當您在環境中部署和運作不易受網路釣魚攻擊的無密碼驗證時,我們建議您採用以使用者身份為基礎的方法。 對於特定使用者角色,各種防範網路釣魚的無密碼方法比其他方法更有效。 此部署指南可協助您了解哪些類型的方法和推出計劃對您環境中的使用者角色有幫助。 防網路釣魚無密碼部署方法通常有 6 個步驟,大致上依序進行,但不一定要 100% 完成才能進入其他步驟:
判斷您的使用者角色
判斷與組織相關的使用者角色。 此步驟對您的專案至關重要,因為不同的角色有不同的需求。 Microsoft 建議您考慮並評估組織中至少 4 個一般使用者角色。
| 使用者形象 | 描述 |
|---|---|
| 資訊工作者 | |
| 前線工作者 | |
| IT 專業人員/DevOps 工作者 | |
| 高度監管的員工 |
Microsoft 建議您在組織中廣泛部署防網路釣魚的無密碼驗證。 傳統而言,資訊工作者是最容易開始的使用者類型。 在解決影響 IT 專業人員的問題時,請勿延遲為資訊工作者推出安全認證。 採取「不要讓完美成為優秀的敵人」的方法,並盡可能部署安全認證。 當越來越多使用者使用防網路釣魚的無密碼憑證登入時,您可以降低您的環境遭受攻擊的可能性。
Microsoft 建議您定義角色,然後將每個角色放入專門針對該使用者角色的 Microsoft Entra ID 群組。 這些群組會在後續步驟中用來向不同類型的使用者發放憑證,以及當您開始強制使用抗網路釣魚的無密碼憑證時。
規劃裝置準備狀態
裝置是任何成功部署防網路釣魚的無密碼系統的關鍵因素之一,因為防網路釣魚的無密碼憑證的一個目標就是利用現代裝置的硬體來保護這些憑證。 首先,熟悉 Microsoft Entra ID 的 FIDO2 支援性。
請藉由修補到各個作業系統的最新支援版本,確定您的裝置已做好防範網路釣魚且無需密碼的準備。 Microsoft 建議您的裝置至少執行以下版本:
- Windows 10 22H2 (適用於 Windows Hello for Business)
- Windows 11 22H2 (使用密鑰時獲得最佳使用者體驗)
- macOS 13 Ventura
- iOS 17
- Android 14
這些版本提供原生整合功能的最佳支援,例如密鑰、Windows Hello 企業版和 macOS 平台認證。 較舊的作業系統可能需要使用來自第三方的認證設備,例如 FIDO2 安全性金鑰,以支援具有防網路釣魚功能的無密碼驗證。
註冊使用者以獲取防釣魚攻擊的認證凭证
認證註冊和初始化是您抵禦網路釣魚的無密碼化部署專案中第一個主要的使用者活動。 本節涵蓋可攜式和本機認證的推出。
| 認證 | 描述 | 福利 |
|---|---|---|
| 可攜式 | 可以跨裝置使用。 您可使用可攜式認證來登入另一個裝置,或在其他裝置上註冊認證。 | 對大多數使用者而言,這是需要註冊的最重要認證類型,因為它們可以跨裝置使用,並在許多案例中提供防網路釣魚驗證。 |
| 本地 | 您可使用本機認證在裝置上進行驗證,而不需要依賴外部硬體,例如使用 Windows Hello 企業版生物特徵辨識在相同電腦上的 Microsoft Edge 瀏覽器中登入應用程式 | 它們對可攜式認證有兩個主要優點: |
- 對於新使用者,註冊和啟動流程會針對沒有現有企業認證的使用者進行身份驗證。 它會為他們引導創建第一個可攜式憑證,並利用該可攜式憑證在每個計算設備上初始化其他本地憑證。 註冊之後,系統管理員可以針對 Microsoft Entra ID 中的使用者執行防網路釣魚驗證。
- 對於現有使用者,此階段用戶可以直接在他們現有的設備上註冊防網路釣魚的無密碼技術,或使用現有的 MFA 憑證來初始化防網路釣魚的無密碼憑證。 最終目標與新使用者相同 - 大部分的使用者應該至少有一個可攜式認證,然後在每個計算裝置上取得本機認證。 如果您是系統管理員,為現有系統使用者部署抗網路釣魚的無密碼技術,則可以直接跳到步驟 2:啟動可攜式認證一節。
開始之前,Microsoft 建議為租用戶中的企業使用者啟用密鑰和其他認證。 如果使用者有動機自行註冊強認證,則允許它是有好處的。 您至少應該啟用 Passkey (FIDO2) 原則,讓使用者可以在有偏好的情況下註冊密鑰和安全性金鑰。
本節著重於階段 1-3:
使用者應該至少註冊兩個驗證方法。 註冊另一種方法後,如果使用者的主要方法發生問題,例如裝置遺失或遭竊,使用者就會有可用的備份方法。 例如,最好讓使用者在手機和工作站本地(Windows Hello for Business)同時註冊通行碼。
注意
一律建議使用者至少註冊兩個驗證方法。 這可確保如果使用者的主要方法發生問題,例如裝置遺失或遭竊,使用者有可用的備份方法。 例如,最好讓使用者在手機和工作站上本機註冊 Windows Hello 企業版的通行金鑰(passkeys)。
注意
本指引專為目前 Microsoft Entra ID 中所提供的通行密鑰支援而設計,涵蓋在 Microsoft Authenticator 中的裝置綁定通行密鑰,及在實體安全金鑰上的裝置綁定通行密鑰。 Microsoft Entra ID 計劃新增對同步密鑰的支援。 如需詳細資訊,請參閱公開預覽:在 Microsoft Entra ID 中展開密鑰支援。 本指引將會更新,以在可用之後包含同步密碼指引。 例如,許多組織可能受益於依賴前面圖表中第3階段的同步,而非完全建立全新的憑證。
上線步驟 1:身分識別驗證
對於尚未證明身分的遠端使用者,企業上線是一項重大挑戰。 如果沒有適當的身分識別驗證,組織就無法完全確定他們打算納入的人員。 Microsoft Entra 驗證識別碼 可以提供高保證身分識別驗證。 組織可以與身分識別驗證合作夥伴 (IDV) 合作,在上線程式中驗證新遠端使用者的身分識別。 處理使用者政府簽發的身分證件之後,IDV 可以提供驗證使用者身分的已驗證身分證。 新的使用者會將此已驗證身份提供給僱用組織,以建立信任,並確認組織正在聘用合適的人選。 組織可以使用 Microsoft Entra 已驗證 ID 添加臉部檢查功能,這會在驗證中新增臉部比對層,以確保信任使用者在當下呈現身分識別確認的已驗證 ID。
透過校訂程式驗證其身分識別之後,新進員工會獲得暫時存取通行證 (TAP),可用來啟動其第一個可攜式認證。
請參閱下列指南,以啟用 Microsoft Entra 驗證識別碼上線和 TAP 發行:
如需 Microsoft Entra 驗證識別碼 的授權詳細數據,請參閱下列連結:
某些組織可能會選擇除 Microsoft Entra 驗證識別碼外的其他方法來為使用者服務,並向他們發出其第一個認證。 Microsoft 建議這些組織仍使用 TAP,或讓使用者在沒有密碼的情況下上線的另一種方式。 例如,您可以使用 Microsoft Graph API 佈建 FIDO2 安全性密鑰。
上線步驟 2:初始化可攜式憑證
若要將已存在的使用者轉換至無密碼且防釣魚的認證方式,請先判斷您的使用者是否已註冊傳統的多因素驗證。 已註冊傳統 MFA 方法的使用者可能會被納入防網路釣魚的無密碼註冊政策的目標群體。 他們可以使用傳統 MFA 來註冊其第一個具備抵禦網絡釣魚功能的可攜式憑證,然後根據需要繼續註冊本地憑證。
對於沒有 MFA 的使用者或新使用者,請依循程序為使用者發放臨時存取密碼 (TAP)。 您可以發出 TAP,就像為新使用者提供他們的第一個憑證一樣,或使用 Microsoft Entra Verified ID 整合功能。 一旦使用者擁有 TAP,就可以啟動他們的第一個防止網路釣魚的安全憑證。
對於使用者的第一個無密碼憑證,最好是可攜式憑證,以便在其他計算裝置上使用進行驗證。 例如,密鑰可用來在 iOS 手機上本機進行驗證,但也可以使用跨裝置驗證流程在 Windows 電腦上進行驗證。 此跨裝置功能可讓可攜式密碼金鑰用來啟動 Windows 電腦上的 Windows Hello for Business。
同樣重要的是,使用者經常使用的每部裝置都有本機可用的認證,讓使用者享有最順暢的使用體驗。 本機可用的認證可縮短驗證所需的時間,因為使用者不需要使用多個裝置,而且步驟也較少。 使用步驟 1 中的 TAP 註冊可攜式認證,以啟動載入這些其他認證,讓使用者在可能擁有的許多裝置上原生使用防釣魚認證。
下表列出對不同角色的建議:
| 使用者角色 | 建議的可攜式認證 | 替代可攜式認證 |
|---|---|---|
| 資訊工作者 | 密鑰 (驗證器應用程式) | 安全性金鑰、智慧型卡片 |
| 前線工作者 | 安全性金鑰 | 密鑰 (Authenticator 應用程式),智慧型卡片 |
| IT 專業人員/DevOps 工作者 | 密鑰 (驗證器應用程式) | 安全性金鑰、智慧型卡片 |
| 高度監管的工作者 | 憑證 (智慧型卡片) | 密鑰 (Authenticator 應用程式),安全性金鑰 |
使用下列指引,為貴組織的相關使用者角色啟用建議和替代的可攜式認證:
| 方法 | 指引 |
|---|---|
| 通行鑰 | |
| 安全性金鑰 | |
| 智慧型卡片/憑證式驗證 (CBA) |
入職步驟 3:在計算裝置上初始化本機憑證
使用者註冊可攜式認證後,即可在其定期使用的每個計算裝置上以 1:1 關係初始化其他認證,這對其日常使用體驗大有助益。 這類認證通常適用於資訊工作者和 IT 專業人員,但對於共用裝置的前線工作者來說,並不常見。 只共用裝置的使用者只能使用可攜式認證。
您的組織需要判斷在目前階段每個使用者角色偏好哪種類型的認證。 Microsoft 建議:
| 使用者形象 | 建議的本機認證 - Windows | 建議的本機認證 - macOS | 建議的本機認證 - iOS | 建議的本機認證 - Android | 建議的本機認證 - Linux |
|---|---|---|---|---|---|
| 資訊工作者 | Windows Hello 企業版 | 平台單一登入 (SSO) 安全記憶體保護區金鑰 | 密鑰 (驗證器應用程式) | 密鑰 (驗證器應用程式) | N/A (請改用可攜式認證) |
| 前線工作者 | N/A (請改用可攜式認證) | N/A (請改用可攜式認證) | N/A (請改用可攜式認證) | N/A (請改用可攜式認證) | N/A (請改用可攜式認證) |
| IT 專業人員/DevOps 工作者 | Windows Hello 企業版 | 平台 單一登入 安全環境密鑰 | 密鑰 (驗證器應用程式) | 密鑰 (驗證器應用程式) | N/A (請改用可攜式認證) |
| 高度受規範的工人 | 商務版 Windows Hello 或 CBA | 平台 SSO 安全區域金鑰或 CBA | 通行密鑰 (驗證器應用程式) 或 CBA | 通行密鑰 (驗證器應用程式) 或 CBA | N/A (請改用智慧型卡片) |
使用下列指引,在您的環境中為組織的相關使用者角色啟用建議的本機認證:
| 方法 | 指引 |
|---|---|
| Windows Hello 企業版 | |
| 平台 單一登入 安全環境密鑰 | |
| 通行鑰 |
角色特定考量
每個用戶角色在防禦網路釣魚攻擊的無密碼部署期間都有其自身的挑戰和考量。 當您識別您需要容納哪些人物角色時,應該將這些考量因素納入您的部署專案規劃中。 下列連結具有每個角色的特定指引:
- 資訊工作者
- 前線工作者
- IT 專業人員/DevOps 工作者
- 嚴格受監管的工作人員
推動使用抗網路釣魚攻擊的憑證
此步驟介紹如何讓使用者更容易採用防網路釣魚憑證。 您應該測試部署策略、規劃推出方案,並將方案傳達給使用者。 然後,您可以先建立報告並監視進度,然後在整個組織中執行防網路釣魚認證。
測試部署策略
Microsoft 建議您使用一組測試和試驗使用者,測試在上一個步驟中建立的部署策略。 此階段應包含下列步驟:
- 建立測試使用者與早期採用者的清單。 這些使用者應該代表不同的使用者角色,而不只是 IT 系統管理員。
- 建立 Microsoft Entra ID 群組,並將測試使用者新增至群組。
- 在 Microsoft Entra ID 中啟用驗證方法原則,並將測試群組的範圍設定為您啟用的方法。
- 使用驗證方法活動報告來測量試驗使用者的註冊進度。
- 建立條件式存取政策,以強制在每種作業系統上使用防網路釣魚的無密碼憑證,並應用於試驗群組。
- 使用 Azure 監視器和活頁簿評估政策執行的成功程度。
- 收集使用者關於推出成功的意見反應。
規劃推出策略
Microsoft 建議根據哪些使用者角色最適合部署來推動使用。 一般而言,這表示依此順序為使用者進行部署,但可能會根據您的組織而變更:
- 資訊工作者
- 前線工作者
- IT 專業人員/DevOps 工作者
- 高度監管的員工
使用下列各節為每個角色群組建立終端使用者通訊,規劃範圍並推出通行鑰註冊功能,並使用使用者報告和監視來追蹤推出進度。
使用 Phishing-Resistant 無密碼工作簿提升準備度(預覽)
組織可以選擇性地選擇將其Microsoft Entra ID 登入記錄導出至 Azure 監視器,以進行長期保留、威脅搜捕和其他用途。 Microsoft已發行一份活頁簿,Azure Monitor 中有日誌的組織可以使用,來協助進行網路釣魚防護的無密碼部署各個階段。 您可以在這裡存取 Phishing-Resistant 無密碼活頁簿:aka.ms/PasswordlessWorkbook。 選擇標題為 Phishing-Resistant 的活頁簿「無密碼部署 (預覽版)」:
活頁簿有兩個主要區段:
- 註冊整備階段
- 執行準備階段
註冊整備階段
使用 [註冊整備階段] 索引標籤來分析租使用者中的登入記錄,判斷哪些使用者已準備好進行註冊,以及哪些使用者可能會遭到封鎖而無法註冊。 例如,使用 [註冊整備階段] 索引標籤,您可以選取 iOS 作為 OS 平臺,然後選取 Authenticator 應用程式 Passkey 作為您想要評估整備程度之認證的類型。 然後,您可以按下工作簿視覺化,以篩選出預期會有註冊問題的使用者並匯出名單。
活頁簿的 [註冊整備階段] 索引標籤可協助您評估下列 OS 和認證的整備程度:
- 窗戶
- Windows Hello 企業版
- FIDO2 安全性金鑰
- 驗證器應用程式通行金鑰
- 基於憑證的認證 / 智能卡
- macOS
- 平台 單一登入 安全環境密鑰
- FIDO2 安全性金鑰
- 驗證器應用程式通行金鑰
- 基於憑證的認證 / 智能卡
- iOS
- FIDO2 安全性金鑰
- 驗證器應用程式通行金鑰
- 基於憑證的認證 / 智能卡
- Android
- FIDO2 安全性金鑰
- 驗證器應用程式通行金鑰
- 基於憑證的認證 / 智能卡
使用每個導出的清單來分級可能有註冊問題的使用者。 註冊問題的回應應包括協助用戶升級裝置 OS 版本、取代過時的裝置,以及選擇替代認證,其中慣用選項不可行。 例如,您的組織可以選擇將實體 FIDO2 安全性金鑰提供給無法在 Microsoft Authenticator 應用程式中使用 Passkeys 的 Android 13 使用者。
同樣地,使用入學準備報告來協助您建立準備好開始註冊通訊和行銷活動的用戶清單,以符合整體 推出策略。
強制準備階段
強制整備階段的第一個步驟是在 Report-Only 模式中建立條件式存取原則。 如果將使用者/裝置納入防篡改釣魚攻擊的強制範圍內,該政策會在您的登入記錄中填入資料,說明存取是否會被封鎖。 使用下列設定在您的租使用者中建立新的條件式存取原則:
