使用 Microsoft Entra 实现 ACSC Essential 8 MFA 成熟度级别 3

MFA 成熟度级别 3 ACSC 定义

  • 多重身份验证用于对处理、存储或传达其组织的敏感数据的组织联机服务的用户进行身份验证。
  • 多重身份验证用于对处理、存储或传达其组织的敏感数据的第三方联机服务的用户进行身份验证。
  • 多重身份验证 (可用) 用于对处理、存储或传达其组织非敏感数据的第三方联机服务的用户进行身份验证。
  • 多重身份验证用于对其组织的在线客户服务(处理、存储或传达其组织的敏感客户数据的用户进行身份验证。
  • 多重身份验证用于向处理、存储或传达其组织的敏感客户数据的第三方在线客户服务用户进行身份验证。
  • 多重身份验证用于对系统的特权用户进行身份验证。
  • 多重身份验证用于对系统的无特权用户进行身份验证。
  • 多重身份验证用于对数据存储库的用户进行身份验证。
  • 多重身份验证使用:用户拥有用户知道的内容,用户拥有的、用户知道或已解锁的内容。
  • 用于对联机服务的用户进行身份验证的多重身份验证是防钓鱼的
  • 用于对系统用户进行身份验证的多重身份验证是防钓鱼的
  • 用于对数据存储库的用户进行身份验证的多重身份验证是防钓鱼的
  • 成功和不成功的 多重身份验证 事件集中记录
  • 事件日志受到保护,防止未经授权的修改和删除

超出范围

客户服务

成熟度级别 2 的以下 ACSC 要求与客户标识相关,并且不适用于本指南有关 Microsoft Entra。

  • 多重身份验证用于向处理、存储或传达敏感客户数据的联机客户服务对客户进行身份验证。
  • 用于对联机客户服务的客户进行身份验证的多重身份验证是防钓鱼的。

组织流程

成熟度级别 2 的以下 ACSC 要求是组织流程,在本指南中没有Microsoft Entra 员工标识的范围。

  • 将及时分析来自面向 Internet 的服务器的事件日志,以检测网络安全事件。
  • 将及时分析来自非 Internet 服务器的事件日志,以检测网络安全事件。
  • 及时分析工作站中的事件日志,以检测网络安全事件。
  • 及时分析网络安全事件,以识别网络安全事件。
  • 网络安全事件发生或被发现后,将尽快报告给首席信息安全官或其一名代表。
  • 发生或发现网络安全事件后,将尽快报告给 ASD。
  • 在确定网络安全事件后,将制定网络安全事件响应计划。

MFA 成熟度级别 3 概述

成熟度级别 3 ACSC 要求的直观插图

允许的验证器类型

任何 ISM 允许的防钓鱼多重验证器都可用于达到成熟度级别 3。

Microsoft Entra 身份验证方法 验证器类型
是的。 硬件保护证书 (智能卡/安全密钥/TPM)
是的。 设备绑定) (密钥
->是的。 FIDO 2 安全密钥
->是的。 具有硬件 TPM 的 Windows Hello 企业版 (受信任的平台模块)
->是的。 Microsoft Authenticator 中的密钥 (设备绑定)
多重加密硬件

我们的建议

有关消除最大攻击面的无密码身份验证指南,请参阅 在 Microsoft Entra 中规划无密码身份验证部署

有关实现 Windows Hello 企业版的详细信息,请参阅 Windows Hello 企业版部署指南

Microsoft成熟度级别 3 不允许 的 Entra 身份验证方法

  • 短信登录
  • 电子邮件 OTP
  • Microsoft Authenticator 应用 (手机登录)
  • 密码加电话 (短信)
  • 密码加电话 (语音呼叫)
  • 密码加电子邮件 OTP
  • 密码加Microsoft验证器应用 (OTP)
  • 密码加单因素 OTP
  • 已将密码加Microsoft Entra 与软件 TPM 联接
  • 密码加合规移动设备
  • 已将密码加Microsoft Entra 混合联接到软件 TPM
  • 密码加Microsoft验证器应用 (通知)
  • 与硬件 TPM 联接的密码加Microsoft Entra
  • 已将密码加Microsoft Entra 混合联接到硬件 TPM

针对来宾的防钓鱼多重身份验证

Microsoft Entra ID 不支持来宾在资源租户中注册防钓鱼多重身份验证选项。

若要对租户中的来宾强制实施防钓鱼多重身份验证,必须将跨租户访问配置为启用 MFA 的入站信任。

MFA 的入站信任允许来宾在其主租户中执行防钓鱼多重身份验证,并满足租户中防钓鱼身份验证的条件访问策略要求。

若要了解详细信息,请参阅 为 B2B 协作配置跨租户访问设置 - 更改 MFA 和设备声明的入站信任设置

桌面和服务器) 系统 (多重身份验证

有关 对桌面和服务器的访问,请参阅多重身份验证

将组织和第三方应用与Microsoft Entra ID 集成

若要将开发人员生成的组织应用与 entra ID Microsoft集成,请参阅 集成开发人员生成的应用

若要将第三方应用与 Microsoft Entra ID 集成,请参阅 将应用与 Microsoft Entra ID 集成的五个步骤

后续步骤