共用方式為

Microsoft 管理原則

  • 發行項

如 2023 年 10 月 Microsoft 數位防禦報告中所述

...對數位和平的威脅降低了對技術的信任,並突顯出迫切需要改善各級網路防禦...

...在 Microsoft,我們的 1 萬多名安全專家每天分析超過 6.5 兆個訊號...推動一些最具影響力的網路安全性見解。 我們可以共同透過創新行動和集體防禦來建立網路復原能力。

作為這項工作的一部分,我們將在全球 Microsoft Entra 租用戶中提供由 Microsoft 管理的原則。 這些 簡化的條件式存取原則 會採取動作來要求多重要素驗證, 而最近的研究 發現可能會降低危害風險大於 99%。

螢幕擷取畫面顯示 Microsoft Entra 系統管理中心內由 Microsoft 管理的原則範例。

至少獲派條件式存取系統管理員角色的系統管理員,會在 [保護][條件式存取]>[原則]> 下的 [Microsoft Entra 系統管理中心] 中找到這些原則。

系統管理員能夠在原則中 [編輯] [狀態] ([開啟]、[關閉] 或 [報告專用]) 和 [排除的身分識別] ([使用者]、[群組] 和 [角色])。 組織應該從這些政策中排除其緊急應變或緊急存取帳戶,就像在其他條件式存取政策中一樣。 如果組織想要進行比由 Microsoft 管理的版本所允許基本類型更多的變更,則組織可以複製這些原則。

如果原則處於 [報告專用] 狀態,Microsoft 會在您的租用戶中引進這些原則後 90 天內啟用這些原則。 系統管理員可以選擇將這些政策設為 [開啟],或者通過將政策狀態設為 [關閉] 來退出。 客戶會在啟用原則前的 28 天透過電子郵件和訊息中心貼文收到通知。

注意

在某些情況下,原則的啟用速度可能會比90天快。 如果這項變更適用於您的租使用者:

  • 我們在您收到的電子郵件和 Microsoft 365 訊息中心中的郵件中提到 Microsoft 管理的政策。
  • 我們在 Microsoft Entra 管理中心的原則詳細資訊中提及。

政策

這些由 Microsoft 管理的原則可讓系統管理員進行簡單的修改,例如排除使用者,或從報告專用模式將其開啟或關閉。 組織無法重新命名或刪除任何由 Microsoft 管理的原則。 當系統管理員更加熟悉條件式存取原則時,他們可能會選擇複製原則來建立自訂版本。

由於威脅隨著時間變化,Microsoft 未來可能會變更這些原則,以利用新的功能或改善其功能。

封鎖舊式驗證

此原則會封鎖使用舊版驗證和舊版驗證通訊協定的登入嘗試。 這些驗證可能來自舊版用戶端,例如 Office 2010,或是使用 IMAP、SMTP 或 POP3 等通訊協定的用戶端。

根據Microsoft分析超過99%的密碼噴灑攻擊會使用這些舊版驗證通訊協定。 這些攻擊會在基本身份驗證停用或封鎖時停止。

封鎖裝置程式代碼流程

此原則會封鎖裝置程式代碼流程,其中使用者會在某個裝置上起始驗證、在另一個裝置上完成,且其令牌會傳回原始裝置。 這種類型的驗證很常見,使用者無法輸入其認證,例如智慧型手機電視、Microsoft Teams 會議室裝置、IoT 裝置或印表機。

客戶不常使用裝置程式代碼流程,但攻擊者經常使用。 為您的組織啟用此 Microsoft 管理的策略,有助於移除此攻擊向量。

管理員存取 Microsoft 管理入口網站時使用的多重要素驗證

此原則涵蓋我們視為高度特殊權限的 14 個系統管理員角色,他們正在存取 Microsoft 系統管理入口網站群組,並要求他們執行多重要素驗證。

此原則的目標是未啟用安全性預設值的 Microsoft Entra ID P1 和 P2 租用戶。

提示

由 Microsoft 管理的要求多重要素驗證的政策與2024 年宣布的 Azure 登入強制多重要素驗證不同,這項措施已於 2024 年 10 月開始逐步推出。 如需該強制執行的詳細資訊,請參閱文章《規劃 Azure 和其他系統管理入口網站的強制多重要素驗證》。

