或工作负载标识” 。
   1. 在“包括”下，选择“所有用户”
   2. 在“排除”下选择“用户和组”，然后选择组织的紧急访问帐户或不受限帐户。
6. 在“目标资源”>“云应用”>“包括”下，选择“所有云应用”。
   1. 在“排除”下，选择任何不要求多重身份验证的应用程序。
7. 在“访问控制”>“授予”下，依次选择“"授予访问权限”、“需要多重身份验证”和“选择”。
8. 确认设置，然后将“启用策略”设置为“仅限报告”。
9. 选择“创建” ，以便创建启用策略所需的项目。

在管理员使用仅限报告模式确认你的设置后，他们可以将“启用策略”开关从“仅限报告”移至“启用”。

命名位置

组织可以选择将已知的网络位置（称为“命名位置”）纳入其条件访问策略。 这些命名位置可能包含受信任的 IPv4 网络，例如用于主要办公位置的网络。 有关配置命名位置的详细信息，请参阅 Microsoft Entra 条件访问中的位置条件是什么？一文

在上述示例策略中，如果从组织的企业网络访问云应用，组织可以选择不要求进行多重身份验证。 在这种情况下，组织可以将以下配置添加到策略中：

1. 在“分配”下，选择“条件”>“位置” 。
   1. 配置：“是”。
   2. 包括：“任何位置”。
   3. 排除：“所有受信任的位置”。
   4. 选择“完成” 。
2. 选择“完成” 。
3. 保存策略更改。

后续步骤

条件访问模板

使用条件访问的仅报告模式来确定新策略决策的效果。