符合備忘錄 22-09 的多重要素驗證需求
瞭解如何在實作 零信任 原則時,使用 Microsoft Entra ID 作為集中式身分識別管理系統。 請參閱,美國管理與預算辦公室(OMB) M 22-09 主管主管的備忘錄。
備忘需求是員工使用企業管理的身分識別來存取應用程式,且多重要素驗證可保護員工免受複雜的在線攻擊,例如網路釣魚。 此攻擊方法會嘗試取得並入侵認證,並提供驗證網站的連結。
多重要素驗證可防止未經授權存取帳戶和數據。 備忘錄需求引用了具有網路釣魚防護方法的多重要素驗證:旨在偵測和防止洩漏驗證秘密的驗證程式,以及將網站或應用程式偽裝成合法系統的輸出。 因此,建立哪些多重要素驗證方法符合網路釣魚防護的資格。
網路釣魚防護方法
一些聯邦機構已部署新式認證,例如 FIDO2 安全密鑰或 Windows Hello 企業版。 許多人正在評估使用憑證的 Microsoft Entra 驗證。
深入了解:
有些機構正在將其驗證認證現代化。 使用 Microsoft Entra ID 滿足網路釣魚防護多重要素驗證需求有多個選項。 Microsoft 建議採用符合代理程式功能的網路釣魚防護多重要素驗證方法。 請考慮網路釣魚防護多重要素驗證的可能,以改善整體網路安全性狀態。 實作新式認證。 不過,如果最快速的路徑不是新式方法,請採取步驟開始新式方法的旅程。
新式方法
- FIDO2 安全性金鑰 是根據網路安全與基礎結構安全機構 (CISA) 多重要素驗證的金標準
- 請參閱 Microsoft Entra ID、FIDO2 安全性密鑰的無密碼驗證選項
- 移至 cisa.gov 以取得 超過密碼
- Microsoft Entra 憑證驗證 ,而不相依於同盟識別提供者。
- 此解決方案包括智慧卡實作:通用存取卡(CAC)、個人身分識別驗證(PIV),以及行動裝置或安全性密鑰的衍生 PIV 認證
- 請參閱 Microsoft Entra 憑證型驗證概觀
- Windows Hello 企業版 具有網路釣魚防護多重要素驗證
- 請參閱部署概觀 Windows Hello 企業版
- 請參閱,Windows Hello 企業版
防止外部網路釣魚
Microsoft Authenticator 和條件式存取原則會強制執行受管理的裝置:Microsoft Entra 混合式已加入裝置或標示為符合規範的裝置。 在存取受 Microsoft Entra ID 保護之應用程式的裝置上安裝 Microsoft Authenticator。
深入瞭解: Microsoft Entra ID 中的驗證方法 - Microsoft Authenticator 應用程式
重要
若要符合網路釣魚防護需求:僅管理存取受保護應用程式的裝置。 允許使用 Microsoft Authenticator 的使用者屬於條件式存取原則的範圍,需要受管理的裝置才能存取。 條件式存取原則會封鎖對 Microsoft Intune 註冊雲端應用程式的存取。 允許使用 Microsoft Authenticator 的使用者在此條件式存取原則的範圍內。 使用相同的群組允許條件式存取原則中的 Microsoft Authenticator 驗證,以確保為驗證方法啟用的使用者在這兩個原則的範圍內。 此條件式存取原則可防止來自惡意外部執行者的最大網路釣魚威脅媒介。 它也會防止惡意執行者網路釣魚 Microsoft Authenticator 註冊認證,或加入裝置並在 Intune 中註冊,使其標示為相容。
深入了解:
- 規劃您的 Microsoft Entra 混合式聯結實作,或
- 如何:規劃您的 Microsoft Entra Join 實作
- 另 請參閱一般條件式存取原則:需要符合規範的裝置、Microsoft Entra 混合式已加入裝置,或所有使用者的多重要素驗證
注意
Microsoft Authenticator 無法抵禦網路釣魚。 設定條件式存取原則,要求受管理裝置從外部網路釣魚威脅取得保護。
舊版
同盟識別提供者(IDP),例如 Active Directory 同盟服務 (AD FS) 已設定網路釣魚防護方法(s)。 雖然機構與同盟IdP達成網路釣魚防護,但會增加成本、複雜度和風險。 Microsoft 鼓勵 Microsoft Entra ID a IdP 的安全性優點,移除同盟 IdP 的相關風險
深入了解:
網路釣魚防護方法考慮
您目前的裝置功能、使用者角色和其他需求可能會決定多重要素方法。 例如,具有USB-C支援的FIDO2安全性金鑰需要具有USB-C埠的裝置。 評估網路釣魚防護多重要素驗證時,請考慮下列資訊:
- 您可以支援的裝置類型和功能:kiosk、膝上型電腦、行動電話、生物特徵辨識器、USB、藍牙 和近距離通訊裝置