針對個別使用者的多重要素驗證

此原則涵蓋每位使用者的多因素驗證(MFA),這是 Microsoft 不再推薦的設定。 條件式存取提供較佳的系統管理員體驗,其中包含許多額外的功能。 整合所有在條件式存取中的 MFA 策略,可幫助您更精準地要求使用 MFA,降低終端使用者的不便,同時維持安全態勢。

此原則的目標如下:

  • 取得 Microsoft Entra ID P1 和 P2 授權的組織使用者
  • 未啟用安全性預設值的組織
  • 啟用或強制使用 MFA 的使用者少於 500 人的組織

若要將此原則套用至更多使用者,請複製原則並變更指派。

提示

使用上方的 [編輯] 鉛筆修改 Microsoft 管理的依使用者多重要素驗證原則時,可能會導致無法更新錯誤。 若要解決此問題,請在政策的 排除的身分識別 區段中選取 編輯

有風險登入的多重因素驗證與重新驗證

此原則涵蓋所有使用者,且當我們偵測到高風險登入時,需要 MFA 和重新驗證。在此情況下,高風險表示使用者登入的方式並不一般。 這些高風險的登入可能包括:異常旅行、密碼噴灑攻擊或令牌重播攻擊。 如需這些風險定義的詳細資訊,請參閱什麼是風險偵測一文。

此原則的目標是未啟用安全性預設值的 Microsoft Entra ID P1 和 P2 租用戶。

  • 如果 P2 授權等於或超過 MFA 註冊的作用中用戶總數,則原則涵蓋所有使用者。
  • 如果 MFA 註冊的活躍用戶超過 P2 授權,我們會根據可用的 P2 授權,建立並將原則指派給受限的安全群組。 您可以修改政策之安全性群組的成員資格。

為了防止攻擊者接管帳戶,Microsoft 不允許風險性使用者註冊 MFA。

安全性預設值原則

當您從使用安全性預設值升級時,可使用下列政策。

封鎖舊式驗證

此原則會封鎖舊版驗證通訊協定存取應用程式。 舊版驗證是指由以下實體發出的驗證要求:

  • 不使用新式驗證的用戶端 (例如,Office 2010 用戶端)
  • 任何使用舊版郵件通訊協定 (例如 IMAP、SMTP 或 POP3) 的用戶端
  • 使用舊版驗證的任何登入嘗試都會遭到封鎖。

多數觀察到的入侵登入嘗試都來自於舊版驗證。 由於舊版驗證不支援多重要素驗證,攻擊者可以使用較舊的通訊協定繞過您的 MFA 需求。

Azure 管理需要多重要素驗證

此原則涵蓋嘗試存取透過 Azure Resource Manager API 所管理各種 Azure 服務的所有使用者,包括:

  • Azure 入口網站
  • Microsoft Entra 系統管理中心
  • Azure PowerShell
  • Azure CLI

嘗試存取這些資源時,使用者必須先完成 MFA,然後才能取得存取權。

管理員需要多重要素驗證

此原則涵蓋任何具有我們視為高度許可權系統管理員角色之一的使用者:

  • 全域管理員
  • 應用程式系統管理員
  • 驗證管理員
  • 計費管理員
  • 雲端應用程式系統管理員
  • 條件式存取系統管理員
  • Exchange 系統管理員
  • 服務台系統管理員
  • 密碼管理員
  • 特殊權限驗證管理員
  • 特殊權限角色管理員
  • 安全性系統管理員
  • Sharepoint 系統管理員
  • 使用者管理員

由於這些具有高度特殊權限帳戶擁有的強大功能,因此每當他們登入任何應用程式時,都需要進行 MFA。

所有使用者必須啟用多重要素驗證

此原則涵蓋您組織中的所有使用者,並要求他們登入時都需要進行 MFA。 通常情況下,會話會保留在裝置上,使用者不需要在使用另一個應用程式時完成 MFA。

如何查看這些政策的效果?

