風險性登入未要求使用 MFA

HIGH

說明

多因素驗證 (MFA) 前稱雙因素驗證 (2FA),可為帳戶提供強大的保護力,防範脆弱密碼或密碼遭人破解等相關弱點。根據最佳做法和業界標準,當使用者登入依照 Microsoft Entra ID Protection 的準則被判定為風險性登入時,應阻止驗證或要求進行 MFA。

攻擊者透過任意方式取得使用者密碼後,MFA 會透過要求額外條件 (例如具有時效性的行動應用程式代碼、實體權杖、生物特徵等) 來阻擋驗證。

Microsoft Entra ID Protection 是一項需要 Microsoft Entra ID P2 授權的功能,用於識別 Entra ID 中的風險性登入。登入風險代表某次驗證請求不是由授權身分所有者發出的機率,其依據是偵測清單 中列出的風險因素。登入風險偵測分為 3 個等級:

  • 高度風險
  • 中等風險
  • 低度風險

根據此登入風險等級,可透過兩種保護功能觸發多因素驗證 (MFA) 功能: 條件式存取原則和 Microsoft Entra ID Protection。Tenable 建議透過條件式存取原則 (CAP) 來設定,因為這麼做有更多好處,例如可以取得更優質的診斷資料、與報告專用模式完美整合、支援 Graph API,還能在原則中加入額外條件式存取屬性 (例如登入頻率)。在 Microsoft Entra ID Protection 中設定的舊型風險原則 將於 2026 年 10 月 1 日 停用,並且必須改用條件式存取原則。因此,此曝險指標 (IoE) 只會檢查條件式存取原則。

根據此建議,曝險指標 (IoE) 會確保至少有一個 (或兩個獨立的) 條件式存取原則具有下列設定:

  • 使用者」設定為包含「所有使用者」。
  • 目標資源」設定為「所有資源」。
  • 條件 > 用戶端應用程式」設定為「否」(「未設定」)。或者設定為「是」,並選取以下四個選項:「瀏覽器」、「行動應用程式和桌面用戶端」、「Exchange ActiveSync 用戶端」和「其他用戶端」。
  • 將「條件 > 登入風險」設定為「是」,並同時選取「高度風險」和「中等風險」等級。或者,設定兩個獨立的原則 (一個針對「高度風險」,另一個針對「中等風險」) 以達到相同的效果。
  • 將「授予」設定為「需要多因素驗證」,或將「需要驗證強度」設定為以下其中一個值:「多因素驗證」、「無密碼 MFA」或「防網路釣魚 MFA」。
  • 將「工作階段 -> 登入頻率」設定為「每次」。
  • 最後,將「啟用原則」設定為「開啟」(不是「關閉」或「僅限報告」)。

解決方案

租用戶必須至少啟用一項條件式存取原則 (CAP),適用於所有使用者並在執行風險性登入時強制使用 MFA。

為此,您可以按照以下方法建立 CAP:

  • 根據此 Microsoft 指南的說明,前往「條件 > 登入風險」並套用此曝險指標說明中指定的設定,為現有 CAP 設定此條件。
  • 建立新的 CAP 並按照曝險指標 (IoE) 說明設定。
  • 使用 Microsoft 提供的「針對高風險登入要求多因素驗證」範本,建立新的專用 CAP。這份範本符合此曝險指標要求的所有條件。

注意:登入風險條件式存取原則啟用時,系統會自動封鎖尚未註冊 Microsoft Entra 多因素驗證 (MFA) 使用者的高度風險驗證行為,而且不允許當下立即註冊 MFA。為了避免使用者遭到封鎖,請確定使用者已先行完成 MFA 註冊。另請參閱相關的曝險指標 (IoE)「非特權帳戶缺少 MFA」及「特權帳戶缺少 MFA」。

雖然登入風險原則仍可以在 Microsoft Entra ID Protection 中直接設定,但 Microsoft 已將其歸類為舊型功能,並計劃於 2026 年 10 月 1 日將其廢止。Microsoft 已開始呼籲管理員將風險原則改為條件式存取策略。因此,Tenable 不建議在 Microsoft Entra ID Protection 中使用舊型風險原則,此曝險指標 (IoE) 也會將其略過。

請注意: Microsoft 和 Tenable 都建議您將部分帳戶排除在條件式存取原則之外,以避免整體租用戶遭到鎖定或引發意外的副作用。Tenable 也建議您遵照 Microsoft 說明文件「規劃條件式存取部署」的指引,以確保妥善規劃、管理變更,並減少帳戶遭到鎖定的風險。具體而言,如果使用 Microsoft Entra Connect 或 Microsoft Entra Cloud Sync 等混合型身分管理解決方案,必須將相關服務帳戶 從原則中排除,因為帳戶無法符合條件式存取原則的要求。使用「排除使用者」動作並直接排除服務帳戶,或勾選「目錄角色」選項並選取「目錄同步處理帳戶」角色。

指標詳細資料

名稱: 風險性登入未要求使用 MFA

代碼名稱: MFA-NOT-REQUIRED-FOR-RISKY-SIGN-INS

嚴重性: High

類型: Microsoft Entra ID Indicator of Exposure

MITRE ATT&CK 資訊: