Share via

Microsoft 管理原則

  • 發行項

如 2023 年 10 月 Microsoft 數位防禦報告 中所述

...對數位和平的威脅減少了對技術的信任,並突顯出迫切需要改善各級網路防禦。

...在 Microsoft,我們的 10,000 多名安全性專家每天分析超過 65 萬億個訊號...。推動一些最具影響力的網路安全性見解。 我們一起可以透過創新行動和集體防禦來建立網路復原能力。

作為這項工作的一部分,我們將在世界各地的 Microsoft Entra 租使用者中提供 Microsoft 管理的原則。 這些簡化的條件式存取原則會採取動作來要求多重要素驗證,最近的研究發現這可能會降低 99.22% 的入侵風險。

在啟動時,Microsoft 會部署下列三個原則,其中我們的數據告訴我們,它們會增加組織的安全性狀態:

  • 存取 Microsoft 管理員 入口網站的系統管理員多重要素驗證
  • 每個使用者多重要素驗證使用者的多重要素驗證
  • 具風險登入的多重要素驗證和重新驗證

Screenshot showing an example of a Microsoft-managed policy in the Microsoft Entra admin center.

至少具有 管理員 istrators已指派的條件式存取 管理員 istrator 角色,會在 [保護>條件式存取>原則] 下的 Microsoft Entra 系統管理中心中找到這些原則。

管理員 istrators 有能力編輯原則中的狀態(開啟、關閉或僅限報表)和排除的身分識別(使用者、群組和角色)。 組織應該 從這些原則中排除其中斷或緊急存取帳戶 ,就像在其他條件式存取原則中一樣。

提示

使用頂端的 [編輯 鉛筆] 修改 Microsoft 管理的每個使用者多重要素驗證原則,可能會導致 無法更新 錯誤。 若要解決此問題,請選取原則的 [排除身分識別] 區段底下的 [編輯]。

如果這些原則處於 僅限 報表狀態,Microsoft 會在您租用戶中引進這些原則 90 天后啟用。 管理員 如果想要的話,他們可能會選擇儘快啟用這些原則。

原則

這些 Microsoft 管理的原則可讓系統管理員進行簡單的修改,例如排除使用者,或將其從僅限報表模式開啟或關閉,不過他們將無法重新命名或刪除 Microsoft 管理的原則。 當 管理員 istrators 更熟悉條件式存取原則時,他們可能會選擇複製原則並建立自定義版本。

隨著威脅隨著時間的發展,Microsoft 可能會在未來變更這些原則,以利用新功能來改善其功能。

存取 Microsoft 管理員 入口網站的系統管理員多重要素驗證

此原則涵蓋我們視為高度特殊許可權的14個系統管理員角色,他們正在存取 Microsoft 管理員 Portals 群組,並要求他們執行多重要素驗證。

此原則的目標是未啟用安全性預設值的 Microsoft Entra ID P1 和 P2 租使用者。

每個使用者多重要素驗證使用者的多重要素驗證

此原則涵蓋使用者 每個使用者 MFA,這是 Microsoft 不再建議的設定。 條件式存取 提供較佳的系統管理員體驗,其中包含許多額外的功能。 合併條件式存取中的所有 MFA 原則,可協助您更針對要求 MFA、降低終端使用者摩擦,同時維持安全性狀態。

此原則是以 Microsoft Entra ID P1 和 P2 為目標的授權使用者,其中未啟用安全性默認原則,且每位使用者啟用/強制執行的 MFA 少於 500 個。

具風險登入的多重要素驗證和重新驗證

此原則涵蓋所有使用者,且當我們偵測到高風險登入時,需要 MFA 和重新驗證。在此情況下,高風險表示使用者登入的方式不一般。 這些高風險的登入可能包括:高度異常的旅行、密碼噴灑攻擊或令牌重新執行攻擊。 如需這些風險定義的詳細資訊,請參閱什麼是風險偵測一文

此原則是以未啟用安全性預設值且每個使用者有足夠的授權的 Microsoft Entra ID P2 租使用者為目標。 Microsoft Entra ID 不允許有風險的用戶註冊 MFA,因此為了避免將他們鎖定在系統外,此原則僅適用於已向 MFA 註冊每個用戶的組織。

如何? 看到效果嗎?

管理員 istrators 可以查看登入對原則的影響一節,以查看其環境中原則效果的快速摘要。

Screenshot showing the impact of a policy on the organization.

管理員 istrators 可以更深入地查看 Microsoft Entra 登入記錄,以查看這些原則在其組織中運作。

  1. 以至少報表讀者身分登入 Microsoft Entra 系統管理中心
  2. 流覽至 [身分>識別監視與健康情況>登入記錄]。
  3. 尋找您想要檢閱的特定登入。 新增或移除篩選與資料行,篩除出不必要的資訊。
    1. 新增篩選以縮小範圍:
      1. 相互關聯識別碼 (調查特定事件時)。
      2. 條件式存取 以查看原則失敗和成功。 將篩選範圍設定為僅顯示失敗,以限制結果。
      3. 使用者名稱,以查看與特定使用者相關的資訊。
      4. 將日期範圍設定為有問題的時間範圍。
  4. 找到對應至使用者登入的登入事件之後,請選取 [ 條件式存取 ] 索引卷標。[條件式存取] 索引卷標會顯示導致登入中斷的特定原則或原則。
    1. 若要進一步調查,請按兩下 [原則名稱],向下切入至原則的設定。 按兩下 [原則 名稱 ] 會顯示所選原則的原則設定使用者介面,以供檢閱和編輯。
    2. 您也可以在登入事件的 [基本資訊][位置][裝置資訊][驗證詳細資料][其他詳細資料] 索引標籤中,取得用於條件式存取原則評估的用戶端使用者裝置詳細資料

何謂條件式存取?

條件式存取是 Microsoft Entra 功能,可讓組織在存取資源時強制執行安全性需求。 通常用來強制執行多重要素驗證、裝置設定或網路位置需求。

這些原則可以視為邏輯 if then 語句。

如果 指派(使用者、資源和條件)為 true, 請在 原則中套用訪問控制(授與和/或會話)。 如果您是 想要存取其中一個 Microsoft 系統管理入口網站的系統管理員, 則必須 執行多重要素驗證,以證明它確實是您的身分。

如果我想要進行更多變更,該怎麼辦?

管理員 istrators 可能會選擇使用 複製這些原則來進一步變更這些原則原則清單檢視中的 [重複] 按鈕。 您可以從 Microsoft 建議的位置開始,以與任何其他條件式存取原則相同的方式設定這個新原則。

下一步