Microsoft Entra識別碼中的安全性預設值
安全性預設值可讓您更輕鬆地協助保護組織免于身分識別相關的攻擊,例如密碼噴灑、重新執行和現今環境中常見的網路釣魚。
Microsoft 正在讓每個人使用這些預先設定的安全性設定,因為我們知道管理安全性可能很困難。 根據我們學習到超過 99.9% 的常見身分識別相關攻擊,會使用多重要素驗證並封鎖舊版驗證來停止。 我們的目標是確保所有組織至少都已啟用基本層級的安全性,且不需額外費用。
這些基本控制項包括:
適合誰?
- 想要提升其安全性狀態,但不知道如何或從何處開始的組織。
- 使用免費層Microsoft Entra授權的組織。
誰應該使用條件式存取?
- 如果您是具有Microsoft Entra識別碼 P1 或 P2 授權的組織,安全性預設值可能不適合您。
- 如果您的組織具有複雜的安全性需求,您應該考慮 條件式存取
啟用安全性預設值
如果您的租用戶建立於 2019 年 10 月 22 日或之後,您的租用戶中可能會啟用安全性預設值。 為了保護所有的使用者,安全性預設值會在建立時對所有新租用戶推出。
為了協助保護組織,我們一律致力於改善 Microsoft 帳戶服務的安全性。 在此保護過程中,如果客戶會定期收到安全性預設值自動啟用的通知:
- 尚未啟用條件式存取原則。
- 沒有進階授權。
- 不會主動使用舊版驗證用戶端。
啟用此設定之後,組織中的所有使用者都必須註冊多重要素驗證。 若要避免混淆,請參閱您收到的電子郵件,或者,您可以在啟用安全性預設值之後停用。
若要在目錄中設定安全性預設值,您必須至少獲指派安全性系統管理員角色。 根據預設,任何目錄中的第一個帳戶會獲指派較高的特殊許可權角色,稱為全域管理員。
若要啟用安全性預設值:
- 以全域管理員身分登入Microsoft Entra系統管理中心。
- 流覽至[身分識別概>觀>屬性]。
- 選取 [管理安全性預設值]。
- 將 [安全性] 預設值 設定為 [ 已啟用]。
- 選取 [儲存]。
撤銷使用中的權杖
在啟用安全性預設值過程中,系統管理員應該撤銷所有現有的權杖,要求所有使用者註冊多重要素驗證。 此撤銷事件會強制先前驗證的使用者進行驗證,並註冊多重要素驗證。 您可以使用 Revoke-AzureADUserAllRefreshToken PowerShell Cmdlet 來完成這項工作。
強制執行的安全性原則
要求所有使用者註冊Microsoft Entra多重要素驗證
所有使用者都有 14 天的時間可使用 Microsoft Authenticator 應用程式 或支援 OATH TOTP的任何應用程式進行註冊。 經過 14 天之後,使用者便無法登入,直到註冊完成為止。 使用者在啟用安全性預設值之後的第一次成功互動式登入後,為期 14 天的期間便會開始。
當使用者登入並提示您執行多重要素驗證時,他們會看到畫面,提供使用者在 Microsoft Authenticator 應用程式中輸入的數位。 此量值有助於防止使用者遭受 MFA 消除攻擊。
![此螢幕擷取畫面顯示 [核准登入要求] 視窗的範例,其中包含要輸入的數位。](media/security-defaults/approve-sign-in-request.png)
要求系統管理員執行多重要素驗證
系統管理員對您的環境具有提高的存取權。 由於這些帳戶具有高度授權的權限,您應特別小心處理。 改善特殊許可權帳戶保護的其中一個常見方法是要求更強形式的帳戶驗證進行登入,例如需要多重要素驗證。
提示
系統管理員的建議:
- 確定所有系統管理員在啟用安全性預設值之後登入,讓他們可以註冊驗證方法。
- 有個別的帳戶來管理和標準生產力工作,可大幅減少系統管理系統提示您進行 MFA 的次數。
註冊完成後,每次登入時,都必須執行下列系統管理員角色進行多重要素驗證:
- 全域管理員
- 應用程式系統管理員
- 驗證系統管理員
- 計費管理員
- 雲端應用程式管理員
- 條件式存取系統管理員
- Exchange 系統管理員
- 服務台系統管理員
- 密碼管理員
- 特殊權限驗證系統管理員
- 特殊權限角色管理員
- 安全性系統管理員
- SharePoint 管理員
- 使用者管理員
必要時要求使用者執行多重要素驗證
我們通常會將系統管理員帳戶視為唯一需要額外驗證層的帳戶。 系統管理員可以廣泛存取敏感性資訊,而且可以變更整個訂用帳戶的設定。 但是攻擊者經常以終端使用者為目標。
這些攻擊者取得存取權之後,即可為原始帳戶持有者要求存取特殊權限資訊。 他們甚至可下載整個目錄,以在整個組織中實施網路釣魚攻擊。
