Microsoft Entra ID 中的安全性預設值
安全性預設值可讓您更輕鬆地協助保護組織免於身分識別相關攻擊,例如密碼噴灑、重新執行,以及現今環境中常見的網路釣魚。
Microsoft 正在讓所有人使用這些預先設定的安全性設定,因為我們知道管理安全性可能會很困難。 根據我們的學習,超過99.9%的常見身分識別相關攻擊會使用多重要素驗證來停止,並封鎖舊版驗證。 我們的目標是確保所有組織至少都已啟用基本層級的安全性,不需額外費用。
這些基本控制項包括:
適用對象是誰?
- 想要提高其安全性狀態但不知道如何或從何處開始的組織。
- 使用 Microsoft Entra 識別碼授權免費層的組織。
神秘 應該使用條件式存取?
- 如果您是具有 Microsoft Entra ID P1 或 P2 授權的組織,安全性預設值可能不適合您。
- 如果您的組織有複雜的安全性需求,您應該考慮 條件式存取。
啟用安全性預設值
如果您的租使用者是在 2019 年 10 月 22 日或之後建立的,您的租使用者中可能會啟用安全性預設值。 為了保護所有使用者,安全性預設值會在建立時推出給所有新的租使用者。
為了協助保護組織,我們一直致力於改善 Microsoft 帳戶服務的安全性。 作為此保護的一部分,如果客戶會定期收到安全性預設值自動啟用的通知:
- 沒有任何條件式存取原則
- 沒有進階授權
- 未主動使用舊版驗證用戶端
啟用此設定之後,組織中的所有用戶都必須註冊多重要素驗證。 若要避免混淆,請參閱您收到的電子郵件,或者您可以在 啟用安全性預設值之後停用安全性預設值 。
若要在您的目錄中設定安全性預設值,您必須至少獲派安全性 管理員 istrator 角色。 根據預設,任何目錄中的第一個帳戶會獲指派較高的特殊許可權角色,稱為 Global 管理員 istrator。
若要啟用安全性預設值:
- 以至少安全性 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [身分識別]>[概觀]>[屬性]。
- 選取 [管理安全性預設值]。
- 將 [安全性] 預設值設定為 [已啟用]。
- 選取 [儲存]。
撤銷使用中令牌
啟用安全性預設值時,系統管理員應該撤銷所有現有的令牌,要求所有用戶註冊多重要素驗證。 此撤銷事件會強制先前已驗證的用戶進行驗證並註冊多重要素驗證。 您可以使用 Revoke-AzureADUserAllRefreshToken PowerShell Cmdlet 來完成這項工作。
強制執行的安全策略
要求所有用戶註冊 Microsoft Entra 多重要素驗證
所有使用者都有 14 天的時間可以使用 Microsoft Authenticator 應用程式或任何支援 OATH TOTP 的應用程式進行註冊。 經過 14 天之後,用戶無法登入,直到註冊完成為止。 啟用安全性預設值後,使用者的 14 天期間會從第一次成功的互動式登入之後開始。
當使用者登入並收到執行多重要素驗證的提示時,他們會看到一個畫面,提供他們在 Microsoft Authenticator 應用程式中輸入的數位。 這項措施有助於防止使用者因 MFA 疲勞攻擊而下降。
![此螢幕快照顯示 [核准登入要求] 視窗的範例,其中包含要輸入的數位。](media/security-defaults/approve-sign-in-request.png)
要求系統管理員執行多重要素驗證
管理員 istrators 已增加您環境的存取權。 由於這些高特殊許可權帳戶擁有的強大功能,您應該特別小心處理這些帳戶。 改善特殊許可權帳戶保護的一個常見方法是要求登入的帳戶驗證形式更強,例如需要多重要素驗證。
提示
系統管理員 建議:
- 請確定所有系統管理員在啟用安全性預設值之後登入,讓他們可以註冊驗證方法。
