於 小型企業協助與學習 上查看我們所有小型企業內容。
若要加強使用者登入的安全性:
Windows 11 企業版 中的 Windows Hello 企業版 在 Windows 裝置上登入時,會以強式雙因素驗證取代密碼。 雙因素是一種新的使用者認證類型,可與裝置和生物特徵或 PIN 相繫結。
如需詳細資訊,請參閱 Windows Hello 企業版概觀。
Microsoft Entra 密碼保護會偵測並封鎖已知的弱式密碼及其變體,也可以封鎖貴組織特有的額外弱式字詞。 默認全域禁用密碼清單會自動套用至 Microsoft Entra 租使用者中的所有使用者。 您可以在自訂禁用密碼清單中定義其他條目。 使用者變更或重設密碼時,系統會檢查這些禁用密碼清單,以強制使用強式密碼。
如需詳細資訊,請參閱設定 Microsoft Entra 密碼保護。
MFA 會要求使用者登入程序另外遵守使用者帳戶密碼以外的驗證規定。 惡意使用者即使確定了使用者帳戶的密碼,還必須能夠回應另外的驗證機制 (例如,傳送至智慧型手機的簡訊),才能獲得存取權。
使用 MFA 的第一步是要求所有系統管理員帳戶 (亦即授權帳戶) 都使用 MFA。 除了這個第一步,Microsoft 建議要求所有使用者都使用 MFA。
根據您的 Microsoft 365 方案,您有三種方法可以要求使用者使用 MFA。
| 方案 | 建議 |
|---|---|
| 所有Microsoft 365 方案 (沒有 P1 或 P2 授權 Microsoft Entra ID) | 在 Microsoft Entra ID 中啟用安全性預設值。 Microsoft Entra ID 中的安全性預設值包括用戶和系統管理員的 MFA。 |
| Microsoft 365 E3 (包含 Microsoft Entra ID P1 授權) | 使用 常見的條件式存取原則 來設定下列原則: - 要求系統管理員使用 MFA - 要求所有使用者使用 MFA - 封鎖舊版驗證 |
| Microsoft 365 E5 (包含 Microsoft Entra ID P2 授權) | 利用 Microsoft Entra ID Protection,藉由建立這兩個原則,開始實作Microsoft建議的條件式存取和相關原則: - 登入風險為中或高時,需要 MFA - 高風險使用者必須變更密碼 |
您可以在 Microsoft 365 的多重要素驗證中找到有關管理 MFA 的詳細資訊。
安全性預設值是 Microsoft 365 的新功能,Office 365 在 2019 年 10 月 21 日之後建立的付費或試用訂閱。 這些訂用帳戶已開啟安全性預設值, 需要所有使用者搭配使用 MFA 與 Microsoft Authenticator 應用程式。
使用者有 14 天的時間可以從其智慧型手機向 Microsoft Authenticator 應用程式註冊 MFA,時間從啟用安全性預設後使用者首次登入時起算。 14 天過後,使用者就無法登入,除非其完成 MFA 註冊。
安全性預設可確保所有組織都具備預設啟用的使用者登入基本層級安全性。 您可以停用安全性預設,改為使用 MFA 與條件式存取原則或改為使用個別帳戶。
如需詳細資訊,請參閱這個安全性預設概觀。
條件式存取原則是一組規則,可指定要在什麼條件下評估登入以及授予存取權。 例如,您可以建立敘述如下的條件式存取原則:
此原則可讓您根據群組成員資格要求 MFA,而不是在指派或取消指派這些管理員角色時,嘗試針對 MFA 設定個別使用者帳戶。
您也可以使用條件式存取原則來取得更進階的功能,例如要求從符合規範的裝置完成登入,例如執行 Windows 11的膝上型電腦。
條件式存取需要 Microsoft Entra ID P1 授權,這些授權包含在 Microsoft 365 E3 和 E5 中。
如需詳細資訊,請參閱這個條件式存取概觀。
請記住下列事項:
如果已啟用安全性預設,系統會提示所有新使用者註冊 MFA 並使用 Microsoft Authenticator 應用程式。
下表顯示啟用 MFA 與安全性預設和條件式存取原則的結果。
| 方法 | 啟用 | 停用 | 額外驗證方法 |
|---|---|---|---|
| 安全性預設 | 無法使用條件式存取原則 | 可以使用條件式存取原則 | Microsoft Authenticator 應用程式 |
