語言:
多因素驗證 (MFA) 前稱雙因素驗證 (2FA),可為帳戶提供強大的保護力,防範脆弱密碼或密碼遭人破解等相關弱點。根據最佳做法和業界標準,當使用者登入依照 Microsoft Entra ID Protection 的準則被判定為風險性登入時,應阻止驗證或要求進行 MFA。
攻擊者透過任意方式取得使用者密碼後,MFA 會透過要求額外條件 (例如具有時效性的行動應用程式代碼、實體權杖、生物特徵等) 來阻擋驗證。
Microsoft Entra ID Protection 是一項需要 Microsoft Entra ID P2 授權的功能,用於識別 Entra ID 中的風險性登入。登入風險代表某次驗證請求不是由授權身分所有者發出的機率,其依據是偵測清單 中列出的風險因素。登入風險偵測分為 3 個等級:
根據此登入風險等級,可透過兩種保護功能觸發多因素驗證 (MFA) 功能: 條件式存取原則和 Microsoft Entra ID Protection。Tenable 建議透過條件式存取原則 (CAP) 來設定,因為這麼做有更多好處,例如可以取得更優質的診斷資料、與報告專用模式完美整合、支援 Graph API,還能在原則中加入額外條件式存取屬性 (例如登入頻率)。在 Microsoft Entra ID Protection 中設定的舊型風險原則 將於 2026 年 10 月 1 日 停用,並且必須改用條件式存取原則。因此,此曝險指標 (IoE) 只會檢查條件式存取原則。
根據此建議,曝險指標 (IoE) 會確保至少有一個 (或兩個獨立的) 條件式存取原則具有下列設定:
租用戶必須至少啟用一項條件式存取原則 (CAP),適用於所有使用者並在執行風險性登入時強制使用 MFA。
為此,您可以按照以下方法建立 CAP:
注意:登入風險條件式存取原則啟用時,系統會自動封鎖尚未註冊 Microsoft Entra 多因素驗證 (MFA) 使用者的高度風險驗證行為,而且不允許當下立即註冊 MFA。為了避免使用者遭到封鎖,請確定使用者已先行完成 MFA 註冊。另請參閱相關的曝險指標 (IoE)「非特權帳戶缺少 MFA」及「特權帳戶缺少 MFA」。
雖然登入風險原則仍可以在 Microsoft Entra ID Protection 中直接設定,但 Microsoft 已將其歸類為舊型功能,並計劃於 2026 年 10 月 1 日將其廢止。Microsoft 已開始呼籲管理員將風險原則改為條件式存取策略。因此,Tenable 不建議在 Microsoft Entra ID Protection 中使用舊型風險原則,此曝險指標 (IoE) 也會將其略過。
請注意: Microsoft 和 Tenable 都建議您將部分帳戶排除在條件式存取原則之外,以避免整體租用戶遭到鎖定或引發意外的副作用。Tenable 也建議您遵照 Microsoft 說明文件「規劃條件式存取部署」的指引,以確保妥善規劃、管理變更,並減少帳戶遭到鎖定的風險。具體而言,如果使用 Microsoft Entra Connect 或 Microsoft Entra Cloud Sync 等混合型身分管理解決方案,必須將相關服務帳戶 從原則中排除,因為帳戶無法符合條件式存取原則的要求。使用「排除使用者」動作並直接排除服務帳戶,或勾選「目錄角色」選項並選取「目錄同步處理帳戶」角色。
名稱: 風險性登入未要求使用 MFA
代碼名稱: MFA-NOT-REQUIRED-FOR-RISKY-SIGN-INS
嚴重性: High
類型: Microsoft Entra ID Indicator of Exposure