- 組織使用者角色:一線員工、具有和沒有公司擁有硬體的遠端工作者、具有特殊許可權存取工作站的系統管理員,以及企業對企業來賓使用者
- 物流:使用 TPM 晶片散發、設定及註冊多重要素驗證方法,例如 FIDO2 安全性密鑰、智慧卡、政府傢俱設備或 Windows 裝置
- 聯邦資訊處理標準 (FIPS) 140 驗證驗證器保證層級:某些 FIDO 安全性密鑰是在 NIST SP 800-63B 所設定 AAL3 層級驗證的 FIPS 140
- 請參閱驗證 器保證層級
- 請參閱 NIST 驗證器保證層級 3 使用 Microsoft Entra ID
- 移至 NIST 特殊出版物 800-63B、數位身分識別指導方針的 nist.gov
網路釣魚防護多重要素驗證的實作考慮
如需針對應用程式和虛擬設備登入實作網路釣魚防護方法的支援,請參閱下列各節。
來自各種用戶端的應用程式登入案例
下表詳述網路釣魚多重要素驗證案例的可用性,根據用來登入應用程式的裝置類型:
裝置 | AD FS 作為具有憑證驗證的同盟 IdP | Microsoft Entra 憑證驗證 | FIDO2 安全性金鑰 | Windows Hello 企業版 | 使用條件式存取原則強制執行 Microsoft Entra 混合式加入或相容裝置的 Microsoft Authenticator |
---|---|---|---|---|---|
Windows 裝置 | |||||
iOS 行動裝置 | 不適用 | 不適用 | |||
Android 行動裝置 | 不適用 | 不適用 | |||
macOS 裝置 | Edge/Chrome | 不適用 |
深入瞭解: FIDO2 無密碼驗證的瀏覽器支援
需要整合的虛擬設備登入案例
若要強制執行網路釣魚防護多重要素驗證,可能需要整合。 為存取應用程式和裝置的使用者強制執行多重要素驗證。 針對五種防網路釣魚多重要素驗證類型,請使用相同的功能來存取下列裝置類型:
目標系統 | 整合動作 |
---|---|
Azure Linux 虛擬機 (VM) | 啟用適用於 Microsoft Entra 登入的 Linux VM |
Azure Windows VM | 啟用適用於 Microsoft Entra 登入的 Windows VM |
Azure 虛擬桌面 | 啟用 適用於 Microsoft Entra 登入的 Azure 虛擬桌面 |
裝載於內部部署或其他雲端中的 VM | 在 VM 上啟用 Azure Arc ,然後啟用 Microsoft Entra 登入。 目前為Linux的私人預覽版。 在這些環境中裝載的 Windows VM 支援在我們的藍圖中。 |
非 Microsoft 虛擬桌面解決方案 | 在 Microsoft Entra ID 中將虛擬桌面解決方案整合為應用程式 |
強制執行網路釣魚防護多重要素驗證
使用條件式存取為租使用者中的用戶強制執行多重要素驗證。 透過新增跨租使用者存取原則,您可以在外部用戶上強制執行。
深入瞭解:概觀:具有 Microsoft Entra 外部 ID 的跨租使用者存取
跨機構強制執行
使用 Microsoft Entra B2B 共同作業來符合促進整合的需求:
- 限制您的使用者存取的其他 Microsoft 租使用者
- 允許存取您不需要在租使用者中管理的使用者,但強制執行多重要素驗證和其他存取需求
深入瞭解: B2B 共同作業概觀
為存取組織資源的合作夥伴和外部使用者強制執行多重要素驗證。 此動作在機構間共同作業案例中很常見。 使用 Microsoft Entra 跨租使用者存取原則,為存取應用程式和資源的外部用戶設定多重要素驗證。
在跨租使用者存取原則中設定信任設定,以信任來賓使用者租使用者所使用的多重要素驗證方法。 避免讓使用者向租用戶註冊多重要素驗證方法。 根據每個組織啟用這些原則。 您可以在使用者主租用戶中判斷多重要素驗證方法,並決定是否符合網路釣魚防護需求。
密碼原則
備忘錄要求組織變更無效的密碼原則,例如複雜、輪替的密碼。 強制執行包括移除特殊字元和數位的需求,以及以時間為基礎的密碼輪替原則。 請改為考慮下列選項:
- 密碼保護 ,以強制執行 Microsoft 維護的一般弱式密碼清單
- 此外,請包含自定義禁用密碼
- 請參閱使用 Microsoft Entra Password Protection 排除不正確的密碼
- 自助式密碼重設 可讓使用者重設密碼,例如帳戶復原之後
- Microsoft Entra ID Protection 中有關遭入侵認證的警示
- 什麼是風險? (機器翻譯)
雖然備忘錄並不具體說明要搭配密碼使用的原則,但請考慮 NIST 800-63B 的標準。
請參閱 NIST 特殊出版物 800-63B、數位身分識別指導方針。