| 設定 | 價值 |
|---|---|
| 使用者/群組分配 | 所有使用者,不包括打破帳戶 |
| 應用程式分配 | 所有資源 |
| 授與控件 | 需要驗證強度 - 網路釣魚防護 MFA |
| 啟用政策 | 僅限記錄 |
盡早在推行過程中建立此政策,最好在開始註冊計畫行銷活動之前先建立。 這將確保您擁有一個良好的歷史數據集,以便了解如果政策被強制執行,會封鎖哪些用戶和登入。
接下來,使用活頁簿來分析哪些使用者與裝置配對已準備好進行強制執行。 下載準備好強制執行的使用者清單,並將其新增至與 強制執行原則一致建立的群組,。 從在原則篩選中選取唯讀條件式存取原則開始:
報告將提供一份使用者清單,列出那些在每個裝置平台上能夠成功通過防網路釣魚的無密碼驗證要求的使用者。 下載每個清單,並將適當的使用者放在符合裝置平台的強制群組中。
重複此過程一段時間,直到每個強制群組包含大多數或所有使用者為止。 最後,您應該能夠啟用僅報告原則,以對租用戶中的所有使用者和裝置平臺進行強制執行。 達到此完成狀態之後,您可以移除每個裝置 OS 的個別強制原則,減少所需的條件式存取原則數目。
調查尚未準備好接受強制措施的使用者
使用 進一步數據分析 標籤頁來調查為何特定用戶尚未準備好在各種平台上進行強制措施。 選取 [原則不滿足] 方塊,以篩選出那些會因報告專用條件式存取原則而被阻擋的使用者登入。
使用此報告所提供的數據來判斷哪些使用者會被封鎖、他們所在的裝置OS、所使用的用戶端應用程式類型,以及他們嘗試存取的資源。 此數據應可協助您將這些用戶設為各種補救或註冊動作的目標,以便有效地將其移至強制執行範圍。
規劃終端使用者溝通
Microsoft 為終端使用者提供通訊範本。 驗證部署材料 包含可自定義的電子郵件範本,以通知用戶關於防網路釣魚的無密碼驗證部署。 使用下列範本傳達給您的使用者,讓他們了解抵禦網路釣魚、無密碼的部署:
通訊應該重複多次,以協助吸引盡可能多的使用者。 例如,您的組織可能會選擇使用以下模型來傳達不同的階段和時間軸:
- 距離執行還有 60 天:傳達具抗網路釣魚攻擊特性的驗證方法的重要性,並鼓勵使用者主動參加註冊。
- 距離執行期限還有 45 天:重複提醒
- 距執行還有30天:傳達30天後將開始執行防網路釣魚機制的消息,鼓勵使用者提前註冊
- 距離執行 15 天:重申訊息,告知他們如何聯絡客服中心。
- 距離執行 7 天:重複訊息,告知他們如何聯絡客服中心。
- 距執行還有 1 天:請告知他們將在 24 小時後執行,並告知他們如何聯絡客服中心。
Microsoft 建議透過電子郵件以外的其他頻道與使用者通訊。 其他選項可能包括 Microsoft Teams 訊息、休息室海報和擁護者計劃,在這些計劃中,選定的員工已接受訓練,以向其同事宣傳該計劃。
報告和監視
使用先前涵蓋的 Phishing-Resistant 無密碼活頁簿,來協助您監控和報告您的部署。 此外,如果無法使用 Phishing-Resistant 無密碼活頁簿,請使用下面討論的報表,或依賴這些報表。
Microsoft Entra ID 報告 (例如驗證方法活動和 Microsoft Entra 多重要素驗證的登入事件詳細資料) 提供技術和商業見解,可協助您測量並推動採用。
從 [驗證方法] 活動儀表板中,您可以查看註冊和使用情況。
- 註冊顯示能夠使用防魚無密碼驗證及其他驗證方法的使用者數目。 您可以看到圖表,其中顯示使用者註冊的驗證方法,以及每種方法最近的註冊情況。
- 使用方式顯示登入時使用的驗證方法。
商務和技術應用程式擁有者應根據組織需求擁有及接收報告。
- 透過驗證方法註冊活動報告,追蹤防止網路釣魚的無密碼憑證推行狀態。
- 使用驗證方法登入活動報告和登入記錄,追蹤使用者對具抗網路釣魚特性的無密碼憑證的採用情況。
