Microsoft Entra ID 中的安全性預設值
安全性預設值可讓您更輕鬆地協助保護組織免於身分識別相關攻擊,例如密碼噴灑、重新執行,以及現今環境中常見的網路釣魚。
Microsoft 正在讓每個人使用預先設定的安全性設定,因為我們知道管理安全性可能很困難。 根據我們的研究,這些常見身分識別相關攻擊中,有超過 99.9% 可使用多重要素驗證並封鎖舊版驗證來阻擋。 我們的目標是要確保所有組織都至少已啟用基本層級的安全性,而不需要額外成本。
這些基本控制項包括:
適用對象是誰?
- 想要提升其安全性狀態,但不知道如何或從何處開始的組織。
- 利用 Microsoft Entra ID 授權免費層的組織。
誰應該使用條件式存取?
- 如果您是具有 Microsoft Entra ID P1 或 P2 授權的組織,則安全性預設值可能不適合您。
- 如果組織有複雜的安全性需求,則您應該考慮使用條件式存取。
啟用安全性預設值
如果您的租用戶建立於 2019 年 10 月 22 日或之後,租用戶中可能會啟用安全性預設值。 為了保護所有的使用者,安全性預設值會在建立時對所有新租用戶推出。
為了協助保護組織,我們一直致力於改善 Microsoft 帳戶服務的安全性。 作為此保護的一部分,如果客戶會定期收到安全性預設值自動啟用的通知:
- 沒有任何條件存取原則
- 沒有進階授權
- 不要主動使用舊版驗證用戶端
啟用此設定之後,組織中的所有使用者都必須註冊多重要素驗證。 若要避免混淆,請參閱您收到的電子郵件,或者,您也可以在啟用安全性預設值之後,停用安全性預設值。
若要在您的目錄中設定安全性預設值,您必須至少獲指派安全性系統管理員角色。 根據預設,任何目錄中的第一個帳戶會獲指派較高的特殊權限角色,稱為全域管理員。
若要啟用安全性預設值:
- 至少以安全性系統管理員身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [身分識別]>[概觀]>[屬性]。
- 選取 [管理安全性預設值]。
- 設定安全性預設值為已啟用。
- 選取 [儲存]。
撤銷作用中的權杖
啟用安全性預設值時,系統管理員應該撤銷所有現有的權杖,要求所有使用者註冊多重要素驗證。 此撤銷事件會強制先前已驗證的使用者進行驗證並註冊多重要素驗證。 您可以使用 Revoke-AzureADUserAllRefreshToken PowerShell Cmdlet 來完成這項工作。
強制執行的安全性原則
要求所有使用者註冊 Microsoft Entra 多重要素驗證
注意
從 2024 年 7 月 29 日起,新租用戶可能沒有 14 天的寬限期,以提供使用者註冊 MFA。 我們正在進行這項變更,以協助降低 14 天時間內帳戶遭入侵的風險,因為 MFA 可以封鎖超過 99.2% 的身分識別型攻擊。
所有使用者有 14 天的時間,可以使用 Microsoft Authenticator 應用程式或任何支援 OATH TOTP 的應用程式來註冊。 過了 14 天後,使用者便無法登入,直到註冊完成為止。 啟用安全性預設值後,使用者的 14 天期間會從第一次成功的互動式登入之後開始。
當使用者登入並收到執行多重要素驗證的提示時,他們會看到一個畫面,提供他們在 Microsoft Authenticator 應用程式中輸入的數字。 這項措施有助於防止使用者因 MFA 疲勞攻擊而下降。
![此螢幕擷取畫面顯示 [核准登入要求] 視窗的範例,其中包含要輸入的數字。](media/security-defaults/approve-sign-in-request.png)
要求系統管理員執行多重要素驗證
系統管理員對您的環境具有提高的存取權。 由於這些帳戶具有高度授權的權限,您應特別小心處理。 改善特殊權限帳戶保護的常見方法之一,就是登入時要求更強大的帳戶驗證形式,例如要求多重要素驗證。
