語言:
過去,Microsoft Entra ID 的驗證設定分散在多因素驗證 (MFA) 和自助密碼重設 (SSPR) 兩個獨立原則中。這種分散的管理方式使驗證方法難以統一控管、增加了管理複雜度,並可能因原則不一致而產生安全風險。
實際上,這些舊型原則不會同步設定,這可能導致特定驗證方法在一個原則中啟用,卻在另一個原則中停用 (系統會先檢查 MFA 原則,再檢查 SSPR 原則)。這種不同步的情況,可能導致使用者透過過時或安全性較低的方法,無意間取得存取權。
除此之外,與「驗證方法」原則不同的是,舊型原則不支援以群組為目標的設定,也不支援諸如臨時存取密碼、FIDO2 安全金鑰等最新安全驗證選項。如此一來,不但無法對使用者群組套用不同的驗證方法,也無法及時引進安全性更高的無密碼驗證技術,使組織更容易遭受網路釣魚和憑證竊取攻擊。
根據 BOD 25-01 的強制要求,CISA 發布的「Microsoft Entra ID 的 M365 安全設定基準」中所列的 MS.AAD.3.4v1 原則規定「驗證方法管理移轉功能須設定為『移轉完成』」。Microsoft 也在設定 Microsoft Entra 以提高安全性 中建議「從舊型 MFA 和 SSPR 原則移轉」。
為了確保驗證方法管理的安全與一致性,Microsoft 建議將所有舊型 MFA 和 SSPR 設定移轉至驗證方法原則,以支援更精細的控管、現代化驗證選項與集中式設定。您可以透過 Microsoft Entra 管理中心的自動化精靈進行移轉,也可以手動執行自訂移轉工作流程。
移轉程序會稽核目前的設定、將舊型方法對應至新版機制、設定群組存取權,並更新登入和重設密碼的方法參數。移轉完成後,請驗證新設定並在舊型原則中停用對應的方法。此舉可避免設定含糊不清,並防範過時原則造成意外存取。
名稱: 尚未完成驗證方法的移轉
代碼名稱: AUTHENTICATION-METHODS-MIGRATION-NOT-COMPLETE
嚴重性: Medium
類型: Microsoft Entra ID Indicator of Exposure