| 條件式存取原則 | 如果已啟用任何原則,則無法啟用安全性預設 | 如果已停用所有原則,則可啟用安全性預設 | 在 MFA 註冊期間由使用者指定 |
零信任 身分識別和裝置存取設定和原則是建議的必要條件功能及其設定,結合了條件式存取、Intune 和 Microsoft Entra ID Protection 原則,以判斷是否應該授與指定的存取要求,以及在哪些條件下。 這項決定的依據是登入的使用者帳戶、使用的裝置、使用者存取時使用的應用程式、建立存取要求的位置,以及對要求的風險評估。 這項功能有助於確保,只有經核准的使用者與裝置才可存取重要的資源。
注意
Microsoft Entra ID Protection 需要 Microsoft Entra ID P2 授權,這些授權隨附於 Microsoft 365 E5。
身分識別與裝置存取原則的定義為分三層使用:
這些層級及其對應的設定,可針對所有資料、身分識別和裝置,提供一致的保護層級。
Microsoft 強烈建議在貴組織設定並推出零信任身分識別和裝置存取原則,包括 Microsoft Teams、Exchange Online 和 SharePoint 的特定設定。 如需詳細資訊,請參閱 零信任身分識別與裝置存取設定。
在這一節中,您將學習如何設定原則以防護認證洩露,避免攻擊者判斷出使用者的帳戶名稱和密碼並存取組織的雲端服務和資料。 Microsoft Entra ID Protection 提供數種方式來協助防止攻擊者入侵用戶帳戶的認證。
透過 Microsoft Entra ID Protection,您可以:
| 功能 | 描述 |
|---|---|
| 判斷並處理組織身分識別中潛在的弱點 | Microsoft Entra ID 使用機器學習來偵測異常和可疑的活動,例如登入和登入後活動。 使用此數據,Microsoft Entra ID Protection 會產生報告和警示,協助您評估問題並採取動作。 |
| 偵測與組織身分識別相關的可疑活動,並自動進行回應處理 | 您可以設定以風險為基礎的原則,當達到指定風險層級時自動回應偵測到的問題。 除了 Microsoft Entra ID 和 Microsoft Intune 所提供的其他條件式訪問控制之外,這些原則還可以自動封鎖存取或採取更正動作,包括密碼重設,以及要求 Microsoft Entra 多重要素驗證以進行後續登入。 |
| 調查可疑事件,並使用系統管理動作加以解決 | 您可以使用安全性事件的相關信息來調查風險事件。 基本工作流程可用來追蹤調查並起始補救動作,例如密碼重設。 |
請參閱有關 Microsoft Entra ID Protection的詳細資訊。
請參閱啟用 Microsoft Entra ID Protection的步驟。
繼續執行步驟 4,根據您選擇的身分識別模型部署身分識別基礎結構:
訓練
學習路徑
了解 Microsoft 如何支援使用多重要素驗證作為網路安全解決方案的一部分 - Training
多重要素驗證會要求使用者使用多個驗證方法 (例如打電話、簡訊、行動裝置應用程式通知或一次性密碼) 來確認其身分識別,協助保護您的環境和資源。 您可以在內部部署和雲端使用多重要素驗證,以在存取 Microsoft 線上服務、遠端存取應用程式等動作時增加安全性。 此學習路徑提供概觀,讓您了解如何使用多重要素驗證做為網路安全解決方案的一部分。根據改善美國網路安全性高階行政令第 3 節,機構在待用和傳輸時採用多重要素驗證和加密的期限,會達到 (的最大範圍,並每隔 60 天報告進度) 一次。2021 年 11 月 8 日**。
認證
Microsoft Certified: Identity and Access Administrator Associate - Certifications
示範 Microsoft Entra ID 的功能,以現代化身分識別解決方案、實作混合式解決方案,以及實作身分識別治理。
文件
步驟 2. 保護您的 Microsoft 365 特殊許可權帳戶 - Microsoft 365 Enterprise
本文提供保護 Microsoft 365 租使用者特殊許可權存取的相關信息。
部署 Microsoft 365 的身分識別基礎結構 - Microsoft 365 Enterprise
部署 Microsoft 365 的身分識別基礎結構。
步驟 1. 確定您的雲端身分識別模型 - Microsoft 365 Enterprise
步驟 1. 確定您的 Microsoft 雲端身分識別模型