Azure AD 中的安全性預設值

  • 文章

Microsoft 正在讓每個人使用安全性預設值,因為管理安全性可能很困難。 身分識別相關的攻擊,例如密碼噴灑、重新執行和網路釣魚在現今環境中很常見。 這些身分識別相關攻擊中,有超過 99.9% 可使用多重要素驗證 (MFA) 並封鎖舊版驗證來阻擋。 目標是要確保所有組織都至少已啟用基本層級的安全性,而不需要額外成本。

安全性預設值可供使用預先設定的設安全性定,輕鬆地保護組織免於遭受這些身分識別相關的攻擊:

適合誰?

  • 想要提升其安全性狀態,但不知道如何或從何處開始的組織。
  • 利用 Azure Active Directory 授權免費層的組織。

誰應該使用條件式存取?

  • 如果您的組織目前使用條件式存取原則,安全性預設值可能不適合您。
  • 如果您是具有 Azure Active Directory Premium 授權的組織,則安全性預設值可能不適合您。
  • 如果組織有複雜的安全性需求,則您應該考慮使用條件式存取

啟用安全性預設值

如果您的租用戶建立於 2019 年 10 月 22 日或之後,您的租用戶中可能會啟用安全性預設值。 為了保護所有的使用者,安全性預設值會在建立時對所有新租用戶推出。

在目錄中啟用安全性預設值:

  1. 以安全性系統管理員或條件式存取管理員或全域管理員的身分,登入 Azure 入口網站
  2. 瀏覽至 [Azure Active Directory] > [屬性]。
  3. 選取 [管理安全性預設值]。
  4. 將 [啟用安全性預設值] 切換設為 [是]。
  5. 選取 [儲存]。

Screenshot of the Azure portal with the toggle to enable security defaults

強制執行的安全性原則

要求所有使用者註冊 Azure AD Multi-Factor Authentication

您租用戶中所有使用者都必須以 Azure AD 多重要素驗證的形式註冊多重要素驗證 (MFA)。 使用者有 14 天的時間,可使用 Microsoft Authenticator 應用程式註冊 Azure AD Multi-Factor Authentication。 經過 14 天之後,使用者便無法登入,直到註冊完成為止。 使用者在啟用安全性預設值之後的第一次成功互動式登入後,為期 14 天的期間便會開始。

要求系統管理員執行多重要素驗證

系統管理員對您的環境具有提高的存取權。 由於這些帳戶具有高度授權的權限,您應特別小心處理。 改善特殊權限帳戶保護的常見方法之一,就是登入時要求更強大的帳戶驗證形式。 在 Azure AD 中,藉由要求多重要素驗證即可取得比較強大的帳戶驗證。

提示

建議您為系統管理和標準生產力工作採用不同的帳戶,以大幅降低管理員提示進行 MFA 的次數。

向 Azure AD 多重要素驗證註冊完成後,下列 Azure AD 系統管理員角色將需要在每次登入時執行額外的驗證:

  • 全域管理員
  • 應用程式管理員
  • 驗證系統管理員
  • 計費管理員
  • 雲端應用程式系統管理員
  • 條件式存取系統管理員
  • Exchange 系統管理員
  • 服務台管理員
  • 密碼管理員
  • 特殊權限驗證管理員
  • 安全性系統管理員
  • SharePoint 管理員
  • 使用者管理員

必要時要求使用者執行多重要素驗證

我們通常會將系統管理員帳戶視為唯一需要額外驗證層的帳戶。 系統管理員有廣泛的機密資訊存取權,且可對全訂用帳戶的設定進行變更。 但是攻擊者經常以終端使用者為目標。

這些攻擊者取得存取權之後,即可為原始帳戶持有者要求存取特殊權限資訊。 他們甚至可下載整個目錄,以在整個組織中實施網路釣魚攻擊。

為所有使用者改善保護的其中一個常見方法,就是針對所有人都要求更強大的帳戶驗證形式,例如 Multi-Factor Authentication。 使用者完成多重要素驗證註冊之後,系統會在必要時提示其進行其他驗證。 Azure AD 會根據諸如位置、裝置、角色和工作等因素,決定是否要提示使用者進行多重要素驗證。 這種功能可保護所有已向 Azure AD 註冊的應用程式,包括 SaaS 應用程式。

封鎖舊版驗證通訊協定

為了讓使用者能夠輕鬆存取雲端應用程式,Azure AD 支援多種驗證通訊協定,包括舊版驗證。 「舊版驗證」一詞,是指由以下幾者提出的驗證要求:

  • 不使用新式驗證的用戶端 (例如,Office 2010 用戶端)。
  • 任何使用舊版郵件通訊協定 (例如 IMAP、SMTP 或 POP3) 的用戶端。

現今,多數入侵登入嘗試來自於舊版驗證。 舊版驗證不支援多重要素驗證。 即使已在目錄上啟用 Multi-Factor Authentication 原則,攻擊者仍可使用較舊的通訊協定進行驗證,而略過 Multi-Factor Authentication。

