Share via

符合備忘錄 22-09 的多重要素驗證需求

  • 發行項

瞭解如何在實作 零信任 原則時,使用 Microsoft Entra ID 作為集中式身分識別管理系統。 請參閱,美國管理與預算辦公室(OMB) M 22-09 主管主管的備忘錄。

備忘需求是員工使用企業管理的身分識別來存取應用程式,且多重要素驗證可保護員工免受複雜的在線攻擊,例如網路釣魚。 此攻擊方法會嘗試取得並入侵認證,並提供驗證網站的連結。

多重要素驗證可防止未經授權存取帳戶和數據。 備忘錄需求引用了具有網路釣魚防護方法的多重要素驗證:旨在偵測和防止洩漏驗證秘密的驗證程式,以及將網站或應用程式偽裝成合法系統的輸出。 因此,建立哪些多重要素驗證方法符合網路釣魚防護的資格。

網路釣魚防護方法

一些聯邦機構已部署新式認證,例如 FIDO2 安全密鑰或 Windows Hello 企業版。 許多人正在評估使用憑證的 Microsoft Entra 驗證。

深入了解:

有些機構正在將其驗證認證現代化。 使用 Microsoft Entra ID 滿足網路釣魚防護多重要素驗證需求有多個選項。 Microsoft 建議採用符合代理程式功能的網路釣魚防護多重要素驗證方法。 請考慮網路釣魚防護多重要素驗證的可能,以改善整體網路安全性狀態。 實作新式認證。 不過,如果最快速的路徑不是新式方法,請採取步驟開始新式方法的旅程。

Microsoft Entra 網路釣魚防護多重要素驗證方法的圖表。

新式方法

防止外部網路釣魚

Microsoft Authenticator 和條件式存取原則會強制執行受管理的裝置:Microsoft Entra 混合式已加入裝置或標示為符合規範的裝置。 在存取受 Microsoft Entra ID 保護之應用程式的裝置上安裝 Microsoft Authenticator。

深入瞭解: Microsoft Entra ID 中的驗證方法 - Microsoft Authenticator 應用程式

重要

若要符合網路釣魚防護需求:僅管理存取受保護應用程式的裝置。 允許使用 Microsoft Authenticator 的使用者屬於條件式存取原則的範圍,需要受管理的裝置才能存取。 條件式存取原則會封鎖對 Microsoft Intune 註冊雲端應用程式的存取。 允許使用 Microsoft Authenticator 的使用者在此條件式存取原則的範圍內。 使用相同的群組允許條件式存取原則中的 Microsoft Authenticator 驗證,以確保為驗證方法啟用的使用者在這兩個原則的範圍內。 此條件式存取原則可防止來自惡意外部執行者的最大網路釣魚威脅媒介。 它也會防止惡意執行者網路釣魚 Microsoft Authenticator 註冊認證,或加入裝置並在 Intune 中註冊,使其標示為相容。

深入了解:

注意

Microsoft Authenticator 無法抵禦網路釣魚。 設定條件式存取原則,要求受管理裝置從外部網路釣魚威脅取得保護。

舊版

同盟識別提供者(IDP),例如 Active Directory 同盟服務 (AD FS) 已設定網路釣魚防護方法(s)。 雖然機構與同盟IdP達成網路釣魚防護,但會增加成本、複雜度和風險。 Microsoft 鼓勵 Microsoft Entra ID a IdP 的安全性優點,移除同盟 IdP 的相關風險

深入了解:

網路釣魚防護方法考慮

您目前的裝置功能、使用者角色和其他需求可能會決定多重要素方法。 例如,具有USB-C支援的FIDO2安全性金鑰需要具有USB-C埠的裝置。 評估網路釣魚防護多重要素驗證時,請考慮下列資訊:

  • 您可以支援的裝置類型和功能:kiosk、膝上型電腦、行動電話、生物特徵辨識器、USB、藍牙 和近距離通訊裝置
  • 組織使用者角色:一線員工、具有和沒有公司擁有硬體的遠端工作者、具有特殊許可權存取工作站的系統管理員,以及企業對企業來賓使用者
  • 物流:使用 TPM 晶片散發、設定及註冊多重要素驗證方法,例如 FIDO2 安全性密鑰、智慧卡、政府傢俱設備或 Windows 裝置
  • 聯邦資訊處理標準 (FIPS) 140 驗證驗證器保證層級:某些 FIDO 安全性密鑰是在 NIST SP 800-63B 所設定 AAL3 層級驗證的 FIPS 140