系統管理員可以查看「登入時的原則影響」一節,以查看其環境中原則效果的快速摘要。

顯示原則對組織影響的螢幕擷取畫面。

系統管理員可以更深入地查看 Microsoft Entra 登入記錄,以查看這些在其組織中運作的原則。

  1. 以至少報表讀者身分登入 Microsoft Entra 系統管理中心
  2. 瀏覽到 身分識別>監控與健康>登入日誌
  3. 尋找您想要查看的特定登入。 新增或移除篩選與資料行,篩除出不必要的資訊。
    1. 若要縮小範圍,請新增篩選條件,例如:
      1. 關聯識別碼 用於調查特定事件時。
      2. 條件式存取檢視原則成功與失敗。 將篩選範圍設定為僅顯示失敗,以限制結果。
      3. 使用者名稱,以查看與特定使用者相關的資訊。
      4. 日期限定在相關的時間範圍內。
  4. 一旦找到對應至使用者登入的登入事件,請選取 [條件式存取] 索引標籤。[條件式存取] 索引標籤會顯示導致登入中斷的特定原則。
    1. 若要進一步調查,請按一下 [原則名稱],向下切入到原則的設定。 按一下 [原則名稱] 會顯示所選原則的原則設定使用者介面,以供檢閱和編輯。
    2. 您也可以在登入事件的 [基本資訊][位置][裝置資訊][驗證詳細資料][其他詳細資料] 索引標籤中,取得用於條件式存取原則評估的用戶端使用者裝置詳細資料

常見問題

何謂條件式存取?

條件式存取是一項 Microsoft Entra 功能,可讓組織在存取資源時強制執行安全性需求。 條件式存取通常用於強制執行多重要素驗證、裝置設定或網路位置需求。

這些原則可以視為「如果……那麼……」的邏輯陳述式。

如果 使用者、資源和條件的分配為 true,那麼 在原則中應用存取控制(授與和/或工作階段)。 如果您是想要存取其中一個 Microsoft 系統管理入口網站的系統管理員,那麼必須執行多因素驗證以證明確實是您本人。

如果我想要進行更多變更,該怎麼辦?

系統管理員可能會選擇使用原則清單檢視中的 [複製] 按鈕來複製這些原則,以進一步變更這些原則。 這個新原則的設定方式與從 Microsoft 建議位置開始的任何其他條件式存取原則相同。 在進行這些變更時,請小心避免不小心降低你的安全狀況。

這些原則涵蓋哪些系統管理員角色?

  • 全域管理員
  • 應用程式系統管理員
  • 驗證管理員
  • 計費管理員
  • 雲端應用程式系統管理員
  • 條件式存取系統管理員
  • Exchange 系統管理員
  • 服務台系統管理員
  • 密碼管理員
  • 特殊權限驗證管理員
  • 特殊權限角色管理員
  • 安全性系統管理員
  • Sharepoint 系統管理員
  • 使用者管理員

如果我使用不同的解決方案進行多重要素驗證,會怎麼樣?

使用 外部驗證方法所完成的多重要素驗證 符合由 Microsoft 管理的政策的 MFA 要求。

透過同盟識別提供者 (IdP) 完成多重要素驗證時,視您的設定而定,它可能會滿足Microsoft Entra ID MFA 需求。 如需詳細資訊,請參閱 使用來自同盟 IdP 的 MFA 聲明滿足 Microsoft Entra ID 多重要素驗證 (MFA) 控制要求

如果我使用 Certificate-Based 驗證,該怎麼辦?

視您的 Certificate-Based 驗證組態而定,它可以是 單一驗證或多重因素驗證

  • 如果您的組織已將 CBA 設定為單一因素,用戶必須使用第二個驗證方法來滿足 MFA。 如需瞭解允許的驗證方法組合以使用單一要素憑證型驗證進行 MFA 的更多資訊,請參閱使用單一要素憑證型驗證的 MFA
  • 如果您的組織已將 CBA 設定為多重要素,用戶可以使用其 CBA 驗證方法完成 MFA。

如果我使用自定義控件,該怎麼辦?

自訂控制項不滿足多重因素認證要求,。 如果您的組織使用自定義控制件,您應該 移轉至外部驗證方法,取代自定義控制件。 您的外部驗證提供者必須支援外部驗證方法,並提供整合所需的設定指引。

下一步