需要安全密碼變更,以提升用戶風險
Microsoft 與研究人員、執法機關,Microsoft 的各個安全性小組和其他信任的來源合作,以找出外洩的使用者名稱和密碼配對。 具有 Microsoft Entra ID P2 授權的組織可以建立條件式存取原則,納入 Microsoft Entra ID Protection 使用者風險偵測。
使用者排除
條件式存取原則是功能強大的工具,建議您從原則中排除下列帳戶:
-
緊急存取 或 緊急解除封鎖帳戶 ,以防止因為原則設定錯誤而導致鎖定。 在不太可能的情況下,所有系統管理員都遭到鎖定,您的緊急存取系統管理帳戶可用來登入並採取復原存取的步驟。
- 如需詳細資訊,請參閱在 Microsoft Entra ID 中管理緊急存取帳戶一文。
-
服務帳戶 和 服務主體帳號,例如 Microsoft Entra Connect 同步帳戶。 服務帳戶是未與任何特定使用者繫結的非互動式帳戶。 後端服務通常會使用這些帳戶,以程式化方式存取應用程式,但也可用於登入系統,以便進行管理工作。 服務主體所發出的呼叫不會被針對使用者設定範圍的條件式存取原則封鎖。 使用適用於工作負載身分識別的條件式存取,來定義以服務主體為目標的原則。
- 如果您的組織在指令碼或程式碼中使用這些帳戶,請考慮將它們取代為受管理的身分識別。
範本部署
組織可以選擇使用下面所述的步驟來部署此原則,或使用條件式存取範本 (部分機器翻譯)。
使用條件式存取原則來啟用
- 至少以條件式存取系統管理員身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [保護]>[條件式存取]。
- 選取 新增政策。
- 為您的規則命名。 建議組織針對其原則的名稱建立有意義的標準。
- 在 [指派] 底下,選取 [使用者] 或 [工作負載識別]。
- 在 [包含] 下,選取 [所有使用者]。
- 在 [排除] 下,選取 [使用者和群組],然後選擇您組織的緊急存取或破窗帳戶。
- 選取完成。
- 在 [雲端應用程式或動作]>下,選取 [所有資源](先前稱為「所有雲端應用程式」)。
- 在 [條件]> [使用者風險] 底下,將 [設定] 設為 [是]。
- 在 [設定原則強制執行所需的使用者風險等級] 下,選取 [高]。 本指引是以 Microsoft 建議為基礎,且各組織適用狀況可能有所不同
- 選取完成。
- 在 [存取控制]>[授權] 下,選取 [授與存取權限]。
- 選取 [需要驗證強度],然後從清單中選取內 建的多重要素驗證 驗證強度。
- 選取 要求密碼變更。
- 選取選取。
- 在 [工作階段] 下。
- 選取 [登入頻率]。
- 確保勾選每次。
- 請選擇選取。
- 確認您的設定,並將 [啟用原則] 設為 [報告專用]。
- 選取 [建立] 以建立並啟用您的原則。
管理員使用報告專用模式確認設定之後,即可以將 [啟用原則] 從 [報告專用] 切換至 [開啟]。
無密碼案例
對於採用 無密碼驗證方法 的組織,請進行下列變更:
更新無密碼用戶風險原則
- 在 [使用者] 底下:
- 包括,選取 [ 使用者和群組 ],將對象設定為無密碼用戶。
- 在 [存取控制] 底下封鎖無密碼使用者的存取。
提示
在部署無密碼方法的期間,您可能需要暫時維持兩個政策。
- 允許不使用無密碼方法的用戶自行解決問題的一個方案。
- 另一個封鎖高風險無密碼使用者。
補救和解除封鎖無密碼的用戶風險
- 需要管理員 調查和補救 任何風險事件。
- 解除封鎖使用者。