正如Microsoft身份識別安全總監亞歷克斯·韋納特在博客文章 《您的 Pa$$word 無關緊要》中所述:
您的密碼並不重要,但 MFA 確實很重要! 根據我們的研究,如果使用多重要素驗證 (MFA),則帳戶遭到入侵的機率可降低 99.9%。
驗證強度
本文中的指引可協助您的組織使用驗證強度為您的環境建立 MFA 原則。 Microsoft Entra ID 提供三 項內建驗證強度:
- 本文建議使用多重身份驗證的強度(強度較低,限制較少)
- 無密碼 MFA 強度
- 網路釣魚防護 MFA 強度 (限制最嚴格)
您可以使用其中一個內建強度,或根據您想要要求的驗證方法建立 自定義驗證強度 。
針對外部使用者案例,資源租使用者可接受的 MFA 驗證方法會根據使用者是在主租用戶或資源租使用者中完成 MFA 而有所不同。 如需詳細資訊,請參閱 外部使用者的驗證強度。
使用者排除
條件式存取原則是強大的工具。 建議您從政策中排除下列帳戶:
-
緊急存取 或 破窗帳戶 ,以防止因為政策設定錯誤而導致鎖定。 在所有系統管理員都被鎖定的不太可能的情況下,您的緊急存取系統管理帳戶可用來登入和復原存取權。
- 如需詳細資訊,請參閱 管理Microsoft Entra標識符中的緊急存取帳戶一文。
-
服務帳戶 和 服務主體,例如 Microsoft Entra Connect 同步帳戶。 服務帳戶是未繫結至任何特定使用者的非互動式帳戶。 後端服務通常會使用它們來允許以程式設計方式存取應用程式,但也用於登入系統以進行系統管理。 服務主體所進行的呼叫不會受到範圍為使用者的條件式存取原則所封鎖。 使用工作負載身分識別的條件式存取來定義以服務主體為目標的原則。
- 如果您的組織在指令碼或程式碼中使用這些帳戶,請將其取代 為受控識別。
範本部署
組織可以遵循下列步驟,或使用 條件式存取範本來部署此原則。
建立條件式存取原則
下列步驟可協助建立條件式存取原則,以要求所有使用者使用驗證強度原則執行多重要素驗證, 而不需要排除任何應用程式。
以至少條件式存取系統管理員身分登入 Microsoft Entra 系統管理中心。
瀏覽至 Entra ID>條件式存取>原則。
選取 新增政策。
為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。
在 [指派] 底下,選取 [使用者] 或 [工作負載識別]。
- 在 [包含] 底下,選取 [所有使用者]。
- 在「排除」下:
- 選取 [使用者和群組]
- 選擇貴組織的緊急存取帳戶或應急帳戶。
- 如果您使用混合式身分識別解決方案,例如 Microsoft Entra Connect 或 Microsoft Entra Connect Cloud Sync,請選取 [目錄角色],然後選取 [ 目錄同步處理帳戶]
- 如果您要以 來賓使用者特定原則為目標,您可以選擇排除來賓使用者。
- 選取 [使用者和群組]
在 [目標資源>資源(先前稱為雲端應用程式)>] 包含 下,選取 [所有資源(先前為「所有雲端應用程式」)]。
提示
Microsoft建議所有組織建立一個基本條件式存取原則,該原則針對所有使用者、所有資源(不排除任何應用程式),並要求多因素驗證。
在 [存取控制]>[授權]中,選取 [授予存取權]。
- 選取 [需要驗證強度],然後從清單中選取內建 的多重要素驗證強度 。
- 選取 選取。
確認您的設定,並將 [啟用原則] 設為 [報告專用]。
選取 [建立] 以建立並啟用您的原則。
使用 原則影響或僅限報告模式確認您的設定之後,請將 [啟用原則] 切換從 [僅限報告] 移至 [ 開啟]。
具名位置
組織可以選擇在其條件式存取原則中納入稱為 具名位置 的已知網路位置。 這些具名位置可包括受信任的 IP 網路,例如主要辦公室位置的網路。 如需設定具名位置的詳細資訊,請參閱 Microsoft Entra 條件式存取中的位置條件是什麼?
在前述的範例原則中,如果是從公司網路存取雲端應用程式,組織可選擇不需要多重要素驗證。 在這種情況下,他們可以將以下設定新增到原則中:
- 在 [ 指派] 底下,選取 [ 網络]。
- 設定 [是]。
- 包含 任何網路或位置。
- 排除 所有受信任的網路和位置。
- 儲存 您的政策變更。