非特權帳戶缺少 MFA

多因素驗證 (MFA) 或之前的雙因素驗證 (2FA) 可為帳戶提供強大保護，防止出現弱式密碼或易遭洩漏的密碼​。建議的安全性最佳做法和標準是啟用 MFA，即使是非特權帳戶亦是如此。

攻擊者透過任意方式取得使用者密碼後，MFA 會透過要求額外因素 (例如具有時效性的行動應用程式代碼、實體權杖、生物特徵等) 來阻止驗證。

如果帳戶未註冊 MFA 方法，或者您未註冊 MFA 方法而強制執行 MFA，本曝險指標會向您發出警示。上述兩種情況都可能會使擁有密碼的攻擊者註冊自己的 MFA 方法，而造成安全性風險。然而，本曝險指標無法報告 Microsoft Entra ID 是否強制執行 MFA，因為視動態標準而定，條件存取原則可能需要 MFA。

有關特權帳戶的資訊，另請參閱相關的「特權帳戶缺少 MFA」IOE。

回報的所有使用者都必須註冊 MFA 方法並強制執行 MFA​，以加強對於密碼攻擊的防護。

針對 Microsoft Entra ID，Microsoft 提供了叫做 Require MFA for all users 的條件存取原則範本。在使用者遵循 MFA 強制執行要求首次進行驗證時，此原則會提醒他們註冊 MFA 方法。我們建議您遵循「規劃條件式存取部署」Microsoft 說明文件中的說明。

名稱: 非特權帳戶缺少 MFA

代碼名稱: MISSING-MFA-FOR-NON-PRIVILEGED-ACCOUNT

嚴重性: Medium