- 使用登入活動報告,追蹤用來登入各種應用程式的驗證方法。 選取使用者資料列;選取 [驗證詳細資料],以檢視驗證方法及其對應的登入活動。
Microsoft Entra ID 會在發生下列情況時將項目新增至稽核記錄:
- 系統管理員會變更驗證方法。
- 使用者在 Microsoft Entra ID 中對其使用者認證進行任何更改。
Microsoft Entra ID 最多會保留 30 天的稽核資料。 建議您針對稽核、趨勢分析及其他商業需求設定較長的保留期。
存取 Microsoft Entra 系統管理中心或 API 中的稽核資料,並下載到您的分析系統中。 如果您需要較長的保留期,請在安全性資訊與事件管理 (SIEM) 工具 (例如 Microsoft Sentinel、Splunk 或 Sumo Logic) 中匯出和取用記錄。
監視客服工單數量
您的 IT 技術支援中心可以提供部署進程的重要信號,因此 Microsoft 建議您在執行具釣魚防禦功能的無密碼部署時追蹤 IT 技術支援中心的工單數量。
當您的支援中心案件數量增加時,您應該放慢部署、溝通與使用者,以及執行強制措施的步調。 隨著票證數量減少,您可以重新加強這些活動。 使用此方法時,您必須在推行計劃中保持彈性。
例如,您可以按批次先執行部署,然後執行強制執行,這些批次是按日期範圍而不是特定日期來安排的。
- 6 月 1 日至 15 日:第 1 批次註冊部署與行銷活動
- 6 月 16 日至 30 日:第 2 波世代註冊部署和行銷活動
- 7 月 1 日至 15 日:第 3 波世代註冊部署和行銷活動
- 7 月 16 日至 31 日:啟用第 1 批強制執行
- 8 月 1 日至 15 日:啟用第 2 波隊列管制
- 8 月 16 日至 31 日:啟用第 3 波組別強制執行
在您執行這些不同階段的過程中,可能需要根據客服中心票證的數量來放慢速度,待票證數量減少後再繼續。 若要執行此策略,Microsoft 建議您為每個波段建立 Microsoft Entra ID 安全性群組,並將每個群組一次新增至您的原則。 這種方法有助於避免讓您的支援小組不堪重負。
採用能防範網路釣魚的登入方法
本節著重於階段 4。
防止網路釣魚的無密碼部署的最後階段是強制使用防止網路釣魚的認證。 在 Microsoft Entra ID 中執行這項操作的主要機制是條件式存取驗證強度。 Microsoft 建議您根據使用者/裝置配對方法,對每個使用者類型進行管理。 例如,執法計畫推出可能會遵循下列模式:
- Windows 和 iOS 上的資訊工作者
- macOS 和 Android 平台上的資訊工作者
- iOS 和 Android 上的 IT 專業人員
- 在 iOS 和 Android 上的 FLW
- Windows 和 macOS 上的 FLW
- Windows 和 macOS 上的 IT 專業人員
Microsoft 建議您使用租用戶的登入資料來建置所有使用者/裝置配對的報告。 您可以使用 Azure 監視器和活頁簿等查詢工具。 至少嘗試識別符合這些類別的所有使用者/裝置配對。
如有可能,請使用先前涵蓋的 Phishing-Resistant 無密碼活頁簿 來協助實施階段。
針對每個使用者,建立他們定期用於工作的作業系統清單。 將清單映射至該使用者/裝置配對的防釣魚攻擊登入強制執行的準備程度。
| OS 類型 | 準備好執行 | 尚未準備執行 |
|---|---|---|
| 窗戶 | 10+ | 8.1 與較舊版本、Windows Server |
| iOS | 17+ | 16 及更早的版本 |
| 安卓 | 14+ | 13及更早的版本 |
| macOS | 13+ (文圖拉) | 12 及更早的版本 |
| VDI | 取決於1 | 取決於1 |
| 其他 | 取決於1 | 取決於1 |
