Microsoft 管理原則
如 2023 年 10 月 Microsoft 數位防禦報告中所述
...對數位和平的威脅降低了對技術的信任,並突顯出迫切需要改善各級網路防禦...
...在 Microsoft,我們的 1 萬多名安全專家每天分析超過 6.5 兆個訊號...推動一些最具影響力的網路安全性見解。 我們可以共同透過創新行動和集體防禦來建立網路復原能力。
作為這項工作的一部分,我們將在全球 Microsoft Entra 租用戶中提供由 Microsoft 管理的原則。 這些 簡化的條件式存取原則 會採取動作來要求多重要素驗證, 而最近的研究 發現可能會降低危害風險大於 99%。
至少獲派條件式存取系統管理員角色的系統管理員,會在 [保護]>[條件式存取]>[原則] 下的 [Microsoft Entra 系統管理中心] 中找到這些原則。
系統管理員能夠在原則中 [編輯] [狀態] ([開啟]、[關閉] 或 [報告專用]) 和 [排除的身分識別] ([使用者]、[群組] 和 [角色])。 組織應該從這些原則中排除其中斷或緊急存取帳戶,就像在其他條件式存取原則中一樣。 如果組織想要進行比由 Microsoft 管理的版本所允許基本類型更多的變更,則組織可以複製這些原則。
如果原則處於 [報告專用] 狀態,Microsoft 會在您的租用戶中引進這些原則後 90 天內啟用這些原則。 系統管理員可能會選擇更快 [開啟] 這些原則,或將原則狀態設定為 [關閉] 來選擇退出。 客戶會在啟用原則前的 28 天透過電子郵件和訊息中心貼文收到通知。
注意
在某些情況下,原則的啟用速度可能會比 90 天快。 如果這適用於您的租用戶,則會在電子郵件和 M365 訊息中心張貼中指出您收到有關 Microsoft 受控原則的資訊。 也會在 Microsoft 系統管理中心的原則詳細資料中提及。
原則
這些由 Microsoft 管理的原則可讓系統管理員進行簡單的修改,例如排除使用者,或從報告專用模式將其開啟或關閉。 組織無法重新命名或刪除任何由 Microsoft 管理的原則。 當系統管理員更加熟悉條件式存取原則時,他們可能會選擇複製原則來建立自訂版本。
由於威脅隨著時間變化,Microsoft 未來可能會變更這些原則,以利用新的功能或改善其功能。
管理員用來存取 Microsoft 系統管理入口網站的多重要素驗證
此原則涵蓋我們視為高度特殊權限的 14 個系統管理員角色,他們正在存取 Microsoft 系統管理入口網站群組,並要求他們執行多重要素驗證。
此原則的目標是未啟用安全性預設值的 Microsoft Entra ID P1 和 P2 租用戶。
提示
需要多重要素驗證的Microsoft管理原則與 2024 年 10 月開始逐步推出 Azure 登入的強制多重要素驗證公告不同。 如需該強制執行的詳細資訊,請參閱規劃 Azure 和其他系統管理入口網站的必要多重要素驗證一文。
依使用者多重要素驗證使用者的多重要素驗證
此原則涵蓋依使用者 MFA 的使用者,這是 Microsoft 不再建議的設定。 條件式存取提供較佳的系統管理員體驗,其中包含許多額外的功能。 合併條件式存取中的所有 MFA 原則,可協助您更針對要求 MFA、降低終端使用者摩擦,同時維持安全性態勢。
此原則的目標如下:
- 具有 Microsoft Entra ID P1 和 P2 的授權使用者。
- 未啟用安全性預設值的位置。
- 啟用或強制執行的使用者 MFA 少於 500 個。
若要將此原則套用至更多使用者,請複製原則並變更指派。
提示
使用頂端的 [編輯] 鉛筆修改由 Microsoft 管理的依使用者多重要素驗證原則時,可能會導致無法更新錯誤。 若要解決此問題,請選取原則的 [排除的身分識別] 區段底下的 [編輯]。
有風險登入的多重要素驗證和重新驗證
此原則涵蓋所有使用者,且當我們偵測到高風險登入時,需要 MFA 和重新驗證。在此情況下,高風險表示使用者登入的方式並不一般。 這些高風險的登入可能包括:高度異常的旅行、密碼噴灑攻擊或權杖重新執行攻擊。 如需這些風險定義的詳細資訊,請參閱什麼是風險偵測一文。
此原則的目標是未啟用安全性預設值的 Microsoft Entra ID P1 和 P2 租用戶。
- 如果 P2 授權等於或超過 MFA 註冊的作用中用戶總數,則原則涵蓋所有使用者。
