驗證時無需使用受管理裝置

根據預設，Microsoft Entra ID 允許任何裝置進行驗證，這可能會導致未經授權的存取和安全缺口，尤其是在裝置受到入侵、不符合規範或由攻擊者控制的情況下。

零信任模型規定驗證成功與否應取決於裝置的狀態，只允許符合組織安全原則並由組織管理的裝置進行存取。

根據 BOD 25-01 的強制要求，CISA 發表之「Microsoft Entra ID 的 M365 安全設定基準」中的 MS.AAD.3.7v1 原則規定:「驗證時應要求使用受管理裝置」。根據 CISA 指導方針，此曝險指標 (IoE) 會確保至少有一個條件式存取原則包含下列設定:

• 「使用者」設定為包含「所有使用者」。
• 「目標資源」設定為「所有資源」。
• 「授予」設定為「授予存取權」，並勾選「需要將裝置標記為合規」、「需要 Microsoft Entra 混合加入裝置」選項，且在底部勾選「符合所選任一控制項即可」。
• 「啟用原則」設定為「開啟」(而非「關閉」或「僅報告」)。

如果您遵循 Microsoft 的建議，本曝險指標 (IoE) 會確保至少有一個條件式存取原則包含相同的設定，並額外加上「需要多因素驗證」，這代表:

• 「授予」將設定為「授予存取權」，並勾選「需要多因素驗證」、「需要將裝置標記為合規」與「需要 Microsoft Entra 混合加入裝置」選項，且在底部勾選「符合所選任一控制項即可」。

若要阻止未受管理裝置進行驗證，租用戶必須啟用條件式存取原則 (CAP)。

CISA 和 Microsoft 對於如何防範此風險有不同的意見:

• 根據 BOD 25-01 的強制要求，CISA發表之「Microsoft Entra ID 的 M365 安全設定基準」中的 MS.AAD.3.7v1 原則，僅接受合規或混合加入的裝置。
• 反之，Microsoft 亦接受使用多因素驗證的裝置。

Tenable 建議遵循 CISA 指導方針，以採取最安全的做法。不過，由於這也是限制性最高的做法，因此您可以使用曝險指標 (IoE) 中提供的選項輕鬆切換至 Microsoft 建議。

為此，您可以依照下列步驟建立 CAP:

• 套用在此曝險指標 (IoE) 說明中指定的設定來修改現有 CAP。
• 建立專用 CAP，並根據曝險指標 (IoE) 說明中的規格設定。

如果您遵循 Microsoft 建議，則可以對所有使用者使用「需要合規或混合加入 Azure AD 裝置，或對所有使用者啟用多因素驗證」CAP 範本。當您啟用 Microsoft 建議選項後，此範本將符合所有曝險指標 (IoE) 標準。 此外，「要求管理員使用合規裝置或 Entra 混合加入裝置」範本限制較少，且僅針對管理員，但不符合任何曝險指標 (IoE) 標準。

請注意:「需要將裝置標記為合規」授權控制項要求貴組織使用 Intune MDM。

警告: Microsoft 和 Tenable 都建議您將部分帳戶排除在條件式存取原則之外，以避免整體租用戶遭到鎖定或引發意外的副作用。Tenable 也建議您遵照 Microsoft 說明文件「規劃條件式存取部署」的指引，以確保妥善規劃、管理變更，並減少帳戶遭到鎖定的風險。具體而言，如果使用 Microsoft Entra Connect 或 Microsoft Entra Cloud Sync 等混合型身分管理解決方案，必須將相關服務帳戶從原則中排除，因為帳戶無法符合其要求。使用「排除使用者」動作並直接排除服務帳戶，或勾選「目錄角色」選項並選取「目錄同步處理帳戶」角色。

名稱: 驗證時無需使用受管理裝置

代碼名稱: MANAGED-DEVICES-NOT-REQUIRED-FOR-AUTHENTICATION

嚴重性: Medium

類型: Microsoft Entra ID Indicator of Exposure