提示
系統管理員的建議:
- 請確定所有系統管理員在啟用安全性預設值之後登入,讓他們可以註冊驗證方法。
- 為系統管理和標準生產力工作採用不同的帳戶,以大幅降低管理員提示進行 MFA 的次數。
註冊完成後,下列系統管理員角色將需要在每次登入時執行多重要素驗證:
- 全域管理員
- 應用程式系統管理員
- 驗證管理員
- 計費管理員
- 雲端應用程式系統管理員
- 條件式存取管理員
- Exchange 系統管理員
- 服務台系統管理員
- 密碼管理員
- 特殊權限驗證管理員
- 特殊權限角色管理員
- 安全性系統管理員
- Sharepoint 系統管理員
- 使用者管理員
- 驗證原則管理員
- 身分識別控管管理員
必要時要求使用者執行多重要素驗證
我們傾向於認為系統管理員帳戶是唯一需要額外驗證層的帳戶。 系統管理員可以廣泛存取敏感性資訊,而且可以變更整個訂用帳戶的設定。 但攻擊者經常以終端使用者為目標。
這些攻擊者取得存取權之後,即可為原始帳戶持有者要求存取特殊權限資訊。 他們甚至可下載整個目錄,以在整個組織中實施網路釣魚攻擊。
為所有使用者改善保護的其中一個常見方法,就是針對所有人要求更強大的帳戶驗證形式,例如多重要素驗證。 在使用者完成註冊之後,系統會在必要時提示其進行其他驗證。 Microsoft 會根據諸如位置、裝置、角色和工作等因素,決定是否要提示使用者進行多重要素驗證。 這種功能可保護所有註冊的應用程式,包括 SaaS 應用程式。
注意
如果是 B2B 直接連接使用者,則必須滿足資源租用戶中已啟用安全性預設值的任何多重要素驗證需求,包括直接連接使用者在其主租用戶中的多重要素驗證註冊。
封鎖舊版驗證通訊協定
為了讓使用者能夠輕鬆存取雲端應用程式,我們支援多種驗證通訊協定,包括舊版驗證。 「舊版驗證」一詞,是指由以下幾者提出的驗證要求:
- 不使用新式驗證的用戶端 (例如,Office 2010 用戶端)
- 任何使用舊版郵件通訊協定 (例如 IMAP、SMTP 或 POP3) 的用戶端
現今,多數入侵登入嘗試來自於舊版驗證。 舊版驗證不支援多重要素驗證。 即使已在目錄上啟用多重要素驗證原則,攻擊者仍可使用較舊的通訊協定進行驗證,而略過多重要素驗證。
在您的租用戶中啟用安全性預設值之後,將會封鎖舊版通訊協定提出的所有驗證要求。 安全性預設值會封鎖 Exchange Active Sync 基本驗證。
警告
啟用安全性預設值之前,請確定系統管理員未使用舊版驗證通訊協定。 如需詳細資訊,請參閱如何離開舊版驗證。
保護特殊權限的活動,例如存取 Azure 入口網站
組織會使用透過 Azure Resource Manager API 管理的各種 Azure 服務,包括:
- Azure 入口網站
- Microsoft Entra 系統管理中心
- Azure PowerShell
- Azure CLI
使用 Azure Resource Manager 來管理服務是高度具有特殊權限的動作。 Azure Resource Manager 可改變全租用戶的設定,例如服務設定和訂用帳戶計費。 單一要素驗證很容易遭受各種攻擊,例如網路釣魚和密碼噴濺。
請務必驗證要存取 Azure Resource Manager 和更新設定的使用者身分識別。 您可在允許存取之前,先要求更多的驗證來驗證其身分識別。
在您的租用戶中啟用安全性預設值之後,存取下列服務的任何使用者都必須完成多重要素驗證:
- Azure 入口網站
- Microsoft Entra 系統管理中心
- Azure PowerShell
- Azure CLI
此原則適用於所有存取 Azure Resource Manager 服務的使用者,無論其為系統管理員或使用者。 此原則適用於 Azure Resource Manager API,例如存取您的訂用帳戶、VM、儲存體帳戶等等。 此原則不包含 Microsoft Entra ID 或 Microsoft Graph。
