步驟 3:保護您的 Microsoft 365 使用者帳戶
於 小型企業協助與學習 上查看我們所有小型企業內容。
若要加強使用者登入的安全性:
- 使用 Windows Hello 企業版
- 使用 Microsoft Entra 密碼保護
- 使用多重要素驗證 (MFA)
- 部署身分識別與裝置存取設定
- 使用 Microsoft Entra ID Protection 防止認證洩露
Windows Hello 企業版
Windows 11 企業版 中的 Windows Hello 企業版 在 Windows 裝置上登入時,會以強式雙因素驗證取代密碼。 雙因素是一種新的使用者認證類型,可與裝置和生物特徵或 PIN 相繫結。
如需詳細資訊,請參閱 Windows Hello 企業版概觀。
Microsoft Entra 密碼保護
Microsoft Entra 密碼保護會偵測並封鎖已知的弱式密碼及其變體,也可以封鎖貴組織特有的額外弱式字詞。 默認全域禁用密碼清單會自動套用至 Microsoft Entra 租使用者中的所有使用者。 您可以在自訂禁用密碼清單中定義其他條目。 使用者變更或重設密碼時,系統會檢查這些禁用密碼清單,以強制使用強式密碼。
如需詳細資訊,請參閱設定 Microsoft Entra 密碼保護。
MFA
MFA 會要求使用者登入程序另外遵守使用者帳戶密碼以外的驗證規定。 惡意使用者即使確定了使用者帳戶的密碼,還必須能夠回應另外的驗證機制 (例如,傳送至智慧型手機的簡訊),才能獲得存取權。
使用 MFA 的第一步是要求所有系統管理員帳戶 (亦即授權帳戶) 都使用 MFA。 除了這個第一步,Microsoft 建議要求所有使用者都使用 MFA。
根據您的 Microsoft 365 方案,您有三種方法可以要求使用者使用 MFA。
| 方案 | 建議 |
|---|---|
| 所有 Microsoft 365 方案 (沒有 P1 或 P2 授權 Microsoft Entra ID) | 在 Microsoft Entra ID 中啟用安全性預設值。 Microsoft Entra ID 中的安全性預設值包括用戶和系統管理員的 MFA。 |
| Microsoft 365 E3 (包含 Microsoft Entra ID P1 授權) | 使用 常見的條件式存取原則 來設定下列原則: - 要求系統管理員使用 MFA - 要求所有使用者使用 MFA - 封鎖舊版驗證 |
| Microsoft 365 E5 (包含 Microsoft Entra ID P2 授權) | 利用 Microsoft Entra ID Protection,藉由建立下列兩個原則,開始實作 Microsoft 建議的一組條件式存取和相關原則: - 登入風險為中或高時,需要 MFA - 高風險使用者必須變更密碼 |
安全性預設
安全性預設值是 Microsoft 365 的新功能,Office 365 在 2019 年 10 月 21 日之後建立的付費或試用訂閱。 這些訂用帳戶已開啟安全性預設值, 需要所有使用者搭配 Microsoft Authenticator 應用程式使用 MFA。
使用者有 14 天的時間可以從其智慧型手機向 Microsoft Authenticator 應用程式註冊 MFA,時間從啟用安全性預設後使用者首次登入時起算。 14 天過後,使用者就無法登入,除非其完成 MFA 註冊。
安全性預設可確保所有組織都具備預設啟用的使用者登入基本層級安全性。 您可以停用安全性預設,改為使用 MFA 與條件式存取原則或改為使用個別帳戶。
如需詳細資訊,請參閱這個安全性預設概觀。
條件式存取原則
條件式存取原則是一組規則,可指定要在什麼條件下評估登入以及授予存取權。 例如,您可以建立敘述如下的條件式存取原則:
- 如果使用者帳戶名稱是獲派 Exchange、使用者、密碼、安全性、SharePoint、Exchange 系統管理員、SharePoint 系統管理員或Global 系統管理員角色的使用者群組成員,則先要求 MFA 再允許存取。
此原則可讓您根據群組成員資格要求 MFA,而不是在指派或取消指派這些管理員角色時,嘗試針對 MFA 設定個別使用者帳戶。
您也可以使用條件式存取原則來取得更進階的功能,例如要求從符合規範的裝置完成登入,例如執行 Windows 11的膝上型電腦。
條件式存取需要 Microsoft Entra ID P1 授權,這些授權包含在 Microsoft 365 E3 和 E5 中。
如需詳細資訊,請參閱這個條件式存取概觀。