1對於裝置版本尚未立即可執行強化的每個使用者/裝置配對,請決定如何解決強化防範網路釣魚的需求。 針對舊版作業系統、虛擬桌面基礎結構 (VDI) 和其他作業系統,例如 Linux,請考慮下列選項:
- 強化防範網路釣魚措施,使用外部硬體 – FIDO2 安全金鑰
- 使用外部硬體—智慧卡,加強防範網路釣魚攻擊
- 使用遠端憑證強化抵禦網路釣魚,例如跨裝置驗證流程中的通行密鑰
- 加強使用遠端認證在 RDP 通道(尤其是 VDI)內的防網路釣魚功能。
關鍵任務是透過資料來評估哪些使用者和角色已準備好在特定平台上執行。 在已準備好執行的使用者/裝置配對上開始執行動作,以「停止出血」,並減少環境中發生的網路釣魚式驗證數量。
然後移至使用者/裝置配對需要準備工作的其他情境。 請逐步完成使用者/裝置配對清單,直到您全面執行防網路釣魚驗證為止。
建立一組 Microsoft Entra ID 群組,以逐步推行強制執行。 在使用波浪型推出方法時,請重用上一個步驟中的群組。
建議強制執行條件式存取原則
以特定條件式存取原則針對每個群組。 這種方法可協助您依使用者/裝置配對逐漸推出執行控制項。
| 政策 | 政策中針對的群組名稱 | 原則 - 裝置平台條件 | 政策 - 授權控制 |
|---|---|---|---|
| 1 | Windows 支援防止網路釣魚的無密碼就緒用戶 | 窗戶 | 需要提高驗證強度-具防網路釣魚功能的多因子驗證 (MFA) |
| 2 | macOS 已準備好防網路釣魚的無密碼使用者 | macOS | 需要提高驗證強度-具防網路釣魚功能的多因子驗證 (MFA) |
| 3 | 已準備好使用抗網路釣魚的無密碼功能之 iOS 用戶 | iOS | 需要提高驗證強度-具防網路釣魚功能的多因子驗證 (MFA) |
| 4 | Android 抵抗網路釣魚且準備好進行無密碼驗證的用戶 | 安卓 | 需要提高驗證強度-具防網路釣魚功能的多因子驗證 (MFA) |
| 5 | 其他無密碼且具防網路釣魚功能的使用者 | Windows、macOS、iOS 或 Android 以外的任何作業系統 | 需要提高驗證強度-具防網路釣魚功能的多因子驗證 (MFA) |
當您判斷其裝置和作業系統是否已就緒,或他們是否沒有該類型的裝置時,將每個使用者新增至每個群組。 在推出結束時,每個使用者都應該屬於其中一個群組。
回應無密碼使用者的風險
Microsoft Entra ID Protection 可協助組織偵測、調查和修復身分識別型風險。 Microsoft Entra ID Protection 可為您的使用者提供重要且實用的偵測功能,即使他們切換到使用防網路釣魚無密碼憑證時亦然。 例如,對於具有防禦網路釣魚能力的使用者,一些相關的偵測包括:
- 來自匿名 IP 位址的活動
- 系統管理員已確認使用者遭盜用
- 異常代幣
- 惡意 IP 位址
- Microsoft Entra 威脅情報
- 可疑的瀏覽器
- 中間攻擊者
- 可能嘗試存取主刷新權杖 (PRT)
- 以及其他項目:對應於風險類型事件的風險偵測
Microsoft 建議 Microsoft Entra ID Protection 客戶採取下列動作,以最佳方式保護其抵禦網路釣魚的無密碼使用者:
- 檢閱 Microsoft Entra ID Protection 部署指引:規劃識別碼保護部署
- 設定風險記錄以匯出至 SIEM
- 調查任何中等使用者風險並採取行動
- 設定條件式存取原則以封鎖高風險 使用者
部署 Microsoft Entra ID Protection 之後,請考慮使用條件式存取權杖保護。 當使用者使用防網路釣魚無密碼認證登入時,攻擊和偵測會持續演進。 例如,當使用者憑證不再容易遭到網路釣魚攻擊時,攻擊者可能會轉而嘗試從使用者裝置中外洩存取權杖。 權杖保護可藉由將權杖繫結至所發行裝置的硬體,以協助降低此風險。