在租用戶中啟用安全性預設值之後,較舊通訊協定所發出的所有驗證要求將會遭到封鎖。 安全性預設值會封鎖 Exchange Active Sync 基本驗證。

警告

啟用安全性預設值之前,請確定系統管理員未使用舊版驗證通訊協定。 如需詳細資訊,請參閱如何離開舊版驗證

保護特殊權限的活動,例如存取 Azure 入口網站

組織會使用透過 Azure Resource Manager API 管理的各種 Azure 服務,包括:

  • Azure 入口網站
  • Azure PowerShell
  • Azure CLI

使用 Azure Resource Manager 來管理服務是高度具有特殊權限的動作。 Azure Resource Manager 可改變全租用戶的設定,例如服務設定和訂用帳戶計費。 單一要素驗證很容易遭受各種攻擊,例如網路釣魚和密碼噴濺。

請務必驗證要存取 Azure Resource Manager 和更新設定的使用者身分識別。 您可在允許存取之前,先要求更多的驗證來驗證其身分識別。

在您的租用戶中啟用安全性預設值之後,存取下列服務的任何使用者都必須完成多重要素驗證:

  • Azure 入口網站
  • Azure PowerShell
  • Azure CLI

此原則適用於所有存取 Azure Resource Manager 服務的使用者,無論其為系統管理員或使用者。

注意

2017 之前的 Exchange Online 租用戶預設會停用新式驗證。 為了避免在透過這些租用戶進行驗證時可能發生登入迴圈,您必須啟用新式驗證

注意

Azure AD Connect 同步處理帳戶會從安全性預設值排除,且不會提示註冊或執行多重要素驗證。 組織不應將此帳戶用於其他用途。

部署考量因素

驗證方法

安全性預設值使用者必須註冊和使用 Azure AD 多重要素驗證,且必須使用利用通知的 Microsoft Authenticator 應用程式。 使用者可使用來自 Microsoft Authenticator 應用程式的驗證碼,但只能使用通知選項進行註冊。

自 2022 年 7 月起,任何獲派全域管理員角色的人員都必須註冊以電話為基礎的方法 (例如通話或文字) 作為備份方法。

警告

如果您使用的是安全性預設值,請勿停用您組織的方法。 停用方法可能會導致您的租用戶遭到鎖定。 在 MFA 服務設定入口網站中,將所有 [使用者可用的方法] 維持啟用狀態。

備份系統管理員帳戶

每個組織都應該至少設定兩個備份系統管理員帳戶。 我們稱這些為緊急存取帳戶。

這些帳戶可用於無法使用一般系統管理員帳戶的案例。 例如:具有最新全域管理員存取權的人員已離開組織。 Azure AD 可防止最新的「全域管理員」帳戶遭到刪除,但無法防止該帳戶在內部部署環境中遭到刪除或停用。 其中任一情況皆可能造成組織無法復原帳戶。

緊急存取帳戶是:

  • Azure AD 中指派的全域管理員權限。
  • 不會每天使用。
  • 使用長複雜密碼來保護。

這些緊急存取帳戶的認證應以離線方式儲存在安全的位置,例如防火的安全位置。 只有經過授權的人員才能存取這些認證。

若要建立緊急存取帳戶:

  1. 以現有的全域管理員身分登入 Azure 入口網站
  2. 瀏覽至 [Azure Active Directory]>[使用者]
  3. 選取 [新增使用者] 。
  4. 選取 [建立使用者] 。
  5. 為帳戶提供 [使用者名稱]。
  6. 為帳戶提供 [名稱]。
  7. 為帳戶建立夠長且複雜的密碼。
  8. 在 [角色] 下方,指派 [全域管理員] 角色。
  9. 在 [使用位置] 中,選取適當的位置。
  10. 選取 [建立]。

您可以選擇使用 Azure AD PowerShell 為這些帳戶停用密碼到期

如需緊急存取帳戶的更多詳細資訊,請參閱管理 Azure AD 中的緊急存取帳戶一文。

已停用 MFA 狀態

如果組織先前是使用以使用者為基礎的 Azure AD 多重要素驗證,則在查看 [多重要素驗證] 頁面時,如果沒有看到 [已啟用] 或 [已強制] 狀態的使用者,請勿驚慌。 [已停用] 狀態適合的使用者,是使用安全性預設值或以條件式存取為基礎的 Azure AD 多重要素驗證使用者。

條件式存取

您可使用條件式存取來設定與安全性預設值類似的原則,但可更加細微,包含選取其他驗證方法和安全性預設值中無法使用的排除使用者功能。 如果您目前在環境中使用條件式存取,則無法使用安全性預設值。

Warning message that you can have security defaults or Conditional Access not both

如果您要啟用條件式存取來設定一組原則,其會形成可保護您身分識別的絕佳起點:

停用安全性預設值

選擇實作條件式存取原則且取代安全性預設值的組織,必須停用安全性預設值。

Warning message disable security defaults to enable Conditional Access

在目錄中停用安全性預設值:

  1. 以安全性系統管理員或條件式存取管理員或全域管理員的身分,登入 Azure 入口網站
  2. 瀏覽至 [Azure Active Directory] > [屬性]。
  3. 選取 [管理安全性預設值]。
  4. 將 [啟用安全性預設值] 切換設為 [否]。
  5. 選取 [儲存]。

後續步驟