- 有個別的帳戶管理與標準生產力工作,可大幅減少系統管理提示 MFA 的次數。
註冊完成之後,每次登入時,都需要下列系統管理員角色來執行多重要素驗證:
- 全域管理員
- 應用程式系統管理員
- 驗證系統管理員
- 驗證原則管理員
- 計費管理員
- 雲端應用程式系統管理員
- 條件式存取系統管理員
- Exchange 系統管理員
- 服務台系統管理員
- 身分識別控管系統管理員
- 密碼管理員
- 特殊權限驗證管理員
- 特殊權限角色管理員
- 安全性系統管理員
- Sharepoint 系統管理員
- 使用者管理員
要求使用者在必要時執行多重要素驗證
我們傾向於認為系統管理員帳戶是唯一需要額外驗證層的帳戶。 系統管理員可以廣泛存取敏感性資訊,而且可以變更整個訂用帳戶的設定。 但攻擊者經常以終端使用者為目標。
在這些攻擊者取得存取權之後,他們可以要求存取原始帳戶持有者的特殊許可權資訊。 他們甚至可以下載整個目錄,對整個組織執行網路釣魚攻擊。
為所有使用者改善保護的其中一個常見方法,就是針對所有人要求更強大的帳戶驗證形式,例如多重要素驗證。 使用者完成註冊之後,系統會在必要時提示他們進行另一個驗證。 Microsoft 會根據位置、裝置、角色和工作等因素,決定何時提示用戶進行多重要素驗證。 這項功能可保護所有已註冊的應用程式,包括 SaaS 應用程式。
注意
在 B2B 直接連線用戶的情況下,必須滿足資源租用戶中啟用之安全性預設值的任何多重要素驗證需求,包括直接連線使用者在其主租使用者中的多重要素驗證註冊。
封鎖舊版驗證通訊協定
為了讓用戶輕鬆存取雲端應用程式,我們支援各種驗證通訊協定,包括舊版驗證。 舊版驗證 是參考下列方法所提出驗證要求的詞彙:
- 未使用新式驗證的用戶端(例如 Office 2010 用戶端)
- 任何使用舊版郵件通訊協定的用戶端,例如IMAP、SMTP或 POP3
目前,大部分危害登入嘗試都來自舊版驗證。 舊版驗證不支援多重要素驗證。 即使已在目錄上啟用多重要素驗證原則,攻擊者仍可使用較舊的通訊協定進行驗證,而略過多重要素驗證。
在您的租用戶中啟用安全性預設值之後,將會封鎖舊版通訊協定提出的所有驗證要求。 安全性預設值會封鎖 Exchange Active Sync 基本驗證。
警告
啟用安全性預設值之前,請確定您的系統管理員未使用較舊的驗證通訊協定。 如需詳細資訊,請參閱 如何遠離舊版驗證。
保護特殊許可權活動,例如存取 Azure 入口網站
組織使用透過 Azure Resource Manager API 管理的各種 Azure 服務,包括:
- Azure 入口網站
- Microsoft Entra 系統管理中心
- Azure PowerShell
- Azure CLI
使用 Azure Resource Manager 來管理您的服務是高度特殊許可權的動作。 Azure Resource Manager 可以改變整個租用戶的設定,例如服務設定和訂用帳戶計費。 單一要素驗證容易受到各種攻擊,例如網路釣魚和密碼噴灑。
請務必確認想要存取 Azure Resource Manager 和更新設定的使用者身分識別。 您必須先進行更多驗證,才能允許存取,以驗證其身分識別。
在租用戶中啟用安全性預設值之後,任何存取下列服務的用戶都必須完成多重要素驗證:
- Azure 入口網站
- Microsoft Entra 系統管理中心
- Azure PowerShell
- Azure CLI
此原則適用於存取 Azure Resource Manager 服務的所有使用者,無論是系統管理員還是使用者。 此原則適用於 Azure Resource Manager API,例如存取您的訂用帳戶、VM、記憶體帳戶等。此原則不包含 Microsoft Entra ID 或 Microsoft Graph。
