進行 MFA 註冊時無需使用受管理裝置

若允許從任何裝置進行多因素驗證 (MFA) 註冊，而不考慮其管理或合規狀態，將帶來嚴重的安全風險。萬一攻擊者成功取得使用者的憑證，就能從未受管理裝置註冊自己的 MFA 因素。這將繞過 MFA 的保護，使攻擊者能夠控制第二個驗證因素，進而在未經授權的情況下存取機密資源，甚至可能導致整個帳號遭到接管。

零信任模型僅允許從受信任且合規的裝置執行 MFA 註冊等關鍵動作。將 MFA 註冊限制在受管理的裝置上，可確保啟用此關鍵安全功能的裝置符合組織的標準。這會大幅降低攻擊者利用遭竊憑證註冊惡意 MFA 的風險。

根據 BOD 25-01 的強制要求，CISA 發表之「Microsoft Entra ID 的 M365 安全設定基準」中的 MS.AAD.3.8v1 原則明確規定:「進行 MFA 註冊時應要求使用受管理裝置」。

根據 CISA 指導方針，此曝險指標 (IoE) 會確保至少啟用一項條件式存取原則，限定只有受管理裝置才能進行 MFA 註冊，其設定內容如下:

• 「使用者」設定為包含「所有使用者」。
• 「目標資源」設定為「使用者動作」，並選取「註冊安全資訊」。
• 「授予」設定為「授予存取權」，並勾選「需要將裝置標記為合規」、「需要 Microsoft Entra 混合加入裝置」選項，且在底部勾選「符合所選任一控制項即可」。
• 「啟用原則」設定為「開啟」(而非「關閉」或「僅報告」)。

若要阻止未受管理裝置進行多因素驗證 (MFA) 註冊，租用戶必須啟用條件式存取原則 (CAP)。

為了緩解此風險，BOD 25-01 強制要求的 CISA (透過「Microsoft Entra ID 的 M365 安全設定基準」中的 MS.AAD.3.8v1 原則) 將受管理裝置定義為合規或混合式加入的裝置。

為此，您可以依照下列步驟建立 CAP:

• 套用在此曝險指標 (IoE) 說明中指定的設定來修改現有 CAP。
• 建立專用 CAP，並根據曝險指標 (IoE) 說明中的規格設定。

請注意:「需要將裝置標記為合規」授權控制項要求貴組織使用 Intune MDM。

警告: Microsoft 和 Tenable 都建議您將部分帳戶排除在條件式存取原則之外，以避免整體租用戶遭到鎖定或引發意外的副作用。Tenable 也建議您遵照 Microsoft 說明文件「規劃條件式存取部署」的指引，以確保妥善規劃、管理變更，並減少帳戶遭到鎖定的風險。具體而言，如果使用 Microsoft Entra Connect 或 Microsoft Entra Cloud Sync 等混合型身分管理解決方案，必須將相關服務帳戶從原則中排除，因為帳戶無法符合其要求。使用「排除使用者」動作並直接排除服務帳戶，或勾選「目錄角色」選項並選取「目錄同步處理帳戶」角色。

名稱: 進行 MFA 註冊時無需使用受管理裝置

代碼名稱: MANAGED-DEVICES-NOT-REQUIRED-FOR-MFA-REGISTRATION

嚴重性: Medium

類型: Microsoft Entra ID Indicator of Exposure