注意
2017 之前的 Exchange Online 租用戶預設會停用新式驗證。 為了避免在透過這些租用戶進行驗證時可能發生登入迴圈,您必須啟用新式驗證。
注意
Microsoft Entra Connect 同步處理帳戶會從安全性預設值排除,且不會提示註冊或執行多重要素驗證。 組織不應將此帳戶用於其他用途。
部署考量
正在準備您的使用者
請務必通知使用者即將進行的變更、註冊需求,以及任何必要的使用者動作。 我們提供通訊範本和使用者文件,為您的使用者準備新的體驗,並協助確保此體驗能順利推出。 選取該頁面的 [安全性資訊] 連結,將使用者傳送至 https://myprofile.microsoft.com 進行註冊。
驗證方法
安全性預設值使用者必須利用使用通知的 Microsoft Authenticator 應用程式,來註冊和使用多重要素驗證。 使用者可使用來自 Microsoft Authenticator 應用程式的驗證碼,但只能使用通知選項進行註冊。 使用者也可以利用 OATH TOTP 產生程式碼,來使用任何協力廠商應用程式。
警告
如果您使用的是安全性預設值,請勿停用您組織的方法。 停用方法可能會導致您的租用戶遭到鎖定。 在 MFA 服務設定入口網站中,將所有 [使用者可用的方法] 維持啟用狀態。
B2B 使用者
任何存取目錄的 B2B 來賓使用者或 B2B 直接連接使用者,都會視同您組織的使用者。
已停用 MFA 狀態
如果組織先前是使用以使用者為基礎的多重要素驗證,則在查看 [多重要素驗證] 頁面時,如果沒有看到 [已啟用] 或 [已強制] 狀態的使用者,請勿驚慌。 [已停用] 狀態適合的使用者,是使用安全性預設值或以條件式存取為基礎的多重要素驗證使用者。
停用安全性預設值
選擇實作取代安全性預設值的條件式存取原則的組織必須停用安全性預設值。
若要停用目錄中的安全性預設值:
- 至少以安全性系統管理員身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [身分識別]>[概觀]>[屬性]。
- 選取 [管理安全性預設值]。
- 將安全性預設值設定為停用 (不建議)。
- 選取 [儲存]。
從安全性預設值移動到條件式存取
雖然安全性預設值是啟動安全性態勢的良好基準,但不允許多個組織需要的自定義。 條件式存取原則提供更複雜的組織所需的完整自定義範圍。
| 安全性預設值 | 條件式存取 | |
|---|---|---|
| 需要的授權 | 無 | 至少需要 Microsoft Entra ID P1 |
| 自訂 | 沒有自訂設定 (開啟或關閉) | 可完全自訂 |
| 啟用者 | Microsoft 或系統管理員 | 系統管理員 |
| 簡化 | 用法簡單 | 依序需求完全自訂 |
從安全性預設值移動時的建議步驟
想要測試條件式存取功能的組織,可以註冊免費試用以開始使用。
系統管理員停用安全性預設值之後,組織應立即啟用條件式存取原則來保護其組織。 這些原則至少應包含條件式存取範本安全基礎類別中的原則。 具有包含 Microsoft Entra ID Protection Microsoft Entra ID P2 授權的組織可以展開此清單,以包含使用者和登入風險型原則,進一步強化其狀態。
Microsoft 建議組織擁有兩個僅限雲端的緊急存取帳戶永久指派全域管理員 (部分機器翻譯) 角色。 這些帳戶具有高度特殊權限,不會指派給特定個人。 這些帳戶僅限於無法使用一般帳戶或所有其他系統管理員被意外鎖在系統外部的緊急或「急用」案例。這些帳戶應遵循緊急存取帳戶建議 (部分機器翻譯) 來建立。
下一步
- 部落格:安全性預設值簡介
- 如需授權的詳細資訊,請參閱 Microsoft Entra 價格頁面。