注意
2017年前 Exchange Online 租用戶預設會停用新式驗證。 若要避免透過這些租用戶進行驗證時登入迴圈的可能性,您必須 啟用新式驗證。
注意
Microsoft Entra 連線 同步處理帳戶會從安全性預設值中排除,而且不會提示您註冊或執行多重要素驗證。 組織不應將此帳戶用於其他用途。
部署考量
準備您的使用者
請務必通知用戶即將進行的變更、註冊需求,以及任何必要的用戶動作。 我們提供通訊範本和用戶檔,為您的用戶準備新的體驗,並協助確保成功推出。 選取該頁面上的 [安全性資訊] 連結,將用戶傳送給 https://myprofile.microsoft.com 註冊。
驗證方法
安全性預設用戶必須使用通知註冊並使用 Microsoft Authenticator 應用程式進行多重要素驗證。 使用者可能會使用來自 Microsoft Authenticator 應用程式的驗證碼,但只能使用通知選項進行註冊。 使用者也可以使用 OATH TOTP 來產生程式代碼的任何第三方應用程式。
警告
如果您使用安全性預設值,請勿停用組織的方法。 停用方法可能會導致將自己鎖定到您的租使用者外。 將 MFA 服務設定入口網站中已啟用的所有方法保留給使用者。
B2B 使用者
任何 B2B 來賓 使用者或 B2B 直接連接 存取目錄的使用者,都會被視為與您組織的使用者相同。
已停用 MFA 狀態
如果您的組織是每個使用者型多重要素驗證的先前使用者,如果您查看多重要素驗證狀態頁面,就不會驚慌地看到 [已啟用] 或 [強制] 狀態中的使用者。 [停用 ] 是使用安全性預設值或條件式存取型多重要素驗證之使用者的適當狀態。
停用安全性預設值
選擇實作取代安全性預設值的條件式存取原則的組織必須停用安全性預設值。
若要停用目錄中的安全性預設值:
- 以至少安全性 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [身分識別]>[概觀]>[屬性]。
- 選取 [管理安全性預設值]。
- 將安全性預設值設定為停用 (不建議)。
- 選取 [儲存]。
從安全性預設值移至條件式存取
雖然安全性預設值是啟動安全性狀態的良好基準,但不允許許多組織需要的自定義。 條件式存取原則提供更複雜的組織所需的完整自定義範圍。
| 安全性預設值 | 條件式存取 | |
|---|---|---|
| 必要的授權 | 無 | 至少 Microsoft Entra ID P1 |
| 自訂 | 沒有自訂項目(開啟或關閉) | 可完全自訂 |
| 啟用者 | Microsoft 或系統管理員 | 系統管理員 |
| 簡化 | 簡單使用 | 根據您的需求完全自定義 |
從安全性預設值移動時的建議步驟
想要測試條件式存取功能的組織可以 註冊免費試用 以開始使用。
系統管理員停用安全性預設值之後,組織應立即啟用條件式存取原則來保護其組織。 這些原則應該至少將這些 原則包含在條件式存取範本的安全基礎類別中。 包含 Microsoft Entra ID Protection 的 Microsoft Entra ID P2 授權組織可以展開此清單,以包含 使用者和登入風險型原則 ,以進一步加強其狀態。
建議您從條件式存取原則中排除至少一個帳戶。 這些排除的 緊急存取 或 打破帳戶 有助於防止全租用戶帳戶鎖定。 在不太可能的情況下,所有系統管理員都會鎖定您的租使用者,您的緊急存取系統管理帳戶可用來登入租使用者,以採取復原存取權的步驟。 如需詳細資訊,請參閱管理緊急存取帳戶一文。
下一步
- 部落格:安全性預設值簡介
- 如需授權的詳細資訊,請參閱 Microsoft Entra 定價頁面。