- 如果 MFA 註冊的作用中用戶超過 P2 授權,我們會根據可用的 P2 授權,建立並指派原則給已限制的安全組。 您可以修改原則安全性群組的成員資格。
為了防止攻擊者接管帳戶,Microsoft 不允許風險性使用者註冊 MFA。
安全性預設值原則
當您從使用安全性預設值升級時,可使用下列原則。
封鎖舊式驗證
此原則會封鎖舊版驗證通訊協定存取應用程式。 舊版驗證是指由以下幾者提出的驗證要求:
- 不使用新式驗證的用戶端 (例如,Office 2010 用戶端)
- 任何使用舊版郵件通訊協定 (例如 IMAP、SMTP 或 POP3) 的用戶端
- 使用舊版驗證的任何登入嘗試都會遭到封鎖。
多數觀察到的入侵登入嘗試都來自於舊版驗證。 由於舊版驗證不支援多重要素驗證,攻擊者可以使用較舊的通訊協定繞過您的 MFA 需求。
Azure 管理需要多重要素驗證
此原則涵蓋嘗試存取透過 Azure Resource Manager API 所管理各種 Azure 服務的所有使用者,包括:
- Azure 入口網站
- Microsoft Entra 系統管理中心
- Azure PowerShell
- Azure CLI
嘗試存取這些資源時,使用者必須先完成 MFA,然後才能取得存取權。
管理員需要多重要素驗證
此原則涵蓋我們視為具有高度特殊權限的 14 個系統管理員角色之一的任何使用者。 由於這些具有高度特殊權限帳戶擁有的強大功能,因此每當他們登入任何應用程式時,都需要進行 MFA。
所有使用者都需要多重要素驗證
此原則涵蓋您組織中的所有使用者,並要求他們登入時都需要進行 MFA。 在大部分情況下,工作階段會保存在裝置上,使用者不需要在與另一個應用程式互動時完成 MFA。
如何查看這些原則的效果?
系統管理員可以查看「登入時的原則影響」一節,以查看其環境中原則效果的快速摘要。
系統管理員可以更深入地查看 Microsoft Entra 登入記錄,以查看這些在其組織中運作的原則。
- 以至少報表讀者身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [身分識別]>[監視和健康情況]>[登入記錄]。
- 尋找您想要檢閱的特定登入。 新增或移除篩選與資料行,篩除出不必要的資訊。
- 若要縮小範圍,請新增篩選條件,例如:
- 相互關聯識別碼 (調查特定事件時)。
- 條件式存取,以查看原則失敗和成功。 將篩選範圍設定為僅顯示失敗,以限制結果。
- 使用者名稱,以查看與特定使用者相關的資訊。
- 將日期範圍設定為有問題的時間範圍。
- 若要縮小範圍,請新增篩選條件,例如:
- 一旦找到對應至使用者登入的登入事件,請選取 [條件式存取] 索引標籤。[條件式存取] 索引標籤會顯示導致登入中斷的特定原則。
- 若要進一步調查,請按一下 [原則名稱],向下切入到原則的設定。 按一下 [原則名稱] 會顯示所選原則的原則設定使用者介面,以供檢閱和編輯。
- 您也可以在登入事件的 [基本資訊]、[位置]、[裝置資訊]、[驗證詳細資料] 和 [其他詳細資料] 索引標籤中,取得用於條件式存取原則評估的用戶端使用者和裝置詳細資料。
何謂條件式存取?
條件式存取是一項 Microsoft Entra 功能,可讓組織在存取資源時強制執行安全性需求。 條件式存取通常用於強制執行多重要素驗證、裝置設定或網路位置需求。
這些原則可以視為邏輯 if then 陳述式。
If 指派 (使用者、資源和條件) 為 true,then 在原則中套用存取控制 (授與和/或工作階段)。 If 您是想要存取其中一個 Microsoft 系統管理入口網站的系統管理員,then 必須執行多重要素驗證,以證明確實是您本人。
如果我想要進行更多變更,該怎麼辦?
系統管理員可能會選擇使用原則清單檢視中的 [複製] 按鈕來複製這些原則,以進一步變更這些原則。 這個新原則的設定方式與從 Microsoft 建議位置開始的任何其他條件式存取原則相同。
這些原則涵蓋哪些系統管理員角色?
- 全域管理員
- 應用程式系統管理員
- 驗證管理員
- 計費管理員
- 雲端應用程式系統管理員
- 條件式存取系統管理員
- Exchange 系統管理員
- 服務台系統管理員
- 密碼管理員
- 特殊權限驗證管理員
- 特殊權限角色管理員
- 安全性系統管理員
- Sharepoint 系統管理員
- 使用者管理員
如果我使用不同的解決方案進行多重要素驗證,會怎麼樣?
透過同盟或最近宣佈的外部驗證方法完成多重要素驗證符合受管理原則的需求。