為所有使用者改善保護的其中一個常見方法,就是針對所有人要求更強大的帳戶驗證形式,例如多重要素驗證。 在使用者完成註冊之後,系統會在必要時提示其進行其他驗證。 Microsoft 會根據位置、裝置、角色和工作等因素,決定何時提示使用者進行多重要素驗證。 此功能可保護所有已註冊的應用程式,包括 SaaS 應用程式。
注意
如果是 B2B 直接連接使用者,則必須滿足資源租用戶中已啟用安全性預設值的任何多重要素驗證需求,包括直接連接使用者在其主租用戶中的多重要素驗證註冊。
封鎖舊版驗證通訊協定
為了讓使用者輕鬆存取雲端應用程式,我們支援各種驗證通訊協定,包括舊版驗證。 「舊版驗證」一詞,是指由以下幾者提出的驗證要求:
- 不使用新式驗證的用戶端 (例如,Office 2010 用戶端)。
- 任何使用舊版郵件通訊協定 (例如 IMAP、SMTP 或 POP3) 的用戶端。
現今,多數入侵登入嘗試來自於舊版驗證。 舊版驗證不支援多重要素驗證。 即使已在目錄上啟用多重要素驗證原則,攻擊者仍可使用較舊的通訊協定進行驗證,而略過多重要素驗證。
在您的租用戶中啟用安全性預設值之後,將會封鎖舊版通訊協定提出的所有驗證要求。 安全性預設值會封鎖 Exchange Active Sync 基本驗證。
警告
啟用安全性預設值之前,請確定系統管理員未使用舊版驗證通訊協定。 如需詳細資訊,請參閱如何離開舊版驗證。
保護特殊權限的活動,例如存取 Azure 入口網站
組織會使用透過 Azure Resource Manager API 管理的各種 Azure 服務,包括:
- Azure 入口網站
- Microsoft Entra 系統管理中心
- Azure PowerShell
- Azure CLI
使用 Azure Resource Manager 來管理服務是高度具有特殊權限的動作。 Azure Resource Manager 可改變全租用戶的設定,例如服務設定和訂用帳戶計費。 單一要素驗證很容易遭受各種攻擊,例如網路釣魚和密碼噴濺。
請務必驗證要存取 Azure Resource Manager 和更新設定的使用者身分識別。 您可在允許存取之前,先要求更多的驗證來驗證其身分識別。
在您的租用戶中啟用安全性預設值之後,存取下列服務的任何使用者都必須完成多重要素驗證:
- Azure 入口網站
- Microsoft Entra 系統管理中心
- Azure PowerShell
- Azure CLI
此原則適用於所有存取 Azure Resource Manager 服務的使用者,無論其為系統管理員或使用者。
注意
2017 之前的 Exchange Online 租用戶預設會停用新式驗證。 為了避免在透過這些租用戶進行驗證時可能發生登入迴圈,您必須啟用新式驗證。
注意
Microsoft Entra Connect 同步處理帳戶會從安全性預設值中排除,而且不會提示您註冊或執行多重要素驗證。 組織不應將此帳戶用於其他用途。
部署考量因素
準備您的使用者
請務必通知使用者即將進行的變更、註冊需求以及任何必要的使用者動作。 我們提供通訊範本和使用者文件讓您的使用者準備好使用新體驗,並協助確保新體驗能順利推出。 選取該頁面的 [安全性資訊] 連結,將使用者傳送至 https://myprofile.microsoft.com 進行註冊。
驗證方法
安全性預設使用者必須使用通知註冊並使用 Microsoft Authenticator 應用程式進行多重要素驗證。 使用者可使用來自 Microsoft Authenticator 應用程式的驗證碼,但只能使用通知選項進行註冊。 使用者也可以利用 OATH TOTP 產生程式碼,來使用任何協力廠商應用程式。
警告
如果您使用的是安全性預設值,請勿停用您組織的方法。 停用方法可能會導致您的租用戶遭到鎖定。 在 MFA 服務設定入口網站中,將所有 [使用者可用的方法] 維持啟用狀態。
B2B 使用者
任何存取目錄的 B2B 來賓使用者或 B2B 直接連接使用者,都會視同您組織的使用者。
已停用 MFA 狀態
如果您的組織是每個使用者型多重要素驗證的先前使用者,如果您查看多重要素驗證狀態頁面,就不會收到警示,不會在 [已啟用 ] 或 [ 強制執行 ] 狀態中看到使用者。 [已停用 ] 是使用安全性預設值或條件式存取型多重要素驗證之使用者的適當狀態。
停用安全性預設值
選擇實作條件式存取原則且取代安全性預設值的組織,必須停用安全性預設值。
在目錄中停用安全性預設值:
- 以全域管理員身分登入Microsoft Entra系統管理中心。
- 流覽至[身分識別概>觀>屬性]。
- 選取 [管理安全性預設值]。
- 將 [安全性] 預設值 設定為 [停用] (不建議) 。
- 選取 [儲存]。
後續步驟
- 部落格:安全性預設值簡介
- 如需授權的詳細資訊,請參閱Microsoft Entra定價頁面。