共同使用這些方法
請記住下列事項:
- 如果您已啟用任何條件式存取原則,則無法啟用安全性預設值。
- 如果您已啟用安全性預設值,則無法啟用任何條件式存取原則。
如果已啟用安全性預設,系統會提示所有新使用者註冊 MFA 並使用 Microsoft Authenticator 應用程式。
下表顯示啟用 MFA 與安全性預設和條件式存取原則的結果。
| 方法 | 啟用 | 停用 | 額外驗證方法 |
|---|---|---|---|
| 安全性預設 | 無法使用條件式存取原則 | 可以使用條件式存取原則 | Microsoft Authenticator 應用程式 |
| 條件式存取原則 | 如果已啟用任何原則,則無法啟用安全性預設 | 如果已停用所有原則,則可啟用安全性預設 | 在 MFA 註冊期間由使用者指定 |
零信任身分識別與裝置存取設定
零信任 身分識別和裝置存取設定和原則是建議的必要條件功能及其設定,並結合了條件式存取、Intune 和 Microsoft Entra ID Protection 原則,以判斷是否應該授與指定的存取要求,以及在哪些條件下。 這項決定的依據是登入的使用者帳戶、使用的裝置、使用者存取時使用的應用程式、建立存取要求的位置,以及對要求的風險評估。 這項功能有助於確保,只有經核准的使用者與裝置才可存取重要的資源。
注意事項
Microsoft Entra ID Protection 需要 Microsoft 365 E5 隨附的 Microsoft Entra ID P2 授權。
身分識別與裝置存取原則的定義為分三層使用:
- 對於存取您的應用程式和資料的身分識別和裝置,基準保護是安全性等級下限。
- 敏感性保護可為特定資料提供額外的安全性。 身分識別和裝置的安全性層級與裝置健康情況需求較高。
- 包含高度管制或保密資料環境的防護,適合通常屬於高度保密、包含營業,或是受資料法規約束的少量資料。 身分識別和裝置的安全性層級與裝置健康情況需求高出許多。
這些層級及其對應的設定,可針對所有資料、身分識別和裝置,提供一致的保護層級。
Microsoft 強烈建議在貴組織設定並推出零信任身分識別和裝置存取原則,包括 Microsoft Teams、Exchange Online 和 SharePoint 的特定設定。 如需詳細資訊,請參閱 零信任身分識別與裝置存取設定。
Microsoft Entra ID Protection
在這一節中,您將學習如何設定原則以防護認證洩露,避免攻擊者判斷出使用者的帳戶名稱和密碼並存取組織的雲端服務和資料。 Microsoft Entra ID Protection 提供數種方式來協助防止攻擊者危害使用者帳戶的認證。
透過 Microsoft Entra ID Protection,您可以:
| 功能 | 描述 |
|---|---|
| 判斷並處理組織身分識別中潛在的弱點 | Microsoft Entra ID 使用機器學習來偵測異常和可疑的活動,例如登入和登入後活動。 使用此數據,Microsoft Entra ID Protection 產生報告和警示,協助您評估問題並採取動作。 |
| 偵測與組織身分識別相關的可疑活動,並自動進行回應處理 | 您可以設定以風險為基礎的原則,當達到指定風險層級時自動回應偵測到的問題。 除了 Microsoft Entra ID 和 Microsoft Intune 所提供的其他條件式訪問控制之外,這些原則還可以自動封鎖存取或採取更正動作,包括密碼重設,以及要求 Microsoft Entra 多重要素驗證以進行後續登入。 |
| 調查可疑事件,並使用系統管理動作加以解決 | 您可以使用安全性事件的相關信息來調查風險事件。 基本工作流程可用來追蹤調查並起始補救動作,例如密碼重設。 |
請參閱有關 Microsoft Entra ID Protection的詳細資訊。
請參閱啟用 Microsoft Entra ID Protection的步驟。
適用於 MFA 和身分識別登入的系統管理員技術資源
- Microsoft 365 適用的 MFA
- 部署 Microsoft 365 的身分識別
- Azure Academy Microsoft Entra ID 訓練影片
- 設定 Microsoft Entra 多重要素驗證註冊原則
- 身分識別與裝置存取設定
下一步
繼續執行步驟 4,根據您選擇的身分識別模型部署身分識別基礎結構:
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應