網路釣魚防護多重要素驗證的實作考慮

如需針對應用程式和虛擬設備登入實作網路釣魚防護方法的支援,請參閱下列各節。

來自各種用戶端的應用程式登入案例

下表詳述網路釣魚多重要素驗證案例的可用性,根據用來登入應用程式的裝置類型:

裝置 AD FS 作為具有憑證驗證的同盟 IdP Microsoft Entra 憑證驗證 FIDO2 安全性金鑰 Windows Hello 企業版 使用條件式存取原則強制執行 Microsoft Entra 混合式加入或相容裝置的 Microsoft Authenticator
Windows 裝置 具有實心填滿的複選標記 具有實心填滿的複選標記 具有實心填滿的複選標記 具有實心填滿的複選標記 具有實心填滿的複選標記
iOS 行動裝置 具有實心填滿的複選標記 具有實心填滿的複選標記 不適用 不適用 具有實心填滿的複選標記
Android 行動裝置 具有實心填滿的複選標記 具有實心填滿的複選標記 不適用 不適用 具有實心填滿的複選標記
macOS 裝置 具有實心填滿的複選標記 具有實心填滿的複選標記 Edge/Chrome 不適用 具有實心填滿的複選標記

深入瞭解: FIDO2 無密碼驗證的瀏覽器支援

需要整合的虛擬設備登入案例

若要強制執行網路釣魚防護多重要素驗證,可能需要整合。 為存取應用程式和裝置的使用者強制執行多重要素驗證。 針對五種防網路釣魚多重要素驗證類型,請使用相同的功能來存取下列裝置類型:

目標系統 整合動作
Azure Linux 虛擬機 (VM) 啟用適用於 Microsoft Entra 登入的 Linux VM
Azure Windows VM 啟用適用於 Microsoft Entra 登入的 Windows VM
Azure 虛擬桌面 啟用 適用於 Microsoft Entra 登入的 Azure 虛擬桌面
裝載於內部部署或其他雲端中的 VM 在 VM 上啟用 Azure Arc ,然後啟用 Microsoft Entra 登入。 目前為Linux的私人預覽版。 在這些環境中裝載的 Windows VM 支援在我們的藍圖中。
非 Microsoft 虛擬桌面解決方案 在 Microsoft Entra ID 中將虛擬桌面解決方案整合為應用程式

強制執行網路釣魚防護多重要素驗證

使用條件式存取為租使用者中的用戶強制執行多重要素驗證。 透過新增跨租使用者存取原則,您可以在外部用戶上強制執行。

深入瞭解:概觀:具有 Microsoft Entra 外部 ID 的跨租使用者存取

跨機構強制執行

使用 Microsoft Entra B2B 共同作業來符合促進整合的需求:

  • 限制您的使用者存取的其他 Microsoft 租使用者
  • 允許存取您不需要在租使用者中管理的使用者,但強制執行多重要素驗證和其他存取需求

深入瞭解: B2B 共同作業概觀

為存取組織資源的合作夥伴和外部使用者強制執行多重要素驗證。 此動作在機構間共同作業案例中很常見。 使用 Microsoft Entra 跨租使用者存取原則,為存取應用程式和資源的外部用戶設定多重要素驗證。

在跨租使用者存取原則中設定信任設定,以信任來賓使用者租使用者所使用的多重要素驗證方法。 避免讓使用者向租用戶註冊多重要素驗證方法。 根據每個組織啟用這些原則。 您可以在使用者主租用戶中判斷多重要素驗證方法,並決定是否符合網路釣魚防護需求。

密碼原則

備忘錄要求組織變更無效的密碼原則,例如複雜、輪替的密碼。 強制執行包括移除特殊字元和數位的需求,以及以時間為基礎的密碼輪替原則。 請改為考慮下列選項:

雖然備忘錄並不具體說明要搭配密碼使用的原則,但請考慮 NIST 800-63B 的標準。

請參閱 NIST 特殊出版物 800-63B、數位身分識別指導方針

下一步